| 发明名称 | 一种检测僵尸网络的方法及其系统 | ||
| 摘要 | 本发明公开了一种检测僵尸网络的方法及其系统,属于计算机安全领域。本发明的方法为:首先从网络数据包中提取出IRC协议数据;然后将协议数据与数据特征库中的特征码进行匹配,获取僵尸网络数据包;对僵尸网络数据包进行划分,将来自同一僵尸网络的僵尸网络数据包关联起来;最后根据划分后的僵尸网络数据包确定出同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机,从而描绘出该僵尸网络的拓扑结构。本发明的系统包括:网络数据解析模块、僵尸网络数据识别模块、僵尸网络数据深度挖掘模块。与现有技术相比,本发明可以对整个僵尸网络进行整体的分析和防御,防御效果更好、防御范围更广、效率更高、溯源性更好。 | ||
| 申请公布号 | CN101404658A | 申请公布日期 | 2009.04.08 |
| 申请号 | CN200810225455.8 | 申请日期 | 2008.10.31 |
| 申请人 | 北京锐安科技有限公司 | 发明人 | 安丙春 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I;G06F17/30(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京君尚知识产权代理事务所 | 代理人 | 余功勋 |
| 主权项 | 1.一种检测僵尸网络的方法,其步骤为:1)从网络数据包中提取出IRC协议数据;2)将协议数据与数据特征库中的特征码进行匹配,获取僵尸网络数据包;3)对僵尸网络数据包进行划分,将来自同一僵尸网络的僵尸网络数据包相互关联起来;4)根据划分后的僵尸网络数据包确定出同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机,得到该僵尸网络的拓扑结构。 | ||
| 地址 | 100044北京市海淀区中关村南大街乙56号方圆大厦9层 | ||