[00135278]基于大数据分析的僵尸木蠕病毒检测及管控技术

随着Internet的不断发展,WEB网站已经成为互联网最重要的资源,其中也包含着恶意的木马网站,当用户访问到木马网站时,用户的主机很有可能会被木马病毒给感染,此时控制者和被感染主机之间所形成了一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络,对互联网安全造成了极大的破坏。因此针对僵尸网络的研究和发现便成为迫切的需求。 该项目正是基于上述需求的现实意义应运而生,该系统采用独创的的大数据方案,通过跟踪分析攻击方的行为特征,发现僵尸网络的控制端,并由此为线索分步骤锁定传播网站、潜伏的感染服务器、控制端、备用控制端等。该系统集合了对僵尸网络的分析、病毒样本的抓取、僵尸网络的趋势分析、控制端管控、传播网站跟踪、不良信息跟踪等一整套解决方案,从而实现全面发现、控制、跟踪、斩断整个僵尸网络的全端功能集合。 主要创新内容： 1)采用DNS日志和radius日志相结合进行分析僵尸木马网络的组成,该方案不改变原有的网络环境。 2)大数据用户行为分析 A、从海量访问数据中过滤出存在病毒特征的访问行为,并以此为突破口,进一步锁定感染者与被感染者。 B、采用大数据及域名信息相结合的方式进行僵木蠕病毒、样本的分析、发现、封杀、管控,即节约了大量的投资成本同时实际效果非常显著。 3)病毒检测的独创性算法 A、针对各类攻击行为,透过攻击的行为特征分析出可疑的控制源,进而结合白名单、联动检测、备案信息查询、样本特征分析等多种手段,圈定可疑控制域名、传播域名等。 B、采用反复迭代的方式对被感染者、控制源进行循环分析,每一步分析出现的新信息都成为下一次迭代的更新数据源,直到数据结果趋于稳定,从而进一步发现用户的二次感染、共享主机和病毒变种等,挖掘出更多的疑似病毒域名样本。