專利名稱:基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng)���,屬于計算機網(wǎng)絡(luò)入侵檢測領(lǐng)域�����。
背景技術(shù):
僵尸網(wǎng)絡(luò)是一種從傳統(tǒng)惡意代碼進化而來的新型攻擊形式�����。低成本高效地僵尸網(wǎng)絡(luò)通過發(fā)送垃圾郵件�、拒絕服務(wù)攻擊、竊取敏感信息等惡意活動已對正常的網(wǎng)絡(luò)服務(wù)造成嚴重威脅����。僵尸網(wǎng)絡(luò)研究涉及防御或抑制、遷移�、傳播、檢測�����、可視化等各個方面��,而其中的僵尸網(wǎng)絡(luò)檢測是對其進行有效防御和反制的基本前提?�,F(xiàn)有多數(shù)檢測算法均基于包或流方式����。雖然這類算法在很多實際環(huán)境中取得了較高的準確率等性能��,但導(dǎo)致了諸如檢測率低��、 特征敏感�、處理數(shù)據(jù)量大及無法識別未知僵尸等問題�����。實用新型內(nèi)容為了解決上述問題�,本實用新型提供一種基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng),適合大規(guī)模實時性的僵尸檢測��,能夠發(fā)現(xiàn)未知的新型僵尸�����,防御范圍更廣�、效率更高。本實用新型為解決其技術(shù)問題采用如下技術(shù)方案一種基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng)�,包括網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器�����、中心捕獲器、檢測機和控制服務(wù)器�����,網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器分別與控制服務(wù)器連接�����,控制服務(wù)器與檢測機連接�。本實用新型的有益效果如下I、通過協(xié)調(diào)采樣周期和時間窗口�,減少需處理的捕獲數(shù)據(jù)量。2���、通過由檢測率和準確度得到的綜合因子改善評價指標����。3����、通過節(jié)點的層面提高對僵尸的檢測范圍。4���、適合大規(guī)模實時性的僵尸檢測����,能夠發(fā)現(xiàn)未知的新型僵尸,防御范圍更廣���、效率更高��。
圖I為本實用新型的僵尸網(wǎng)絡(luò)檢測系統(tǒng)結(jié)構(gòu)示意圖�。圖2為本實用新型的僵尸網(wǎng)絡(luò)檢測流程示意圖�����。
具體實施方式
以下結(jié)合附圖對本發(fā)明創(chuàng)造做進一步詳細說明��。如圖I所示����,僵尸網(wǎng)絡(luò)檢測系統(tǒng)包括網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器、中心捕獲器�����、檢測機�、控制服務(wù)器。網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器分別與控制服務(wù)器連接,控制服務(wù)器與檢測機連接���。如圖2所示,為僵尸網(wǎng)絡(luò)檢測流程圖���,網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器分別放置在核心交換機和中心路由器的位置上�,網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器負責根據(jù)規(guī)則進行信息的獲取��,獲取后的單個節(jié)點數(shù)據(jù)完成后通過相關(guān)協(xié)議與控制服務(wù)器交互����,由控制服務(wù)器完成后續(xù)的合并處理工作,最后處理后的數(shù)據(jù)交給檢測機進行檢測并生成報告結(jié)果���。其中網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器與控制服務(wù)器����,中心捕獲器與控制服務(wù)器�����,控制服務(wù)器與檢測機之間通過通信線路(有線線路或無線線路)相互連接����。采用節(jié)點的策略處理網(wǎng)絡(luò)中的數(shù)據(jù)�����。節(jié)點對應(yīng)一個IP地址����,一個通信過程是節(jié)點間的相互交互�,即一個通信過程有兩個以上的流組成,而節(jié)點包含多個通信過程�����。以節(jié)點為檢測對象���,所表現(xiàn)的新特性主要有節(jié)點總的連接成功率���,節(jié)點含有的通信個數(shù),通信過程所使用的協(xié)議分布�����,節(jié)點的通信量等�。提取的節(jié)點特征包括協(xié)議數(shù)、流的個數(shù)、發(fā)送包數(shù)�、發(fā)送包與接受包數(shù)比、發(fā)送包平均長����、發(fā)送包與接受包平均長度比等���。采用節(jié)點策略提取特征后���,對數(shù)據(jù)進行訓練學習,形成檢測模型�����。在提取節(jié)點特征時��,采用時間抽樣方法提取需處理的網(wǎng)絡(luò)數(shù)據(jù)���,即隔一定的周期進行網(wǎng)絡(luò)數(shù)據(jù)的采集�����,時間窗口控制在60秒-180秒之間����。生成檢測報告時,對僵尸檢測的效率采用綜合因子指標進行評價���,綜合因子有檢測率和精確率構(gòu)成�����。
權(quán)利要求1.一種基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng)�����,其特征在于包括網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器����、中心捕獲器�、檢測機和控制服務(wù)器,網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器分別與控制服務(wù)器連接���,控制服務(wù)器與檢測機連接���。
專利摘要本實用新型公開了一種基于節(jié)點的僵尸網(wǎng)絡(luò)檢測系統(tǒng),屬于計算機網(wǎng)絡(luò)入侵檢測領(lǐng)域����。該系統(tǒng)包括網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器����、中心捕獲器���、檢測機和控制服務(wù)器����,網(wǎng)絡(luò)數(shù)據(jù)邊緣捕獲器和中心捕獲器分別與控制服務(wù)器連接���,控制服務(wù)器與檢測機連接。該檢測系統(tǒng)適合大規(guī)模實時性的僵尸檢測��,防御范圍更廣�����、效率更高����。
文檔編號H04L12/26GK202652243SQ201220292800
公開日2013年1月2日 申請日期2012年6月21日 優(yōu)先權(quán)日2012年6月21日
發(fā)明者尹春勇, 孫汝霞, 楊磊 申請人:南京信息工程大學