本发明专利技术实施例提供一种僵尸网络检测方法和控制器,该方法包括:接收SDN中openflow交换机上报的每个流转发规则的统计信息,统计信息包括子流转发规则的第一匹配次数和母流转发规则的第二匹配次数;根据各第一匹配次数和各第二匹配次数确定每个服务器被任一用户终端访问的访问概率集合;根据访问概率集合两两计算访问任两个服务器的用户终端的相似度得到访问相似度矩阵;采用谱聚类算法对访问相似度矩阵进行谱聚类以根据聚类结果确定是否存在僵尸网络。母流转发规则中的源IP地址为一个子网地址,大大降低了控制器的处理负载,基于访问相似度来确定僵尸网络,提高了僵尸网络的检测效率。
【技术实现步骤摘要】
本专利技术属于计算机网络安全
,具体是涉及一种僵尸网络检测方法和控制 器。
技术介绍
僵尸网络(Botnet)是指攻击者使用一种或多种传播手段将大量主机感染僵尸 (bot)程序,从而在攻击者和被感染主机之间形成的一个一对多的控制网络,其中,被感染 主机即为僵尸主机,攻击者可以通过命令与控制(Co_and and Control,以下简称C&C)信 道一对多地控制僵尸主机。僵尸网络构成一个攻击平台,利用这个平台可以发起各种各样 的网络攻击行为,从而导致某些应用系统的瘫痪、个人隐私的泄露等。比如,利用僵尸网络 发送垃圾邮件、窃取机密等网络攻击行为。 目前的僵尸网络检测方法,多是通过对网络数据流进行聚类来发现僵尸网络。这 种聚类多是通过将被检测网络中广泛分布的多个交换机、网关设备等网络设备上的数据流 信息镜像到一个用于僵尸网络检测的后台服务器中,以便后台服务器根据收到的该各个数 据流信息中各自包含的特征信息比如源IP地址、目的IP地址、数据包大小、端口号等信息 来对各个数据流信息进行聚类分析,从而基于聚类分析的结果发现与僵尸网络对应的网络 流量的异常行为,进而检测出僵尸网络。 上述的僵尸网络检测方法中,由于网络设备的局限性,对广泛分布的比如各网关 设备上的各个数据流进行流量镜像,进而解析各数据流中的数据包特征进行聚类分析,由 于流量镜像采集获得的数据流非常庞大,并且需对多个数据包特征进行解析,使得处理负 载过大,导致僵尸网络的检测效率较低。
技术实现思路
针对现有技术中存在的问题,本专利技术实施例提供一种僵尸网络检测方法和控制 器,以用于克服现有技术中基于流量镜像和数据包特征进行聚类分析导致处理负载大、僵 尸网络检测效率低的缺陷。 本专利技术实施例第一方面提供一种僵尸网络检测方法,包括: 接收软件定义网络SDN中的openf low交换机在第一预设时间段内上报的流转发 规则的统计信息,所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转 发规则,所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二 匹配次数; 其中,所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对 应的数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器,所述 母流转发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务 器; 根据所述第一匹配次数和所述第二匹配次数,计算所述服务器被所述SDN中任一 用户终端访问的访问概率,获得所述服务器的访问概率集合; 根据所述访问概率集合,计算访问所述服务器中任意两个服务器的用户终端的相 似度,得到访问相似度矩阵; 采用预设谱聚类算法对所述访问相似度矩阵进行谱聚类,获得聚类结果; 根据所述聚类结果确定是否存在僵尸网络。 结合第一方面,在第一方面的第一种可能的实现方式中,所述根据所述第一匹配 次数和所述第二匹配次数,确定所述服务器被所述SDN中任一用户终端访问的访问概率, 获得所述服务器的访问概率集合,包括 : 根据下列公式计算服务器被所述SDN中的任一用户终端访问的平均访问次数: 其中,&为对服务器s的平均访问次数,用户终端h为所述SDN中的任一用户终 端,nhs为用于将用户终端h的数据包转发至服务器s的子流转发规则fhs的第一匹配次数, ms为目的IP地址对应所述服务器s的子流转发规则的个数; 根据下列公式依次计算所述流转发规则中目的IP地址对应的服务器被所述SDN 中任一用户终端访问的访问概率,获得所述服务器的访问概率集合: 其中,phs为SDN中的任一用户终端h访问任一流转发规则中目的IP地址对应服 务器s的访问概率,为采用第k个子流转发规则和对应的母流转发规则得到的h访问s 的访问概率,根据下列公式确定: 其中,hk为采用第k个子流转发规则的用户终端,Hk为与第k个母流转发规则对 应的SDN中的子网,m /v为子网Hk中包含的用户终端数量,》?为第k个母流转发规则的第 二匹配次数。 结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式 中,所述根据所述访问概率集合,计算访问所述服务器中任意两个服务器的用户终端的相 似度,得到访问相似度矩阵,包括: 依次针对所述服务器中的任意两个服务器Sp和sq,根据下列公式计算所述SDN中 访问服务器S p的用户终端与服务器Sq的用户终端的相似度,得到访问相似度矩阵: Apq= |up Π Uj/|Up U Uj 其中,Apq为所述相似度,Up为访问服务器Sp的用户终端组成的群体,U q为访问服 务器Sq的用户终端组成的群体,|Up n UqI为既访问服务器Sp又访问服务器Sq的用户终端 的个数,根据下列公式确定: |UP U UqI为访问服务器Sp或者访问服务器Sq的用户终端的个数,根据下列公式 确定: 结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的 实现方式,在第一方面的第三种可能的实现方式中,所述采用预设谱聚类算法对所述访问 相似度矩阵进行谱聚类,获得聚类结果,包括: 对所述访问相似度矩阵进行谱分解,得到特征值; 获取大于第一预设阈值的特征值; 确定与所述大于第一预设阈值的特征值对应的特征向量; 采用预设聚类算法对所述特征向量进行聚类,获得至少两个第一类簇; 所述根据所述聚类结果确定僵尸网络包括: 根据所述至少两个第一类簇确定僵尸网络。 结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式 中,所述根据所述至少两个第一类簇确定僵尸网络,包括 : 分别以所述至少两个第一类簇中的每个第一类簇作为待处理类簇,根据所述访问 相似度矩阵,确定所述待处理类簇中包含的各服务器中的任意两个服务器对应的访问相似 度; 根据所述待处理类簇中包含的各服务器中的任意两个服务器对应的访问相似度, 确定所述待处理类簇的平均访问相似度; 判断所述平均访问相似度是否大于预设访问相似度阈值,并且所述待处理类簇中 包含的各服务器的数量是否大于预设数量; 当平均访问相似度大于预设访问相似度阈值并且所述待处理类簇中包含的各服 务器的数量大于预设数量,则确定所述待处理类簇中包含的各服务器构成一个僵尸网络。 结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式 中,所述确定所述待处理类簇中包含的各服务器构成一个僵尸网络之前,还包括: 判断待处理类簇的服务器平均访问次数是否小于第二预设阈值; 若小于所述第二预设阈值,则更新所述待处理类簇中包含的各服务器对应的母流 转发规则中的子网地址,并根据更新后的各服务器对应的母流转发规则中的子网地址获得 至少两个第二类簇; 所述确定所述待处理类簇中包含的各服务器构成一个僵尸网络,包括: 确定所述至少两个第二类簇中是否存在与所述待处理类簇中包含的各服务器的 服务器相似度大于第三预设阈值的类簇; 若存在,则确定所述待处理类簇中包含的各服务器构成一个僵尸网络。 结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式 中,所述根据更新后的各服务器对应的母流转发规则中的子网地址获得至少两个第二类 簇,包括: 将所述更新后的流转发规则下发给所述openf low交换机,本文档来自技高网...
【技术保护点】
一种僵尸网络检测方法,其特征在于,包括:接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则的统计信息,所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规则,所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配次数;其中,所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对应的数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器,所述母流转发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器;根据所述第一匹配次数和所述第二匹配次数,计算所述服务器被所述SDN中任一用户终端访问的访问概率,获得所述服务器的访问概率集合;根据所述访问概率集合,计算访问所述服务器中任意两个服务器的用户终端的相似度,得到访问相似度矩阵;采用预设谱聚类算法对所述访问相似度矩阵进行谱聚类,获得聚类结果;根据所述聚类结果确定是否存在僵尸网络。
【技术特征摘要】
【专利技术属性】
技术研发人员:陶敬,李剑锋,蔡启申,
申请(专利权)人:华为技术有限公司,西安交通大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。