[发明专利]基于大数据发现的僵尸木马病毒检测及管控方法

摘要

本发明的目的在于提供一种基于大数据发现的僵尸木马病毒检测及管控方法，包括以下四个具体的步骤：收集传播网站获取病毒样本、分析被感染服务器病毒特征、提示受感染用户和追踪并控阻止控制源。本发明通过白名单过滤掉信任域名，对可疑域名的攻击源进行分析，最终通过攻击源肉机识别出肉机的远程控制端地址。分析完成后将统计分析数据记录到病毒库并对僵尸网络、病毒进行跟踪分析，同时对可疑域名进行转发，避免用户访问时造成主机感染木马病毒。

主权项

1.一种基于大数据发现的僵尸木马病毒检测及管控方法，其特征在于包括以下步骤：收集传播网站获取病毒样本、分析被感染服务器病毒特征、提示受感染用户和追踪并封杀控制源；其中，步骤1收集传播网站获取病毒样本的过程是：采用蜜罐技术，即将传统服务器采用虚拟化技术形成多台服务器，作为蜜罐机器，把病毒链接下发给该蜜罐机器，模拟用户浏览器访问行为，访问病毒链接或者下载病毒木马程序从而获得病毒样本，遍历所有的可疑网站、域名、全部子路径获取病毒样本，同时在系统防护和控制僵尸木马网络的时候也实时更新系统本身病毒库的病毒样本信息，根据通告上传和自我追踪发现的方式使得系统形成齐全的病毒样本；步骤2分析被感染服务器病毒特征的具体过程是：通过系统病毒库里的病毒样本和被感染服务器的病毒对比数据进行分析，对一般普通感染用户，识别并检测出病毒类型和数据信息并更新系统病毒库，通过对比分析出的数据找出控制端；步骤3提示受感染用户的具体过程是：当准确定位了控制源之后，将向同样访问这些控制源的用户推送弹窗信息提醒表示用户已经被病毒木马感染：当检测某类病毒感染范围波及到一定规模时，系统会生成受控端用户名文件列表，并发送给认证系统，在僵尸木马网络感染的持续时间段内批量地处理受控端用户并将之踢下线，保证用户不被僵尸木马网站攻击感染，其中下线状态是由Radius(Remote Authentication Dial In User Service)接口反馈的；对于公众DNS，在城域网出口路由器增加路由策略，将对公共DNS访问的请求转发到省网DNS，由省网DNS代替公共DNS对这些请求做出应答；步骤4追踪并封杀控制源的具体过程是：根据系统病毒库对比分析被感染服务器病毒特征分析出控制源的IP地址或域名后，如果控制源是域名，则直接拦截封杀与控制源关联的可疑域名，使得可疑域名无法访问而达到管控控制源的目的；假如控制源是台纯IP服务器，那么则直接封杀该控制源的路由；所述步骤1中，所述病毒链接从DNS管理系统、DNS大数据分析系统、DNS攻击防护系统、CNCERT、集团通告及其他第三方系统处获得；其中，根据域名访问量和域名解析结果的变化筛选出可疑域名，通过可疑域 名的访问信息数据里获取到访问地址，分析这些访问地址所访问过的域名，通过 专有数据分析算法提取共性，分析出可疑域名攻击的僵尸网络，并对攻击源进行 分析，最终通过攻击源肉机识别出肉机的远程控制端地址，从而识别出木马网站、 肉机控制端数据；所述步骤1还包括，通过系统病毒库里全面的病毒样本信息，根据僵尸木马 病毒网络域名的关联和肉机控制源及DNS数据特征追踪并分析出控制源；所述追踪并分析出控制源的依据是所有被控制端对控制端的访问行为呈现一致性的规律；所述步骤2中，被感染服务器称为蜜罐服务器，其所有对外访问行为都是被监控起来的，即被感染服务器的任何和控制源的联络都将被外层服务器所获取，外层服务器通过观察蜜罐机器内部进程的网络访问行为而获取控制源信息；通过设定感染服务器长期监控的规则，判断是否中毒及所中病毒类型信息，通过分析病毒特征机器传播源头端口，追溯到控制源，当控制端是IP地址时，系统关联解析地址为该IP地址的域名从而分析各种可疑域名，通过域名方式发现病毒木马蠕虫新特征，分析受控端病毒行为特征追踪到控制端地址；所述步骤3中，所述Radius接口包括：查询接口、推送接口和控制处置接口；所述查询接口用于根据IP查询账户信息；所述推送接口为CoA接口；所述控制处置接口用于批量踢用户下线或者上网高峰期间持续多长时间踢用户下线，提供受控端列表文件。