技術(shù)特征:1.一種僵尸網(wǎng)絡(luò)家族的識別方法���,其特征在于����,所述方法包括:
對待識別數(shù)據(jù)包進(jìn)行聚類����,以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別;
依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征�����,生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量;
利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進(jìn)行識別���,以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族����。
2.如權(quán)利要求1所述的方法�,其特征在于,所述對待識別數(shù)據(jù)包進(jìn)行聚類���,以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別的步驟�����,包括:
按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進(jìn)行分組�,以得到若干數(shù)據(jù)包分組�����;其中��,所述預(yù)置字段特征包括源地址�����、源端口、以及數(shù)據(jù)包類型�����;
針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳��,將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中�。
3.如權(quán)利要求2所述的方法�,其特征在于,所述方法還包括:
判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值�,若是,則保留所述數(shù)據(jù)包類別��;否則丟棄所述數(shù)據(jù)包類別�����;和/或
判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值�����,若是���,則保留所述數(shù)據(jù)包類別����;否則丟棄所述數(shù)據(jù)包類別。
4.如權(quán)利要求1所述的方法�����,其特征在于��,所述依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征��,生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量的步驟����,包括:
依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征,生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量�;
將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進(jìn)行組合,以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量��。
5.如權(quán)利要求4所述的方法�,其特征在于,所述利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進(jìn)行識別����,以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族的步驟,包括:
依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量,生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣�����;
確定所述包特征矩陣的列對應(yīng)的熵值��;
判斷所述熵值與所述預(yù)置特征是否匹配�����,若匹配����,則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族����。
6.如權(quán)利要求1至5中任一所述的方法,其特征在于����,所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包;所述方法還包括:
在攻擊端收集所述原始攻擊數(shù)據(jù)包�;和/或
通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包。
7.如權(quán)利要求6所述的方法�,其特征在于,所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包;
所述待識別數(shù)據(jù)包的字段特征包括:源地址��、源端口�����、以及初始序列號���。
8.如權(quán)利要求6所述的方法�,其特征在于����,所述反向散射數(shù)據(jù)包包括DNS responses數(shù)據(jù)包;
所述待識別數(shù)據(jù)包的字段特征包括:源地址���、源端口���、事務(wù)標(biāo)識、以及查詢域名���。
9.一種僵尸網(wǎng)絡(luò)家族的識別裝置����,其特征在于,所述裝置包括:
聚類模塊�,用于對待識別數(shù)據(jù)包進(jìn)行聚類,以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別����;
向量生成模塊,用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征��,生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量�����;
識別模塊�����,用于利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進(jìn)行識別����,以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族��。
10.如權(quán)利要求9所述的裝置���,其特征在于��,所述聚類模塊��,包括:
分組子模塊�����,用于按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進(jìn)行分組���,以得到若干數(shù)據(jù)包分組�����;其中����,所述預(yù)置字段特征包括源地址��、源端口����、以及數(shù)據(jù)包類型;
劃分子模塊�����,用于針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳,將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中�。