Fb()t (Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò)概率 Pboti; 拓?fù)浒l(fā)現(xiàn)模塊����,用于分析預(yù)處理后的NetFlow數(shù)據(jù)流,獲得數(shù)據(jù)流向量��,并繪制所有所 述數(shù)據(jù)流向量組成的數(shù)據(jù)流通信圖�����; 相關(guān)性分析模塊���,用于繪制與分析以所述疑似僵尸網(wǎng)絡(luò)概率Pboti為權(quán)重的數(shù)據(jù)流通 信圖��,計(jì)算所述目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率����,如果所述概率大于設(shè)定閾值�����,所述目標(biāo)網(wǎng)絡(luò)為 僵尸網(wǎng)絡(luò)����; 所述數(shù)據(jù)采集模塊、所述預(yù)處理模塊����、所述節(jié)點(diǎn)評(píng)估模塊���、所述拓?fù)浒l(fā)現(xiàn)模塊與所述相 關(guān)性分析模塊連接。
2.如權(quán)利要求1所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)��,其特征在于�,所述節(jié)點(diǎn)為關(guān) 鍵路由器節(jié)點(diǎn)。 3?-種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法�����,其特征在于�,所述基于NetFlow的僵尸網(wǎng)絡(luò) 檢測(cè)方法包括如下步驟: (1) 設(shè)置于目標(biāo)網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)的數(shù)據(jù)采集模塊,采集所述節(jié)點(diǎn)的 NetFlow數(shù)據(jù)流�����; (2) 預(yù)處理模塊對(duì)所述數(shù)據(jù)采集模塊采集的所述NetFlow數(shù)據(jù)流進(jìn)行預(yù)處理����; (3) 節(jié)點(diǎn)評(píng)估模塊通過(guò)分析函數(shù)Fb()t(Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò)概率 Pboti; (4) 拓?fù)浒l(fā)現(xiàn)模塊分析預(yù)處理后的NetFlow數(shù)據(jù)流,獲得數(shù)據(jù)流向量�����,并繪制所有所述 數(shù)據(jù)流向量組成的數(shù)據(jù)流通信圖��; (5) 相關(guān)性分析模塊繪制與分析以所述疑似僵尸網(wǎng)絡(luò)概率Pboti為權(quán)重的數(shù)據(jù)流通信 圖��,計(jì)算所述目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率�,如果所述概率大于設(shè)定閾值,所述目標(biāo)網(wǎng)絡(luò)為僵 尸網(wǎng)絡(luò)��。
4. 如權(quán)利要求3所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法��,其特征在于�����,步驟(2)中的 預(yù)處理包括標(biāo)準(zhǔn)化�,所述標(biāo)準(zhǔn)化包括以下步驟: (21) 將數(shù)據(jù)流定義為標(biāo)準(zhǔn)向量格式: Vi=(SIP,Sport,DIP,Dport,ProtocalType,ByteSize,PacketNum) 其中SIP為源IP地址、SpOTt為源端口����、DIP為目的IP地址、DpOTt為目的端口����、ProtocalType為協(xié)議類型、ByteSize為數(shù)據(jù)流大小���、PacketNum為數(shù)據(jù)包數(shù)量�����。
5. 如權(quán)利要求4所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法���,其特征在于����,步驟(2)中的 預(yù)處理包括過(guò)濾�����,所述過(guò)濾包括以下步驟: (22) 根據(jù)黑名單和/或白名單��,過(guò)濾確鑿的僵尸節(jié)點(diǎn)與無(wú)威脅節(jié)點(diǎn)��; (23) 根據(jù)NetFlow數(shù)據(jù)包大小�,過(guò)濾大數(shù)據(jù)報(bào)文的節(jié)點(diǎn)。
6. 如權(quán)利要求4或5所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法�,其特征在于,步驟(3) 中通過(guò)分析函數(shù)Fb()t(Vi)得到第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò)概率Pboti的方法包括以 下步驟: (31) 設(shè)置規(guī)則集合Rule[M]�����,并計(jì)算每一條規(guī)則的權(quán)重����,其中wQrulej]為第j條規(guī)則 的權(quán)重,M為規(guī)則集合中的規(guī)則數(shù)����; (32) 計(jì)算每一條規(guī)則在整個(gè)規(guī)則集合中所占的比例權(quán)重,第j條規(guī)則的比例權(quán)重為第 j條規(guī)則的權(quán)重與所有規(guī)則權(quán)重和之比:
(33) 分析函數(shù)fb(rt(Vi)為對(duì)于第i個(gè)數(shù)據(jù)流���,所有滿足的規(guī)則的比例權(quán)重之和: Fb〇t(vi) = 2jffeighttrulej]��; (34) 計(jì)算第i個(gè)數(shù)據(jù)流對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò)概率Pboti: Pboti=Fbot(Vi) 〇
7. 如權(quán)利要求6所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法�����,其特征在于����,步驟(31)中 設(shè)置規(guī)則集合Rule[M]��,并計(jì)算每一條規(guī)則的權(quán)重的方法包括以下步驟: (311) 采用自動(dòng)打標(biāo)簽式設(shè)置規(guī)則集合���,通過(guò)分析已發(fā)現(xiàn)的典型僵尸網(wǎng)絡(luò)中NetFlow 的流量��,統(tǒng)計(jì)出所有流量的特征矩陣����,從所述特征矩陣中選取概率最大的N個(gè)規(guī)則特征作 為匹配規(guī)則; (312) 計(jì)算第j條規(guī)則權(quán)重的公式為: w[rulej] =P(bot/rule』)����, 其中w[rulej]為第j條規(guī)則的權(quán)重,P(bot/rulej)為匹配第j個(gè)規(guī)則的先驗(yàn)概率��。
8. 如權(quán)利要求6所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法����,其特征在于,步驟(31)中 設(shè)置規(guī)則集合Rule[M]�����,并計(jì)算每一條規(guī)則的權(quán)重的方法包括以下步驟: (313) 采用手工打標(biāo)簽式設(shè)置規(guī)則集合���; (314) 為第j條規(guī)則指定一個(gè)威脅等級(jí)系數(shù)d[rule』]�����,d[rule』]的值為1至5的序列����, 則權(quán)重w[rule」]等于d[rule」],默認(rèn)為1 : w[rulej] =d[rulej]orl〇
9. 如權(quán)利要求6所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法����,其特征在于���,步驟(5)繪制 與分析以所述疑似僵尸網(wǎng)絡(luò)概率PbotiS權(quán)重的數(shù)據(jù)流通信圖���,計(jì)算所述目標(biāo)網(wǎng)絡(luò)為僵尸 網(wǎng)絡(luò)的概率的方法包括以下步驟: (51) 將⑶中計(jì)算得到的第i個(gè)數(shù)據(jù)流的所述疑似僵尸網(wǎng)絡(luò)通信概率Pbot^作為權(quán) 值,對(duì)(4)中的數(shù)據(jù)流通信圖中對(duì)應(yīng)的數(shù)據(jù)流進(jìn)行賦值�����,形成以數(shù)據(jù)流為邊的有向含權(quán)圖��; (52) 根據(jù)所述有向含權(quán)圖��,得到流量概率矩陣[Pmn]��,其中Pmn標(biāo)識(shí)節(jié)點(diǎn)m與節(jié)點(diǎn)n之間 的流量為疑似僵尸網(wǎng)絡(luò)通信概率����; (53) 計(jì)算目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率P��。
10. 如權(quán)利要求9所述的基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)方法����,其特征在于��,步驟(53)計(jì) 算目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率P的方法包括以下步驟: (531)設(shè)置敏感因子a���,節(jié)點(diǎn)m的威脅系數(shù)dm為: ,=ln(Pmn)1/am _ (iV-l)1/Q'��, 其中N為節(jié)點(diǎn)總數(shù)�����,所述敏感因子a代表對(duì)異常威脅值的敏感度檢測(cè)�����,a值越大����,表 示高于平均水平的異常威脅值的權(quán)重越高��; (532)設(shè)置敏感因子0����,目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率P為:
其中N為節(jié)點(diǎn)總數(shù)��;所述敏感因子0代表對(duì)異常威脅值的敏感度檢測(cè)��,0值越大�����,表 示高于平均水平的異常威脅值的權(quán)重越高。
【專利摘要】本發(fā)明提供一種基于NetFlow的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)包括:數(shù)據(jù)采集模塊�、預(yù)處理模塊、節(jié)點(diǎn)評(píng)估模塊�、拓?fù)浒l(fā)現(xiàn)模塊以及相關(guān)性分析模塊,節(jié)點(diǎn)評(píng)估模塊通過(guò)分析函數(shù)Fbot(vi)得到數(shù)據(jù)流i對(duì)應(yīng)的疑似僵尸網(wǎng)絡(luò)概率Pboti����;相關(guān)性分析模塊繪制與分析以疑似僵尸網(wǎng)絡(luò)概率Pboti為權(quán)重的數(shù)據(jù)流通信圖,計(jì)算目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)的概率���,如果大于設(shè)定閾值��,目標(biāo)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)���。本發(fā)明還提供一種僵尸網(wǎng)絡(luò)檢測(cè)方法���。本發(fā)明結(jié)合了NetFlow流量分析的高效性,采用分析算法���,計(jì)算得到每個(gè)節(jié)點(diǎn)與整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的威脅系數(shù)�����,結(jié)合目標(biāo)網(wǎng)絡(luò)具體的拓?fù)浣Y(jié)構(gòu)�����,對(duì)網(wǎng)絡(luò)拓?fù)鋸?fù)雜���、遷移性強(qiáng)、隱蔽性高�、危害性大的僵尸網(wǎng)絡(luò)進(jìn)行準(zhǔn)確的甄別。
【IPC分類】H04L29-06
【公開(kāi)號(hào)】CN104618377
【申請(qǐng)?zhí)枴緾N201510058355
【發(fā)明人】鄒福泰, 徐凱翼, 王佳慧, 任思君, 李建華
【申請(qǐng)人】上海交通大學(xué)
【公開(kāi)日】2015年5月13日
【申請(qǐng)日】2015年2月4日