基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)與檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的僵尸網(wǎng)絡(luò)檢測(cè)方法��,尤其涉及一種基于 NetFlow的僵尸網(wǎng)絡(luò)綜合檢測(cè)系統(tǒng)與檢測(cè)方法����。
【背景技術(shù)】
[0002] 計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)今社會(huì)最為重要的信息設(shè)施,隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展�,網(wǎng)絡(luò) 安全問(wèn)題逐漸引起人們的廣泛關(guān)注。僵尸網(wǎng)絡(luò)(Botnet)是指攻擊者(BotOwner)制造并傳 播僵尸程序以控制大量節(jié)點(diǎn)(通常所說(shuō)的僵尸機(jī)或肉雞)����,利用命令和控制(Co_and and Control,C&C)通道組織成的網(wǎng)絡(luò)����,僵尸網(wǎng)絡(luò)經(jīng)常被用于發(fā)起分布式拒絕服務(wù)(Distributed Denial-of-Service,DDoS)攻擊�、發(fā)送垃圾郵件、傳播或托管惡意代碼和釣魚(yú)網(wǎng)站����,或者實(shí) 施身份信息與商業(yè)機(jī)密竊取等攻擊�。
[0003] 近年來(lái)��,僵尸網(wǎng)絡(luò)已對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全和社會(huì)經(jīng)濟(jì)構(gòu)成了極大的威脅�����,成為網(wǎng)絡(luò) 安全領(lǐng)域的重要問(wèn)題���,僵尸網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)刑事案件也頻頻出現(xiàn)于各種媒體之上�����。
[0004] 總體看來(lái)�,現(xiàn)今的僵尸網(wǎng)絡(luò)普遍具有更新快���、規(guī)模擴(kuò)大迅速的特點(diǎn)���,有些僵尸網(wǎng)絡(luò) 甚至通過(guò)產(chǎn)生大量的垃圾流量以繞過(guò)檢測(cè)機(jī)制,傳統(tǒng)的基于異常行為的僵尸網(wǎng)絡(luò)檢測(cè)技 術(shù)�,在大數(shù)據(jù)環(huán)境下,難以保證準(zhǔn)確與快速����。
[0005] 現(xiàn)有的基于網(wǎng)絡(luò)通信監(jiān)測(cè)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)和方法�����,大多是基于僵尸網(wǎng)絡(luò)C&C 通信常用的IRC和HTTP協(xié)議的分析,以及對(duì)僵尸網(wǎng)絡(luò)感染節(jié)點(diǎn)的攻擊等異常行為的檢測(cè)�, 并不能快速、準(zhǔn)確地檢測(cè)僵尸網(wǎng)絡(luò)��。
[0006] 本領(lǐng)域的技術(shù)人員致力于開(kāi)發(fā)一種僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)與檢測(cè)方法�����,
【發(fā)明內(nèi)容】
[0007] 有鑒于現(xiàn)有的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)和檢測(cè)方法的缺陷�����,本發(fā)明提供了一種基于 NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)�,能夠快速、準(zhǔn)確地檢測(cè)僵尸網(wǎng)絡(luò)����,以保證網(wǎng)絡(luò)安全。
[0008] 本發(fā)明還提供了一種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法�。
[0009] NetFlow是一種數(shù)據(jù)交換方式�����,NetFlow技術(shù)主要源于流技術(shù)的提出�,是Flow技 術(shù)的典型代表����。其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù) 據(jù),生成NetFlow緩存����,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,不再匹 配相關(guān)的訪問(wèn)控制等策略�,NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。
[0010] 基于Netflow的以上特性�,因此NetFlow技術(shù)在實(shí)際網(wǎng)絡(luò)中得到廣泛應(yīng)用。主要 應(yīng)用在流量監(jiān)控�����、流量計(jì)費(fèi)��、用戶(hù)監(jiān)控�����、網(wǎng)絡(luò)規(guī)劃和安全分析及監(jiān)控等方面。
[0011] 本發(fā)明提供了一種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)與檢測(cè)方法���,利用NetFlow 在異常流量分析中的高效�����、快速�、便捷的優(yōu)勢(shì)�����,實(shí)現(xiàn)在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜����、平均負(fù)載較高的 環(huán)境中對(duì)高隱蔽性�、高危害性的僵尸網(wǎng)絡(luò)的檢測(cè)和跟蹤,在保證準(zhǔn)確性的前提下��,大幅度提 高速度與效率�。
[0012] 本發(fā)明提供一種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)包括:
[0013] 數(shù)據(jù)采集模塊,設(shè)置于目標(biāo)網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)��,用于采集節(jié)點(diǎn)的NetFlow數(shù) 據(jù)流;
[0014] 預(yù)處理模塊��,用于對(duì)數(shù)據(jù)采集模塊采集的NetFlow數(shù)據(jù)流進(jìn)行預(yù)處理��;
[0015] 節(jié)點(diǎn)評(píng)估模塊��,用于通過(guò)分析函數(shù)Fbtrt (Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò) 概率Pboti;
[0016] 拓?fù)浒l(fā)現(xiàn)模塊��,用于分析預(yù)處理后的NetFlow數(shù)據(jù)流����,獲得數(shù)據(jù)流向量,并繪制所 有數(shù)據(jù)流向量組成的數(shù)據(jù)流通信圖���;
[0017] 相關(guān)性分析模塊�,用于繪制與分析以疑似僵尸網(wǎng)絡(luò)概率Pboti為權(quán)重的數(shù)據(jù)流通 信圖���,計(jì)算目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率��,如果概率大于設(shè)定閾值�����,目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)��;
[0018] 數(shù)據(jù)采集模塊�����、預(yù)處理模塊�����、節(jié)點(diǎn)評(píng)估模塊�、拓?fù)浒l(fā)現(xiàn)模塊與相關(guān)性分析模塊連 接。
[0019] 進(jìn)一步地�����,節(jié)點(diǎn)為網(wǎng)關(guān)節(jié)點(diǎn)或路由器節(jié)點(diǎn)����。
[0020] 進(jìn)一步地����,基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法包括如下步驟:
[0021] (1)設(shè)置于目標(biāo)網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)的數(shù)據(jù)采集模塊,采集節(jié)點(diǎn)的NetFlow數(shù)據(jù)流�;
[0022] (2)預(yù)處理模塊對(duì)數(shù)據(jù)采集模塊采集的NetFlow數(shù)據(jù)流進(jìn)行預(yù)處理;
[0023] (3)節(jié)點(diǎn)評(píng)估模塊通過(guò)分析函數(shù)Fbtrt (Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò) 概率Pboti;
[0024] (4)拓?fù)浒l(fā)現(xiàn)模塊分析預(yù)處理后的NetFlow數(shù)據(jù)流�����,獲得數(shù)據(jù)流向量,并繪制所有 數(shù)據(jù)流向量組成的數(shù)據(jù)流通信圖��;
[0025] (5)相關(guān)性分析模塊繪制與分析以疑似僵尸網(wǎng)絡(luò)概率Pboti為權(quán)重的數(shù)據(jù)流通信 圖��,計(jì)算目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率��,如果概率大于設(shè)定閾值�����,目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)�����。
[0026] 進(jìn)一步地���,步驟(2)中的預(yù)處理包括標(biāo)準(zhǔn)化�����,標(biāo)準(zhǔn)化包括以下步驟:
[0027] (21)將數(shù)據(jù)流定義為標(biāo)準(zhǔn)向量格式:
[0028] Vi= (S IP, Sport, DIP, Dport, ProtocalType, ByteSize, PacketNum)
[0029] 其中Sip為源IP地址�����、S pOTt為源端口�、D IP為目的IP地址、D pOTt為目的端口�����、 ProtocalType為協(xié)議類(lèi)型����、ByteSize為數(shù)據(jù)流大小、PacketNum為數(shù)據(jù)包數(shù)量�����。
[0030] 進(jìn)一步地�����,步驟(2)中的預(yù)處理包括過(guò)濾�����,過(guò)濾包括以下步驟:
[0031] (22)根據(jù)黑名單和/或白名單���,過(guò)濾確鑿的僵尸節(jié)點(diǎn)與無(wú)威脅節(jié)點(diǎn)�����;
[0032] (23)根據(jù)NetFlow數(shù)據(jù)包大小���,過(guò)濾大數(shù)據(jù)報(bào)文的節(jié)點(diǎn)。
[0033] 進(jìn)一步地����,步驟(3)中通過(guò)分析函數(shù)Fbrt (Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng) 絡(luò)概率Pboti的方法包括以下步驟:
[0034] (31)設(shè)置規(guī)則集合Rule [M],并計(jì)算每一條規(guī)則的權(quán)重���,其中w[rule」]為第j條 規(guī)則的權(quán)重�,M為規(guī)則集合中的規(guī)則數(shù)����;
[0035] (32)計(jì)算每一條規(guī)則在整個(gè)規(guī)則集合中所占的比例權(quán)重,第j條規(guī)則的比例權(quán)重 為第j條規(guī)則的權(quán)重與所有規(guī)則權(quán)重和之比:
[0036]
【主權(quán)項(xiàng)】
1?一種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)����,其特征在于,所述基于NetFlow的僵尸網(wǎng)絡(luò) 檢測(cè)系統(tǒng)包括: 數(shù)據(jù)采集模塊��,設(shè)置于目標(biāo)網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)�,用于采集所述節(jié)點(diǎn)的NetFlow數(shù) 據(jù)流��; 預(yù)處理模塊����,用于對(duì)所述數(shù)據(jù)采集模塊采集的所述NetFlow數(shù)據(jù)流進(jìn)行預(yù)處理���; 節(jié)點(diǎn)評(píng)估模塊��,用于通過(guò)分析函數(shù)