僵尸主機識別方法及裝置制造方法及圖紙

本申請?zhí)峁┝艘环N僵尸主機識別方法及裝置，其中一種方法用于服務(wù)器識別云計算網(wǎng)絡(luò)中的僵尸主機，所述方法包括：接收僵尸主機發(fā)送的被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息；基于預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫以及所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息確定出所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息；其中，所述僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息包括僵尸網(wǎng)絡(luò)中控機IP；查找與所述僵尸網(wǎng)絡(luò)中控機IP關(guān)聯(lián)的網(wǎng)絡(luò)五元組；將查找出的網(wǎng)絡(luò)五元組對應(yīng)的主機作為識別出的云計算網(wǎng)絡(luò)中的僵尸主機。本申請實現(xiàn)了快速、準(zhǔn)確的識別僵尸主機。

【技術(shù)實現(xiàn)步驟摘要】
僵尸主機識別方法及裝置
本申請涉及互聯(lián)網(wǎng)
，尤其涉及一種僵尸主機識別方法及裝置。
技術(shù)介紹
僵尸主機是指感染僵尸程序病毒，從而被黑客程序控制的計算機設(shè)備。該計算機設(shè)備可以是終端設(shè)備，也可以是云端設(shè)備，為描述方便，本申請以下實施例將待識別計算機設(shè)備稱為待識別主機。在主機感染僵尸程序病毒后，該主機將存在一定的安全隱患，其可將僵尸程序病毒惡意傳播給其他主機，且該主機中保存的譬如銀行帳號及密碼等都可被黑客隨意“取用”。可見，不論是對網(wǎng)絡(luò)安全運行還是用戶數(shù)據(jù)安全的保護來說，僵尸程序病毒都是極具威脅的隱患。因此，及時識別僵尸主機從而控制僵尸程序病毒的惡意傳播，可有效降低僵尸程序病毒對主機及網(wǎng)絡(luò)安全造成的威脅。目前云端對于僵尸主機的識別方法為：在待識別主機網(wǎng)絡(luò)流量異常時，觸發(fā)對該主機執(zhí)行識別操作，具體為：利用部署的專用識別設(shè)備(如IDS)根據(jù)網(wǎng)絡(luò)協(xié)議包特征來識別。該僵尸主機識別方法的缺點包括：所述專用識別設(shè)備部署成本非常大，而且僵尸網(wǎng)絡(luò)協(xié)議特征更新頻率快，協(xié)議類型多，因此需要針對不斷更新的僵尸網(wǎng)絡(luò)協(xié)議來更新該專用識別設(shè)備的識別方法，運營成本會很大。另外，還存在部分比較隱蔽的網(wǎng)絡(luò)協(xié)議不支持從網(wǎng)絡(luò)特征上進(jìn)行檢測，因此該方法不但成本高且識別準(zhǔn)確性低。
技術(shù)實現(xiàn)思路
本申請解決的技術(shù)問題之一是，提供一種僵尸主機識別方法及裝置，實現(xiàn)了簡便、準(zhǔn)確的識別出僵尸主機。根據(jù)本申請一方面的一個實施例，提供了一種僵尸主機識別方法，所述方法包括：獲取待識別主機當(dāng)前進(jìn)程的惡意代碼特征；所述當(dāng)前進(jìn)程的惡意代碼特征包括以下至少一個：當(dāng)前進(jìn)程是否存在對應(yīng)的進(jìn)程文件、當(dāng)前進(jìn)程對應(yīng)的進(jìn)程文件是否加殼、當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值；根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程；若所述當(dāng)前進(jìn)程是惡意進(jìn)程，則將所述待識別主機識別為僵尸主機。根據(jù)本申請另一方面的一個實施例，提供了一種僵尸主機識別方法，用于識別網(wǎng)絡(luò)中的僵尸主機，所述方法包括：接收僵尸主機發(fā)送的被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息；基于預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫以及所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息確定出所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息；其中，所述僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息包括僵尸網(wǎng)絡(luò)中控機IP；查找與所述僵尸網(wǎng)絡(luò)中控機IP關(guān)聯(lián)的網(wǎng)絡(luò)五元組；將查找出的網(wǎng)絡(luò)五元組對應(yīng)的主機作為識別出的云計算網(wǎng)絡(luò)中的僵尸主機。根據(jù)本申請另一方面的一個實施例，提供了一種僵尸主機識別裝置，所述裝置包括：獲取單元，用于獲取待識別主機當(dāng)前進(jìn)程的惡意代碼特征；所述當(dāng)前進(jìn)程的惡意代碼特征包括以下至少一個：當(dāng)前進(jìn)程是否存在對應(yīng)的進(jìn)程文件、當(dāng)前進(jìn)程對應(yīng)的進(jìn)程文件是否加殼、當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值；判斷單元，用于根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程；識別單元，用于在所述判斷單元判斷所述當(dāng)前進(jìn)程是惡意進(jìn)程情況下，將所述待識別主機識別為僵尸主機；發(fā)送單元，用于發(fā)送所述被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息給服務(wù)器，以便服務(wù)器依據(jù)所述網(wǎng)絡(luò)連接信息識別出其他僵尸主機。根據(jù)本申請另一方面的一個實施例，提供了一種僵尸主機識別裝置，用于識別網(wǎng)絡(luò)中的僵尸主機，所述裝置包括：接收單元，用于接收僵尸主機發(fā)送的被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息；確定單元，用于基于預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫以及所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息確定出所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息；其中，所述僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息包括僵尸網(wǎng)絡(luò)中控機IP；查找單元，用于查找與所述僵尸網(wǎng)絡(luò)中控機IP關(guān)聯(lián)的網(wǎng)絡(luò)五元組；識別單元，用于將查找出的網(wǎng)絡(luò)五元組對應(yīng)的主機作為識別出的云計算網(wǎng)絡(luò)中的僵尸主機。本申請實施例通過獲取待識別主機當(dāng)前進(jìn)程的惡意代碼特征，利用該惡意代碼特征來識別當(dāng)前進(jìn)程是否為惡意進(jìn)程，可有效識別同類型惡意文件的變種。若利用惡意代碼特征識別出當(dāng)前進(jìn)程是惡意進(jìn)程，則將該待識別主機識別為僵尸主機。實現(xiàn)了主機本身識別是否為僵尸主機，且在識別為僵尸主機情況下發(fā)送惡意進(jìn)程的網(wǎng)絡(luò)連接信息給服務(wù)器，從而服務(wù)器可以依據(jù)該網(wǎng)絡(luò)連接信息快速識別出其他僵尸主機。因此，本申請不但可以識別出同類型惡意文件的變種，而且有效提高了識別效率及識別準(zhǔn)確率。另外，本申請實施例通過接收僵尸主機發(fā)送的惡意進(jìn)程的網(wǎng)絡(luò)連接信息，對該惡意進(jìn)程的網(wǎng)絡(luò)連接信息利用預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫進(jìn)行誤報數(shù)據(jù)的過濾，從而確定出接收的惡意進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息，并依據(jù)該僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息快速確定出其他僵尸主機，實現(xiàn)了服務(wù)器端簡便、快速、有效的識別僵尸主機，且有效降低了運營成本。本領(lǐng)域普通技術(shù)人員將了解，雖然下面的詳細(xì)說明將參考圖示實施例、附圖進(jìn)行，但本申請并不僅限于這些實施例。而是，本申請的范圍是廣泛的，且意在僅通過后附的權(quán)利要求限定本申請的范圍。附圖說明通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細(xì)描述，本申請的其它特征、目的和優(yōu)點將會變得更明顯：圖1是根據(jù)本申請一個實施例的僵尸主機識別方法的流程圖。圖2是根據(jù)本申請一個實施例的根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程的方法的流程圖。圖3是根據(jù)本申請另一個實施例的僵尸主機識別方法的流程圖。圖4是根據(jù)本申請一個實施例的僵尸主機識別裝置的結(jié)構(gòu)示意圖。圖5是根據(jù)本申請另一個實施例的僵尸主機識別裝置的結(jié)構(gòu)示意圖。本領(lǐng)域普通技術(shù)人員將了解，雖然下面的詳細(xì)說明將參考圖示實施例、附圖進(jìn)行，但本申請并不僅限于這些實施例。而是，本申請的范圍是廣泛的，且意在僅通過后附的權(quán)利要求限定本申請的范圍。具體實施方式在更加詳細(xì)地討論示例性實施例之前應(yīng)當(dāng)提到的是，一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時實施。此外，各項操作的順序可以被重新安排。當(dāng)其操作完成時所述處理可以被終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。所述計算機設(shè)備包括用戶設(shè)備與網(wǎng)絡(luò)設(shè)備。其中，所述用戶設(shè)備包括但不限于電腦、智能手機、PDA等；所述網(wǎng)絡(luò)設(shè)備包括但不限于單個網(wǎng)絡(luò)服務(wù)器、多個網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計算(CloudComputing)的由大量計算機或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云，其中，云計算是分布式計算的一種，由一群松散耦合的計算機集組成的一個超級虛擬計算機。其中，所述計算機設(shè)備可單獨運行來實現(xiàn)本申請，也可接入網(wǎng)絡(luò)并通過與網(wǎng)絡(luò)中的其他計算機設(shè)備的交互操作來實現(xiàn)本申請。其中，所述計算機設(shè)備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、VPN網(wǎng)絡(luò)等。需要說明的是，所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)等僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計算機設(shè)備或網(wǎng)絡(luò)如可適用于本申請，也應(yīng)包含在本申請保護范圍以內(nèi)，并以引用方式包含于此。后面所討論的方法(其中一些通過流程圖示出)可以通過硬件、軟件、固件、中間件、微代碼、硬件描述語言或者其任意組合來實施。當(dāng)用軟件、固件、中間件或微代碼來實施時，用以實施必要任務(wù)的程序代碼或代碼段可以被存儲在機器或計算機可讀介質(zhì)(比如存儲介質(zhì))中。(一個或多個)處理器可本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種僵尸主機識別方法，其特征在于，包括：獲取待識別主機當(dāng)前進(jìn)程的惡意代碼特征，所述當(dāng)前進(jìn)程的惡意代碼特征包括：當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值；根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程；若所述當(dāng)前進(jìn)程是惡意進(jìn)程，則將所述待識別主機識別為僵尸主機。

【技術(shù)特征摘要】
1.一種僵尸主機識別方法，其特征在于，包括：獲取待識別主機當(dāng)前進(jìn)程的惡意代碼特征，所述當(dāng)前進(jìn)程的惡意代碼特征包括：當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值；根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程；若所述當(dāng)前進(jìn)程是惡意進(jìn)程，則將所述待識別主機識別為僵尸主機。2.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程的步驟包括：判斷預(yù)先建立的代碼段散列值病毒庫中是否存在與所述當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值匹配的代碼段散列值；若存在與所述當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值匹配的代碼段散列值，則確定當(dāng)前進(jìn)程是惡意進(jìn)程。3.如權(quán)利要求1所述的方法，其特征在于，所述當(dāng)前進(jìn)程的惡意代碼特征還包括：當(dāng)前進(jìn)程是否存在對應(yīng)的進(jìn)程文件，則所述根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程的步驟包括：判斷所述當(dāng)前進(jìn)程是否存在對應(yīng)的進(jìn)程文件；若所述當(dāng)前進(jìn)程不存在對應(yīng)的進(jìn)程文件，則確定所述當(dāng)前進(jìn)程為惡意進(jìn)程。4.如權(quán)利要求3所述的方法，其特征在于，所述當(dāng)前進(jìn)程的惡意代碼特征還包括：當(dāng)前進(jìn)程對應(yīng)的進(jìn)程文件是否加殼，所述根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程的步驟還包括：在所述當(dāng)前進(jìn)程存在對應(yīng)的進(jìn)程文件的情況下，判斷所述當(dāng)前進(jìn)程的進(jìn)程文件是否加殼；若所述當(dāng)前進(jìn)程的進(jìn)程文件加殼，且進(jìn)程文件為可執(zhí)行與可連接ELF格式的進(jìn)程文件，則確定所述當(dāng)前進(jìn)程為惡意進(jìn)程。5.如權(quán)利要求4所述的方法，其特征在于，所述根據(jù)所述當(dāng)前進(jìn)程的惡意代碼特征判斷所述當(dāng)前進(jìn)程是否為惡意進(jìn)程的步驟包括：判斷所述當(dāng)前進(jìn)程是否存在對應(yīng)的進(jìn)程文件；若所述當(dāng)前進(jìn)程存在對應(yīng)的進(jìn)程文件，則判斷所述當(dāng)前進(jìn)程的進(jìn)程文件加殼；若所述當(dāng)前進(jìn)程的進(jìn)程文件未加殼，則判斷預(yù)先建立的、存儲于服務(wù)器上的代碼段散列值病毒庫中是否存在與所述當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值匹配的代碼段散列值；若存在與所述當(dāng)前進(jìn)程的進(jìn)程文件的代碼段散列值匹配的代碼段散列值，則確定當(dāng)前進(jìn)程是惡意進(jìn)程。6.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)絡(luò)連接信息包括以下至少一項：IP、域名、統(tǒng)一資源定位符、端口。7.如權(quán)利要求1所述的方法，其特征在于，所述方法還包括：發(fā)送所述被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息給服務(wù)器，以便服務(wù)器依據(jù)所述網(wǎng)絡(luò)連接信息識別出其他僵尸主機。8.一種僵尸主機識別方法，其特征在于，用于識別網(wǎng)絡(luò)中的僵尸主機，所述方法包括：接收僵尸主機發(fā)送的被確定為惡意進(jìn)程的當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息；基于預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫以及所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息確定出所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息；其中，所述僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息包括僵尸網(wǎng)絡(luò)中控機IP；查找與所述僵尸網(wǎng)絡(luò)中控機IP關(guān)聯(lián)的網(wǎng)絡(luò)五元組；將查找出的網(wǎng)絡(luò)五元組對應(yīng)的主機作為識別出的云計算網(wǎng)絡(luò)中的僵尸主機。9.如權(quán)利要求8所述的方法，其特征在于，所述基于預(yù)先建立的中控機網(wǎng)絡(luò)連接信息白名單庫以及所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息確定出所述當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中的僵尸網(wǎng)絡(luò)中控機的網(wǎng)絡(luò)連接信息的步驟包括：將當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息分別與所述中控機網(wǎng)絡(luò)連接信息白名單庫中對應(yīng)的網(wǎng)絡(luò)連接信息匹配；若中控機網(wǎng)絡(luò)連接信息白名單庫中存在至少一項網(wǎng)絡(luò)連接信息與當(dāng)前進(jìn)程的網(wǎng)絡(luò)連接信息中對應(yīng)的網(wǎng)絡(luò)連接...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：葉根深，崔一山，
申請(專利權(quán))人：阿里巴巴集團控股有限公司，
類型：發(fā)明
國別省市：開曼群島,KY