(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210945037.6 (22)申请日 2022.08.08 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　韩顺闯　韩伟召　 (74)专利代理 机构 北京轻创知识产权代理有限 公司 11212 专利代理师 姚晓丽 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种僵尸网络行为分析方法、 装置、 电子设 备及介质 (57)摘要 本发明涉及一种僵尸网络行为分析方法、 装 置、 电子设备及介质， 该方法包括： 获取针对待检 测对象的僵尸网络行为相关信息， 僵尸网络行为 相关信息包括网络流量数据和安全设备告警信 息； 根据网络流量数据和安全设备告警信息， 确 定感染僵尸病毒的源地址对应的第一源地址集 合； 对网络流量数据进行僵尸网络行为分析， 确 定网络流量数据中被源地址攻击的目标地址对 应的第二源地址集合； 根据预设周期内网络流量 数据中的源地址的访问量排名， 确定访问量排名 中排名靠前的第一数量的源地址对应的第三源 地址集合； 根据第一源地址集合、 第二源地址集 合和第三源地址集合， 确定待检测对象的初始僵 尸网络行为分析结果。 通过本发明的方法， 确定 的分析结果更加准确。 权利要求书2页 说明书15页 附图3页 CN 115361182 A 2022.11.18 CN 115361182 A 1.一种僵尸网络行为分析 方法， 其特 征在于， 包括： S1， 获取针对待检测对象的僵尸网络行为相关信息， 所述僵尸网络行为相关信息包括 网络流量数据和安全设备告警信息； S2， 根据所述网络流量数据和所述安全设备告警信息， 确定感染僵尸病毒的源地址对 应的第一源地址集 合； S3， 对所述网络流量数据进行僵尸网络行为分析， 确定所述网络流量数据中被源地址 攻击的目标地址对应的第二源地址集 合； S4， 根据预设周期内所述网络流量数据中的源地址的访 问量排名， 确定所述访 问量排 名中排名靠前的第一数量的源地址对应的第三源地址集 合； S5， 根据所述第一源地址集合、 所述第二源地址集合和所述第 三源地址集合， 确定所述 待检测对象的初始僵尸网络行为分析 结果。 2.根据权利要求1所述的方法， 其特征在于， 所述网络流量数据包括流量日志， 所述安 全设备告警信息包括网络审计日志、 威胁情 报和僵木儒日志， 所述方法还 包括： 提取所述流量日志中的网络监测特征， 所述网络监测特征包括源地址、 源端口、 目标地 址和目标端口； 所述根据 所述网络流量数据和所述安全设备告警信 息， 确定感染僵尸病 毒的源地址对 应的第一源地址集 合， 包括： 根据所述网络监测特征和所述威胁情报， 确定感染僵尸病 毒的源地址对应的第 一源地 址集合； 所述对所述网络流量数据进行僵尸网络行为分析， 确定所述网络流量数据中被源地址 攻击的目标地址对应的第二源地址集 合， 包括： 对所述源地址和所述目标地址进行关联分析， 确定所述源地址攻击的目标地址对应的 第二源地址集 合。 3.根据权利要求1所述的方法， 其特征在于， 所述初始僵尸网络行为分析结果包括僵尸 网络行为告警信息和 攻击事件告警信息， 所述僵尸网络行为告警信息包括事件时间、 攻击 类型、 协议、 控制端地址、 控制端端口、 被控端地址、 被控端端口、 告警安全设备地址、 事件地 址、 处置动作和告警类型中的至少一项； 所述攻击事件告警信息包括源地址、 目的地址、 攻 击名称， 攻击样本名称、 告警时间、 危险级别、 行为参数、 响应方式和告警类型中的至少一 项。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 根据所述 安全设备告警信息， 确定 僵木儒告警信息； 根据所述僵木儒告警信 息对所述僵尸网络行为告警信 息进行验证， 确定最终僵尸网络 行为分析 结果。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法还 包括： 从所述僵木儒告警信息中提取僵尸行为特征， 所述僵尸行为特征包括攻击时间、 告警 标识、 攻击源地址、 资产地址、 攻击类型和处置方式； 所述根据 所述僵木儒告警信 息对所述僵尸网络行为告警信 息进行验证， 确定最终僵尸 网络行为分析 结果， 包括： 根据所述僵尸行为特征， 对所述僵尸网络行为告警信息进行验证， 确定所述最终僵尸权　利　要　求　书 1/2 页 2 CN 115361182 A 2网络行为分析 结果。 6.根据权利要求1至4中任一项所述的方法， 其特征在于， 所述步骤S2至所述步骤S5是 通过僵尸网络行为分析模型确定的， 所述方法还 包括： 根据所述初始僵尸网络行为分析结果， 确定所述待检测对象的僵尸网络行为告警次数 或误报率； 在所述僵尸网络行为告警次数大于第一设定值， 或者所述误报率大于第二设定值时， 调整所述僵尸网络行为分析模型 的模型参数， 并基于调整后的模型参数重新训练模型， 直 到所述僵尸网络行为告警次数不大于第一设定值， 或者所述 误报率不大于第二设定值。 7.根据权利要求1至4中任一项所述的方法， 其特征在于， 所述步骤S5， 根据所述第一源 地址集合、 所述第二源地址集合和所述第三源地址集合， 确定所述待检测对 象的初始僵尸 网络行为分析 结果， 包括： 根据所述第一源地址集 合和所述第二源地址集 合， 确定第一分析 结果； 根据所述第一源地址集 合和所述第三源地址集 合， 确定第二分析 结果； 根据所述第二源地址集 合和所述第三源地址集 合， 确定第三分析 结果； 根据所述第一分析结果、 所述第二分析结果和所述第三分析结果， 确定所述待检测对 象的初始僵尸网络行为分析 结果。 8.一种僵尸网络行为分析装置， 其特 征在于， 包括： 数据获取模块， 用于获取针对待检测对象的僵尸网络行为相关信息， 所述僵尸网络行 为相关信息包括网络流 量数据和安全设备告警信息； 第一分析模块， 用于根据所述网络流量数据和所述安全设备告警信息， 确定感染僵尸 病毒的源地址对应的第一源地址集 合； 第二分析模块， 用于对所述网络流量数据进行僵尸网络行为分析， 确定所述网络流量 数据中被源地址攻击的目标地址对应的第二源地址集 合； 第三分析模块， 用于根据预设周期内所述网络流量数据中的源地址的访 问量排名， 确 定所述访问量 排名中排名靠前的第一数量的源地址对应的第三源地址集 合； 初始分析结果确定模块， 用于根据所述第一源地址集合、 所述第二源地址集合和所述 第三源地址集 合， 确定所述待检测对象的初始僵尸网络行为分析 结果。 9.一种电子设备， 其特征在于， 包括存储器、 处理器及存储在存储器上并可在处理器上 运行的计算机程序， 所述处理器执行所述计算机程序时实现权利要求1 ‑7中任一项所述的 方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115361182 A 3