一種垃圾殭屍檢測方法及系統的製作方法

2023-06-03 00:34:06 3

一種垃圾殭屍檢測方法及系統的製作方法
【專利摘要】本發明公開了一種垃圾殭屍檢測方法，包括：對網絡中被監測主機發送的每封郵件評分，根據各郵件得分與預設分類閾值的比較判定郵件為正常郵件或垃圾郵件；根據對被監測主機所發送各郵件的判定結果，確定被監測主機是否是垃圾殭屍。本發明同時還公開了一種垃圾殭屍檢測系統，採用本發明，能夠主動地有效地從源頭去阻斷垃圾郵件的發送。
【專利說明】-種垃圾殭屍檢測方法及系統

【技術領域】
[0001] 本發明涉及計算機網絡安全領域的垃圾郵件過濾技術，尤其涉及一種垃圾殭屍檢 測方法及系統。

【背景技術】
[0002] 隨著網際網路的普及，垃圾郵件也迅速泛濫，垃圾郵件攜帶著大量廣告、不法宣傳等 垃圾信息，給正常使用電子郵件的廣大用戶帶來很多不便。為了解決這一問題，各種垃圾郵 件過濾技術應運而生，試圖控制垃圾郵件的蔓延。
[0003] 近年來，反垃圾郵件技術發展迅速，但垃圾郵件的發送技術也越來越高超。越來越 多的垃圾郵件製造者開始利用代理或者垃圾殭屍（也稱為垃圾郵件殭屍）代發郵件，這樣 就隱藏了真正的垃圾郵件發送源頭，這為垃圾郵件的檢測帶來了新的挑戰。進一步研究表 明，受經濟利益的驅使，更多的垃圾郵件製造者還會僱傭大量被感染的網絡主機來發送垃 圾郵件，且這一類被感染的網絡主機目前已成為發送垃圾郵件的主要源頭。
[0004] 實際應用中，所謂垃圾殭屍一般都是用戶終端，是普通的用戶主機，尤其是那些採 用微軟Windows作業系統的主機，更容易受到郵件殭屍病毒的侵蝕。一旦被郵件殭屍病毒 感染，成為垃圾殭屍，被感染的主機就會在其真正主人不知道的情況下發送大量垃圾郵件。 與傳統方法相比，這種發送方式更為隱蔽，因而更不易被察覺。
[0005] 通常，垃圾殭屍會以集中控制的方式分散在整個網絡中，具有很強的隱蔽性，故難 以被檢測。由於垃圾殭屍的數量太多，如果垃圾殭屍被利用來發動網絡攻擊，對於網絡基礎 設備的穩定性而言將是一場災難。另外，垃圾殭屍還可能被用於盜竊用戶的財產和機密信 息、侵犯用戶的隱私、以及被作為隱藏蹤跡的跳板和發送垃圾郵件的平臺；這些都將對互聯 網空間和虛擬社區產生破壞性影響。隨著垃圾殭屍的泛濫，垃圾郵件利用垃圾殭屍大量傳 播，其數量每年正以驚人的速度遞增。
[0006] 檢測網絡中的垃圾殭屍，做到真正從源頭去阻斷垃圾郵件的發送，而不是被動地 過濾郵件，這將對垃圾郵件的過濾將起到極大地推動作用，因而是一項非常有意義的工作。 然而，目前這方面的產品較少，其性能也難以滿足現實應用的需求。


【發明內容】

[0007] 有鑑於此，本發明的主要目的在於提供一種垃圾殭屍檢測方法及系統，能夠主動、 有效地從源頭阻斷垃圾郵件的發送。
[0008] 為達到上述目的，本發明的技術方案是這樣實現的：
[0009] 本發明提供了一種垃圾殭屍檢測方法，所述方法包括：對網絡中被監測主機發送 的每封郵件評分，根據各郵件得分與預設分類閾值的比較判定郵件為正常郵件或垃圾郵 件；根據對被監測主機所發送各郵件的判定結果，確定被監測主機是否是垃圾殭屍。
[0010] 上述方案中，所述對網絡中被監測主機發送的每封郵件評分之前，從流經交換機 的網絡流量中提取出被監測主機發送的郵件流量。 toon] 上述方案中，所述確定被監測主機是否是垃圾殭屍之後，生成垃圾殭屍黑白名單， 實時更新垃圾殭屍黑白名單。
[0012] 上述方案中，所述判定郵件為正常郵件或垃圾郵件採用的模型是邏輯回歸模型或 支持向量機SVM模型；所述判定郵件為正常郵件或垃圾郵件包括：對知識庫中的正常郵件 和垃圾郵件的特徵樣本分別進行訓練，得到正常郵件和垃圾郵件的訓練器；根據得到的正 常郵件和垃圾郵件訓練器形成對應的正常郵件檢測器和垃圾郵件檢測器；將正常郵件檢測 器和垃圾郵件檢測器串聯，對正常郵件和垃圾郵件進行分類。
[0013] 上述方案中，所述根據對被監測主機所發送各郵件的判定結果，確定被監測主機 是否是垃圾殭屍，包括：將郵件得分進行歸一化；根據被監測主機發送的任意一封郵件，單 次判斷被監測主機是否是垃圾殭屍；在對單次判斷進行累積的基礎上，總判決被監測主機 是否是垃圾殭屍。
[0014] 上述方案中，所述單次判斷被監測主機是否是垃圾殭屍包括：建立正常主機4和 垃圾殭屍氏發送的郵件樣本的概率模型；根據

【權利要求】
1. 一種垃圾殭屍檢測方法，其特徵在於，所述方法包括： 對網絡中被監測主機發送的每封郵件評分，根據各郵件得分與預設分類閾值的比較判 定郵件為正常郵件或垃圾郵件； 根據對被監測主機所發送各郵件的判定結果，確定被監測主機是否是垃圾殭屍。
2. 根據權利要求1所述的方法，其特徵在於，所述方法還包括：所述對網絡中被監測主 機發送的每封郵件評分之前，從流經交換機的網絡流量中提取出被監測主機發送的郵件流 量。
3. 根據權利要求1或2所述的方法，其特徵在於，所述方法還包括：所述確定被監測主 機是否是垃圾殭屍之後，生成垃圾殭屍黑白名單，實時更新垃圾殭屍黑白名單。
4. 根據權利要求1或2所述的方法，其特徵在於，所述判定郵件為正常郵件或垃圾郵件 採用的模型是邏輯回歸模型或支持向量機SVM模型； 所述判定郵件為正常郵件或垃圾郵件包括： 對知識庫中的正常郵件和垃圾郵件的特徵樣本分別進行訓練，得到正常郵件和垃圾郵 件的訓練器； 根據得到的正常郵件和垃圾郵件訓練器形成對應的正常郵件檢測器和垃圾郵件檢測 器； 將正常郵件檢測器和垃圾郵件檢測器串聯，對正常郵件和垃圾郵件進行分類。
5. 根據權利要求1或2所述的方法，其特徵在於，所述根據對被監測主機所發送各郵件 的判定結果，確定被監測主機是否是垃圾殭屍，包括： 將郵件得分進行歸一化； 根據被監測主機發送的任意一封郵件，單次判斷被監測主機是否是垃圾殭屍； 在對單次判斷進行累積的基礎上，總判決被監測主機是否是垃圾殭屍。
6. 根據權利要求5所述的方法，其特徵在於，所述單次判斷被監測主機是否是垃圾僵 屍包括： 建立正常主機Η ^和垃圾殭屍氏發送的郵件樣本的概率模型； 根據
計算統計量Ai; 其中，In表不自然對數，Xi表不主機m發送的第i封郵件的歸一化得分，P% 1?)表不 正常主機％發送郵件得分為\的概率，P (\ |氏）表示垃圾殭屍氏發送郵件得分為\的概 率； 根據計算得到的統計量判斷主機是正常主機4還是垃圾殭屍氏。
7. 根據權利要求6所述的方法，其特徵在於，所述概率模型採用伯努利模型或者高斯 模型。
8. 根據權利要求5所述的方法，其特徵在於，所述總判決被監測主機是否是垃圾殭屍， 包括： 設定總判斷門限K和垃圾殭屍門限F ; 在K次總判斷中，若被監測主機被判斷為垃圾殭屍的次數Q >垃圾殭屍門限F，則將被 監測主機確定為垃圾殭屍；若被監測主機被判斷為垃圾殭屍的次數Q〈垃圾殭屍門限F，則 將被監測主機確定為正常主機。
9. 一種垃圾殭屍檢測系統，其特徵在於，所述系統包括郵件過濾器和垃圾殭屍檢測器； 其中， 所述郵件過濾器，用於對網絡中被監測主機發送的每封郵件評分，根據各郵件得分與 預設分類閾值的比較判定郵件為正常郵件或垃圾郵件； 所述垃圾殭屍檢測器，用於根據對被監測主機所發送各郵件的判定結果，確定被監測 主機是否是垃圾殭屍。
10. 根據權利要求9所述的系統，其特徵在於，所述系統還包括網絡分流器，用於從流 經交換機的網絡流量中提取出被監測主機發送的郵件流量，並發送給郵件過濾器。
11. 根據權利要求9或10所述的系統，其特徵在於，所述郵件過濾器包括訓練器單元、 檢測器單元和分類器單元；其中， 所述訓練器單元，用於對知識庫中的正常郵件和垃圾郵件的特徵樣本分別進行訓練， 得到正常郵件和垃圾郵件的訓練器； 所述檢測器單元，用於根據得到的正常郵件和垃圾郵件訓練器形成對應的正常郵件檢 測器和垃圾郵件檢測器； 所述分類器單元，用於將正常郵件檢測器和垃圾郵件檢測器串聯，對正常郵件和垃圾 郵件進行分類。
12. 根據權利要求11所述的系統，其特徵在於，所述郵件過濾器包括還包括知識庫單 元、知識庫更新單元；其中， 所述知識庫單元，用於通過不斷獲得帶用戶反饋的網絡各主機發送的郵件，構建關於 正常郵件和垃圾郵件的知識庫； 所述知識庫更新單元，用於將郵件分類結果反饋到訓練器單元，並將帶用戶反饋的郵 件輸入到訓練器單元； 相應的，訓練器單元，還用於根據用戶反饋對每封郵件的分類結果進行在線學習，根據 學習結果更新和完善知識庫。
13. 根據權利要求9所述的系統，其特徵在於，所述垃圾殭屍檢測器包括：歸一化單元、 單次判斷單元和總判決單元；其中， 所述歸一化單元，用於將郵件得分進行歸一化； 所述單次判斷單元，用於根據被監測主機發送的任意一封郵件，單次判斷被監測主機 是否是垃圾殭屍； 所述總判決單元，用於在單次判斷進行累積的基礎上，總判決被監測主機是否是垃圾 殭屍。
14. 根據權利要求13所述的系統，其特徵在於，所述垃圾殭屍檢測器還包括：黑名單單 元，用於生成垃圾殭屍黑白名單，實時更新垃圾殭屍黑白名單。
15. 根據權利要求13或14所述的系統，其特徵在於，所述單次判斷單元包括概率模型 單元、統計量計算單元和單次分類單元；其中， 所述概率模型單元，用於建立正常主機％和垃圾殭屍氏發送的郵件樣本的概率模型； 所述統計量計算單元，用於根據
計算統計量Λ ρ 其中，In表不自然對數，Xi表不主機m發送的第i封郵件的歸一化得分，P% 1?)表不 正常主機％發送郵件得分為Xi的概率，P (Xi I氏）表示垃圾殭屍Hi發送郵件得分為Xi的概 率； 所述單次分類單元，用於根據計算得到的統計量判斷主機是正常主機4還是垃圾殭屍 H1〇
【文檔編號】H04L12/58GK104158792SQ201310177784
【公開日】2014年11月19日 申請日期:2013年5月14日 優先權日:2013年5月14日
【發明者】孫廣路, 孫宏躍, 馬英財, 閆如勝 申請人:中興通訊股份有限公司