僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置

摘要

本发明涉及一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置。僵尸网络的检测方法应用于基于社交网络的融合僵尸网络，包括：提取僵尸网络的通信特征；根据所述通信特征查找到所述僵尸网络的所有成员。本发明僵尸网络的检测方法及装置，能够有效检测出具有良好隐蔽性的融合僵尸网络，从而为捣毁融合僵尸网络奠定了基础，有助于提高网络安全性能。本发明僵尸网络的方法及对抗装置，能够捣毁具有良好隐蔽性的融合僵尸网络，提高了网络安全性能。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种僵尸网络的检测方法及装 置、僵尸网络的对抗方法及装置。

背景技术

随着移动互联网的快速发展，僵尸网络正在从传统互联网络向融合网络 （互联网、电信网、广电网、物联网）过渡，融合僵尸网络已成为未来互联 网安全急需关注的热点问题。融合僵尸网络是一种承载于融合网络之上的僵 尸网络，既有僵尸网络的特征，也有融合业务特征，其控制命令可以跨网通 信，具备协同不同网络中僵尸终端进行协同恶意攻击行为特征。例如，互联 网、电信网、广电网等网络融合为一个泛在的网络，可以支撑多种网络业务， 即一个网络业务可以在不同的网络环境中正常运行（例如QQ、手机QQ等）。

而社交网络业务在传统互联网和移动互联网上的广泛应用以及实时异 步松耦合的通信特点，为融合僵尸网络提供了控制能力更强、隐蔽性更好的 控制信息平台载体。由此，当今出现一种基于社交网络控制的融合僵尸网络， 僵尸控制者（Botmaster）通过公共社交网络服务器控制整个僵尸网络。在 服务器的逻辑层，融合僵尸网络呈现特定控制账号的中心簇结构和无中心控 制账号的P2P结构。同时融合僵尸网络的拓扑结构可由僵尸控制者自主定义 和随时调整，从而大大提高了僵尸病毒的检测难度。通过研究表明，基于社 交网络控制的融合僵尸网络具有良好的隐蔽性、健壮性和灵活性。这给基于 社交网络控制的融合僵尸网络的检测和对抗带来了很大的难度。

发明内容

本发明所要解决的技术问题是提供一种僵尸网络的检测方法及装置、僵 尸网络的对抗方法及装置，提高网络安全性能。

为解决上述技术问题，本发明提出了一种僵尸网络的检测方法，应用于 基于社交网络的融合僵尸网络，包括：

提取僵尸网络的通信特征；

根据所述通信特征查找到所述僵尸网络的所有成员。

进一步地，上述僵尸网络的检测方法还可具有以下特点，所述提取僵尸 网络的通信特征包括：

在僵尸网络中设置蜜罐和/或蜜网，截获僵尸程序；

通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控 制的融合僵尸网络；

若是，则根据预设的采集内容采集数据；

根据采集的数据提取僵尸网络的通信特征。

进一步地，上述僵尸网络的检测方法还可具有以下特点，所述提取僵尸 网络的通信特征还包括：

记录僵尸网络的攻击目标和攻击事件；

根据所述攻击目标和攻击事件设置所述僵尸网络的危害度级别。

进一步地，上述僵尸网络的检测方法还可具有以下特点，所述通过所述 僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸 网络包括：

判断僵尸程序中是否包含登陆公共服务器的账号，若包含则该僵尸网络 为僵尸控制者通过社交网络控制的融合僵尸网络。

进一步地，上述僵尸网络的检测方法还可具有以下特点，所述根据所述 通信特征查找到所述僵尸网络的所有成员包括：

根据僵尸网络的通信特征制定挖掘策略；

按照挖掘策略在社交网络中挖掘出所有僵尸的账号；

根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。

为解决上述技术问题，本发明还提出了一种僵尸网络的检测装置，应用 于基于社交网络的融合僵尸网络，包括：

提取模块，用于提取僵尸网络的通信特征；

查找模块，用于根据所述提取模块提取的通信特征查找到所述僵尸网络 的所有成员。

进一步地，上述僵尸网络的检测装置还可具有以下特点，所述提取模块 包括：

截获单元，用于在僵尸网络中设置蜜罐和/或蜜网，截获僵尸程序；

判断单元，用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否 为僵尸控制者通过社交网络控制的融合僵尸网络；

采集单元，用于在所述判断单元的判断结果为是时，根据预设的采集内 容采集数据；

提取单元，用于根据所述采集单元采集的数据提取僵尸网络的通信特 征。

进一步地，上述僵尸网络的检测装置还可具有以下特点，所述提取模块 还包括：

记录单元，用于记录僵尸网络的攻击目标和攻击事件；

设置单元，用于根据所述记录单元记录的攻击目标和攻击事件设置所述 僵尸网络的危害度级别。

进一步地，上述僵尸网络的检测装置还可具有以下特点，所述判断单元 包括：

第一判断子单元，用于判断僵尸程序中是否包含登陆公共服务器的账 号，若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。

进一步地，上述僵尸网络的检测装置还可具有以下特点，所述查找模块 包括：

挖掘策略制定单元，用于根据僵尸网络的通信特征制定挖掘策略；

挖掘单元，用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络 中挖掘出所有僵尸的账号；

溯源单元，用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控 制者的账号和设备标识。

为解决上述技术问题，本发明还提出了一种僵尸网络的对抗方法，应用 于基于社交网络的融合僵尸网络，包括：

根据权利要求1所述的僵尸网络的检测方法检测到僵尸网络的所有成 员；

在所述检测完成后制定对抗策略；

按照所述对抗策略发出对抗命令，销毁所述僵尸网络。

为解决上述技术问题，本发明提还出了一种僵尸网络的对抗装置，应用 于基于社交网络的融合僵尸网络，包括：

权利要求6所述的僵尸网络的检测装置，用于根据权利要求1所述的僵 尸网络的检测方法查找到僵尸网络的所有成员；

对抗策略制定模块，用于在所述僵尸网络的检测装置完成检测后制定对 抗策略；

对抗模块，用于按照所述对抗策略制定模块制定的对抗策略发出对抗命 令，销毁所述僵尸网络。

本发明僵尸网络的检测方法及装置，能够有效检测出具有良好隐蔽性的 融合僵尸网络，从而为捣毁融合僵尸网络奠定了基础，有助于提高网络安全 性能。本发明僵尸网络的方法及对抗装置，能够捣毁具有良好隐蔽性的融合 僵尸网络，提高了网络安全性能。

附图说明

图1为本发明实施例中提取僵尸网络的通信特征的流程图；

图2为本发明实施例中僵尸网络的检测装置的结构框图；

图3为本发明实施例中僵尸网络的对抗装置的结构框图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本 发明，并非用于限定本发明的范围。

针对基于社交网络的融合僵尸网络，本发明提出了一种僵尸网络的检测 方法，该方法包括如下步骤：

步骤一，提取僵尸网络的通信特征；

僵尸网络的通信特征可以包括如下内容：1、何种社交网络承载；2、ID 聚集关系（即账号间的关系），例如僵尸一的账号为bto21s，僵尸二的账号 为bto32e，则聚集关系为bto关键词等类似信息；3、控制命令到达的日周 期关系等。

步骤二，根据通信特征，查找到僵尸网络的所有成员。

僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号和僵尸网络控 制者的账号。该账号可以是僵尸终端、僵尸网络控制者在社交网络中的账号 （比如微博账号、QQ账号等），如果需要溯源，则还可以进一步获得僵尸终 端、僵尸网络控制者的网络终端标识（例如IP号、手机号等）。

图1为本发明实施例中提取僵尸网络的通信特征的流程图。如图1所示， 步骤一可以包括如下子步骤：

步骤101，在僵尸网络中设置蜜罐和/或蜜网，截获僵尸程序；

截获僵尸程序，需要进行分析，首先分析一些静态信息（比如僵尸程序 通信方式、是否采用加密、它的传播模块、通信模块、恶意行为模块等）， 之后，不断截获收到的控制命令进行分析，得到更多的情报。

步骤102，通过僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网 络控制的融合僵尸网络，若是则执行步骤103，否则结束本次检测过程；

具体地，如果僵尸程序中包含登陆公共服务器的账号，则该僵尸网络为 僵尸控制者通过社交网络控制的融合僵尸网络，否则，如果僵尸程序中不包 含登陆公共服务器的账号，则该僵尸网络不是僵尸控制者通过社交网络控制 的融合僵尸网络。

步骤103，根据预设的采集内容采集数据；

具体地，可以根据预设的采集内容从僵尸程序中的控制命令C&C （Command and Control,控制命令）中采集数据。采集的数据可以包括社 交网络ID、社交网络的邻居僵尸节点ID。

控制命令的具体载体包括文本、图片、视频、音频等。

采集内容可以包括待攻击的目标、待发生的攻击事件信息、僵尸程序更 新命令信息、更新服务器信息、C&C变化信息等。采集内容可以根据挖掘结 果随时进行调整。例如，僵尸B一直从僵尸A收听控制命令，现在修改为从 僵尸X这里收听控制命令，或者是僵尸B转发的控制命令列表添加了新的僵 尸id等信息。

从社交网络ID中可以获知哪种社交网络和哪个公司的社交网络的信息 （例如新浪微博、腾讯微博等），邻居僵尸节点ID即社交网账号（例如新浪 微博账号）。

步骤104，根据采集的数据确定僵尸网络的通信特征。

步骤一还可以包括：

步骤105，记录僵尸网络的攻击目标和攻击事件；

步骤106，根据记录的攻击目标和攻击事件设置僵尸网络的危害度级别。

危害度级别是设置防御优先级的基础，危害度级别越高，防御优先级越 高。

步骤二可以包括如下子步骤：

步骤201，根据僵尸网络的通信特征制定挖掘策略；

挖掘策略可以采用如下三种中的任意一种：

一是，基于账号账号（例如僵尸客户端的微博账号）的社会关系进行挖 掘；通过这种策略可以找到僵尸网络在社交网络中承载的账号，账号间的关 系即为拓扑结构。

二是，基于内容（文本、图像、音频、视频等）进行挖掘；这种策略用 于找到僵尸网络成员节点。例如，挖掘含有“XXX”微博消息（文本）、挖 掘微博加载的图片、语音和视频信息等。例如，僵尸控制者发送的有效控制 消息为“ABCd”（文本消息），那么通过挖掘含有“ABCd”的所有微博， 就可以查找到所有发过“ABCd”消息的账号，再逐一排查账号的行为特征或 者多次关联账号组，求交集，从而得出其他僵尸网络成员节点。

三是，上述两种挖掘策略的结合。

步骤202，按照挖掘策略在社交网络中挖掘出所有僵尸的账号；

步骤203，根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备 标识（设备IP地址或者手机号）。

这里的溯源是指通过挖掘发现所有僵尸的账号后的溯源。下面以微薄为 例，说明几种溯源的具体过程。

溯源方法一：（1）查找收发微博（微博消息即是控制命令）时间，锁 定目标（僵尸控制者总是控制命令的发起者）；（2）获取该账号发送微薄 时主机的IP地址或者手机号；如果不能执行步骤（2），则执行步骤（3）， 联系微博服务商，令其提供该账号登陆信息。

溯源方法二：（1）挖掘这些微博账号日在线的时间规律，往往僵尸控 制者的上下线特征与受控僵尸不同；（2）获取该账号发送微薄时主机的IP 地址或者手机号；如果不能执行步骤（2），则执行步骤（3），联系微博服 务商，令其提供该账号登陆信息。

溯源方法三：（1）收发微博的数量，僵尸控制者收发微博的数量和比 例往往与受控僵尸不同；（2）获取该账号发送微薄时主机的IP地址或者手 机号；如果不能执行步骤（2），则执行步骤（3），联系微博服务商，令其 提供该账号登陆信息。

本发明僵尸网络的检测方法，能够有效检测出具有良好隐蔽性的融合僵 尸网络，从而为捣毁融合僵尸网络奠定了基础，有助于提高网络安全性能。

本发明还提出了一种僵尸网络的检测装置，用以执行上述的僵尸网络的 检测方法。本发明的僵尸网络的检测装置应用于基于社交网络的融合僵尸网 络。

图2为本发明实施例中僵尸网络的检测装置的结构框图。如图2所示， 本实施例中，僵尸网络的检测装置200可以包括提取模块210和查找模块 220。提取模块210用于提取僵尸网络的通信特征。查找模块220用于根据 提取模块210提取的通信特征查找到僵尸网络的所有成员。

在本发明实施例中，提取模块210可以进一步包括截获单元、判断单元、 采集单元和提取单元。截获单元、判断单元、采集单元和提取单元顺次相连。 其中，截获单元用于在僵尸网络中设置蜜罐和/或蜜网，截获僵尸程序。判 断单元用于通过截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制 者通过社交网络控制的融合僵尸网络。采集单元用于在判断单元的判断结果 为是时，根据预设的采集内容采集数据。提取单元用于根据采集单元采集的 数据提取僵尸网络的通信特征。

其中，判断单元可以进一步包括第一判断子单元。第一判断子单元用于 判断僵尸程序中是否包含登陆公共服务器的账号，若包含则该僵尸网络为僵 尸控制者通过社交网络控制的融合僵尸网络。

在本发明实施例中，提取模块210还可以进一步包括记录单元和设置单 元。记录单元用于记录僵尸网络的攻击目标和攻击事件。设置单元用于根据 记录单元记录的攻击目标和攻击事件设置僵尸网络的危害度级别。

在本发明实施例中，查找模块220可以进一步包括挖掘策略制定单元、 挖掘单元和溯源单元。挖掘策略制定单元用于根据僵尸网络的通信特征制定 挖掘策略。挖掘单元用于按照挖掘策略制定单元所指定的挖掘策略在社交网 络中挖掘出所有僵尸的账号。溯源单元用于根据挖掘单元挖掘到的僵尸的账 号溯源僵尸网络控制者的账号和设备标识。

本发明僵尸网络的检测的检测装置，通过执行上述的僵尸网络的检测方 法，能够有效检测出具有良好隐蔽性的融合僵尸网络，从而为捣毁融合僵尸 网络奠定了基础，有助于提高网络安全性能。

在上述的僵尸网络的检测方法的基础上，本发明还提出了一种僵尸网络 的对抗方法，该对抗方法包括如下步骤：

步骤a，根据本发明上述提出的僵尸网络的检测方法检测到僵尸网络的 所有成员；

步骤b，在步骤a的检测完成后制定对抗策略；

具体地，可以根据蜜罐和/或蜜网获得的信息和在社交网络服务器上挖 掘得出的结论，制定对抗策略。

由于每个僵尸网络都具备网络的特征，因此，僵尸之间都应存在相应的 关系，这种关系称之为僵尸网络成员的社会关系（因为并不是所有僵尸都会 和僵尸控制者有直接关系，但是会存在间接关系，僵尸网络中僵尸与僵尸之 间的关系类似于人与人之间的关系，因此称为社会关系）。

对抗策略的内容可以包括如下三点。

1、捣毁僵尸网络，包括：a）封社交网的账号；b）发送伪造的自毁命 令；

2、劫持僵尸网络（修改控制命令信道，接管僵尸网络（重置僵尸社 交网账号的社会关系））

3、溯源僵尸网络控制者。

步骤c，按照步骤b制定的对抗策略发出对抗命令，销毁僵尸网络。

本发明僵尸网络的对抗方法，能够捣毁具有良好隐蔽性的融合僵尸网 络，提高了网络安全性能。

本发明还提出了一种僵尸网络的对抗装置，用以执行上述的僵尸网络的 对抗方法。

图3为本发明实施例中僵尸网络的对抗装置的结构框图。如图3所示， 本实施例中，僵尸网络的对抗装置包括僵尸网络的检测装置200、对抗策略 制定模块300和对抗模块400。其中，僵尸网络的检测装置200用于根据本 发明上述的僵尸网络的检测方法检测到僵尸网络的所有成员。对抗策略制定 模块300用于在僵尸网络的检测装置的检测完成后制定对抗策略。对抗模块 400用于按照对抗策略制定模块制定的对抗策略发出对抗命令，销毁僵尸网 络。

其中，僵尸网络的检测装置可以是上述僵尸网络的检测装置中的任意一 种，例如图2所示的僵尸网络的检测装置。

本发明僵尸网络的对抗装置，能够捣毁具有良好隐蔽性的融合僵尸网 络，提高了网络安全性能。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明 的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发 明的保护范围之内。