一种基于僵尸程序传播行为的僵尸网络预防方法

摘要

本发明公开了一种基于僵尸程序传播行为的僵尸网络预防方法，包括：建立用户社交网络访问模型和可疑链接点击模型；建立僵尸网络传播防御博弈模型；建立目标网络用户社交网络结构模型。在此基础上，将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中，给出耦合模型的仿真系统，并基于建立的目标网络用户社交网络结构运行仿真系统，进而为目标网络提供防御措施。本发明针对基于社交网络的僵尸网络预防问题，通过建立耦合目标网络用户行为的僵尸网络传播防御博弈模型，评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户，为目标网络预防僵尸程序的传播和攻击提供防御措施，从而提高网络安全性能。

说明书

技术领域

本发明涉及网络安全技术领域，具体是一种基于僵尸程序传播行为的僵尸网络预防方法。

背景技术

僵尸网络是可被攻击者通过命令与控制信道远程控制的可协同的计算机群，依据僵尸网络的工作机制，僵尸网络的活动主要分为传播、攻击、命令与控制这三个阶段。利用僵尸网络，攻击者可以发起分布式拒绝服务攻击、在线身份窃取、垃圾邮件、木马和间谍软件批量分发等网络攻击。作为攻击者手中最有效的通用攻击平台，各种僵尸网络的数量呈逐年指数级增长，各种攻击活动也越来越频繁，已经成为目前互联网络上最为严重的安全威胁之一。

目前，僵尸网络的检测、测量和对抗等防御技术都是事后响应技术，在攻击被检测到之后才能做出响应，但此时已为时过晚，可能已经造成严重的损失，缺乏主动性和对攻击的预测能力。此外，随着电子邮件网络、P2P内容共享网络、即时聊天网络和在线社交网站等社交网络的广泛使用, 出现一种基于社交网络传播与控制的僵尸网络。这类僵尸网络不仅能够通过各种方式诱惑用户点击进行传播，更具有欺骗性和隐蔽性；而且能基于社交网络搭建控制能力更强、隐蔽性更好的命令与控制信道，给僵尸网络的防御带来了很大的难度。

申请号为201310011764.6的专利公开了一种面向社交网络的恶意代码传播预测方法及系统，主要方案可概括为：（1）利用爬虫程序采集真实社交网络数据信息，并基于统计学原理进行处理；（2）提取数据信息统计特征，计算对基于社交网络传播的恶意代码传播行为进行建模所需的相关特征值；（3）将相关特征值输入模拟仿真平台，基于随机过程对面向社交网络传播的恶意代码传播行为进行建模；（4）根据模型输出数据，分析和预测面向社交网络传播的恶意代码的传播态势，并进行可视化展示。该方法能通过对恶意代码传播环境和过程的模拟仿真预测恶意代码的传播态势，但是该方法仅仅是对传播态势的预测，没有分析网络中存在的安全隐患，无法给出针对性的防御措施和加固方案。此外，该方法基于随机过程模拟恶意代码的传播过程，无法刻画恶意代码攻防过程中攻击者所选择的传播方式（策略）的影响。

申请号为201210499783.3的专利公开了一种基于社交网络的僵尸网络检测及对抗方法，主要方案可概括为：（1）在网络中设置蜜罐和/或蜜网，捕获僵尸程序；（2）分析捕获的僵尸程序，判断是否为基于社交网络控制的僵尸网络；（3）对基于社交网络控制的僵尸网络，采集该僵尸网络的通信数据，并依据采集的数据提取僵尸网络的通信特征；（4）进一步地，依据通信特征挖掘该僵尸网络的所有成员；（5）对检测到的僵尸网络，借助结点清除、网络抑制、网络劫持等对抗技术销毁僵尸网络。该方法首先要利用蜜罐和蜜网捕获僵尸程序，然后要挖掘出全部僵尸网络成员，之后才能给出对抗措施。但是，基于蜜罐或蜜网的捕获技术是守株待兔式的检测技术，通常只有在僵尸网络的入侵或攻击活动大规模发生时才可能检测到。因此，该方案对僵尸网络的响应严重滞后，没有事先评估僵尸网络入侵或攻击的危害性，进而也无法给出有效的预防措施，缺乏主动性和对攻击的预测能力。

发明内容

本发明针对基于社交网络的僵尸网络预防问题，通过建立耦合用户社交网络访问模型和可疑链接点击模型的僵尸网络传播防御博弈模型，评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户，为目标网络预防僵尸程序的传播和攻击提供预防措施，从而提高网络安全性能。

本发明提供的技术方案是：一种基于僵尸程序传播行为的僵尸网络预防方法，包括：

建立用户社交网络访问模型和可疑链接点击模型；

建立僵尸网络传播防御博弈模型；

建立目标网络用户社交网络结构模型；

在此基础上，将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中，给出耦合模型的仿真系统，并基于建立的目标网络用户社交网络结构模型实现仿真系统，进而为目标网络提供防御措施。

进一步地，所述的建立用户社交网络访问模型和可疑链接点击模型包括：

建立用户社交网络访问模型和用户可疑链接点击模型；

从目标网络服务器上收集用户访问网络的历史数据；

从上述数据中挖掘出用户访问社交网络的时间序列；

基于用户社交网络访问时间序列，利用数学方法确定用户社交网络访问模型和用户可疑链接点击模型中的参数。

进一步地，所述的建立僵尸网络传播防御博弈模型，基于离散Markov博弈模型建立，包括以下部分：

状态空间                                                ；

博弈参与者；

策略空间；

状态转移概率；

博弈双方收益函数，其中攻击者的收益函数是：

，

防御者的收益函数是：。

进一步地，所述的建立目标网络用户社交网络结构模型包括：

利用爬虫技术收集允许公开访问的社交网络上的用户数据并统计网络的度分布；

基于网络的度分布，用BA无标度网络模型构造算法生成全局社交网络；

从目标网络服务器上挖掘并构建对应的用户社交网络，随机选择全局社交网络中的节点与用户社交网络中的节点进行连接，连接数由目标网络用户节点的实际连接数给定，由此生成目标网络用户社交网络。

更近一步地，所述的实现提供防御措施的仿真系统包括：

基于虚拟机技术和随机仿真技术实现系统，并在目标网络上部署系统；

利用仿真系统进行僵尸网络攻防的实验推演，评估僵尸网络借助各种社交网络传播的安全威胁，为目标网络管理员提供各个时段需要重点监控的用户或一组用户；

利用仿真系统进行僵尸网络攻防的实验推演，评价用户社交网络访问模型的脆弱性；基于评价结果，提供需要改变的用户访问模式，即安全加固方案。

本发明利用目标网络用户的历史访问数据建立模型预测用户的未来访问行为，并将该行为耦合到僵尸网络传播防御模型中，基于目标网络参数建立僵尸网络赖以传播的网络环境，通过在该网络环境中对传播防御模型的仿真实验推演，在僵尸网络的传播和攻击行为发生之前，实现：

（1）评估僵尸网络各种传播途径的安全威胁，为目标网络管理员提供各个时段需要重点监控的、脆弱性高的用户或用户簇；

（2）评估用户的社交网络访问模式对僵尸网络传播过程的影响，将需要改变的用户访问模式作为安全加固方案提供给目标网络管理员。

综上，本发明为目标网络预防僵尸程序的传播和攻击提供了预防措施，具有主动性和对攻击的预测能力，有效提高了网络安全性能。

附图说明

图1为基于社交网络的僵尸程序传播过程的示意图；

图2为本发明的基本原理示意图。

具体实施方式

下面结合附图对本发明作进一步说明，本具体实施例仅仅是对本发明的解释，其并不是对本发明的限制，本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改，但只要在本发明的权利要求范围内都受到专利法的保护。

如图1所示，基于社交网络传播的僵尸程序在传播过程中需要3个步骤：（1）初始感染用户A基于QQ、Gmail、新浪微博、人人网等发送带恶意链接的消息给好友B；（2）用户B登陆对应社交网络，点击链接，访问恶意服务器；（3）僵尸程序被下载并安装到用户B的机器上；（4）用户B的好友同样被感染。因此，用户访问社交网络并点击恶意链接是僵尸程序传播的必要环节。

如图2所示，本发明公开的一种基于僵尸程序传播行为的僵尸网络预防方法，包括：

（1）建立用户社交网络访问模型和可疑链接点击模型，包括：

建立用户社交网络访问模型，其中：用户对社交网络访问的时间间隔t服从指数分布：   ；

建立用户可疑链接点击模型，其中：用户对可疑链接的点击概率x服从均匀分布：；

从目标网络服务器上收集用户访问网络的历史数据；

从上述数据中挖掘出用户访问社交网络的时间序列；

基于用户社交网络访问时间序列，利用最小二乘法和极大似然估计法确定用户社交网络访问模型中的参数以及用户可疑链接点击模型中的参数和。

（2）建立僵尸网络传播防御博弈模型，基于离散Markov博弈模型建立，包括以下部分：

状态空间：每一个状态表示目标网络中所有节点（即用户）的一种状态组合；

博弈参与者；

策略空间：攻击者策略集，防御者策略集中的元素是一组要监测的用户；

状态转移概率：表示在攻击者采取策略和防御者采取策略时，系统状态由转变为的条件概率；

博弈双方收益函数，其中攻击者的收益函数是：

，

防御者的收益函数是：。

在一次交互中，如果攻击者选择某社交网络传播，则感染节点发送带恶意链接的消息给其在该社交网络上的邻居用户；在该次交互的时段内攻击者的收益包括两部分，①成功感染用户的收益：用户访问该社交网络（由用户社交网络访问模型确定），点击链接（由用户可疑链接点击模型确定），且该时段用户没被监测；②传播被监测到导致的负收益：用户访问该社交网络，且该时段用户刚好被监测。在交互中，防御者的收益综合考虑了监测的费用、成功防御的收益和用户被感染的损失等。

（3）建立目标网络用户社交网络结构模型，包括：

利用爬虫技术收集允许公开访问的社交网络上的用户数据并统计网络的度分布；

基于网络的度分布，用BA无标度网络模型构造算法生成全局社交网络；

从目标网络服务器上挖掘并构建对应的用户社交网络，随机选择全局社交网络中的节点与用户社交网络中的节点进行连接，连接数由目标网络用户节点的实际连接数给定，由此生成目标网络用户社交网络。

（4）在上述模型的基础上实现提供防御措施的仿真系统，包括：

基于虚拟机技术和随机仿真技术实现系统，并在目标网络上部署系统；

利用仿真系统进行僵尸网络攻防的实验推演，评估僵尸网络借助各种社交网络传播的安全威胁，为目标网络管理员提供各个时段需要重点监控的用户或一组用户；

利用仿真系统进行僵尸网络攻防的实验推演，评价用户社交网络访问模型的脆弱性；基于评价结果，提供需要改变的用户访问模式，即安全加固方案。

在此基础上，将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中，给出耦合模型的仿真系统，并基于建立的目标网络用户社交网络结构模型实现仿真系统，进而为目标网络提供防御措施。

本发明通过建立目标网络用户的社交网络访问模型和可疑链接点击模型，评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户，为目标网络预防僵尸程序的传播和攻击提供预防措施，具有主动性和对攻击的预测能力，有效提高了网络安全性能。