基于贝叶斯的僵尸网络检测技术制造技术

本发明专利技术针对当前僵尸网络严重威胁着互联网的安全，以及目前主流的僵尸网络检测方法准确性较低的问题，提出了基于Hadoop平台的MapReduce机制的贝叶斯算法的僵尸网络检测技术；该技术以主机对作为分析对象，提取主机对通信的流量特征，然后将这些特征作为贝叶斯分类算法的输入，训练生成贝叶斯分类器，用训练好的贝叶斯分类器进行僵尸网络的检测。

Botnet detection technology based on Bayes

In view of the serious threat of Internet security to the current botnet and the low accuracy of current mainstream botnet detection methods, the botnet detection technology of Bayesian algorithm based on the MapReduce mechanism of the Hadoop platform is proposed. The technology uses host pair as the analysis object and extracts the host to communication. The characteristics of the traffic are then used as the input of the Bias classification algorithm, and the Bias classifier is trained, and the trained Bias classifier is used to detect the botnet.

【技术实现步骤摘要】
基于贝叶斯的僵尸网络检测技术
本专利技术属于互联网安全
,也涉及贝叶斯算法来开发完成的。
技术介绍
僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意"取用"，因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患；通过本技术可以及时的发现僵尸网络，保证了用户的电脑安全和信息安全。
技术实现思路
本技术设计如下贝叶斯算法进行MapReduce设计的基本思路:其中b表示僵尸网络，n表示正常网络，其中w1为TCP数据流、w2为时问问隔平均值、w3为时问问隔变化、w4为数据包字节数、w5为数据包个数平均值、w6为持续时问平均值，其中，计算正常网络和僵尸网络的先验概率对应一个MapReduce计算过程，即MapReduce1;对6个属性列既要判断是否为僵尸网络又要判断是否在阑值内，即每个属性有4个判断条件，因此需要求24个条件概率，计算这24个条件概率对应另一个MapReduce计算过程，即:MapReduce2，贝叶斯检测阶段基于由26个概率构成的知识库，根据进行分类并判断是否为僵尸网络，检测阶段对应一个MapReduce计算过程，即MapReduce3；1.MapReduce1:Map1接收到的是训练数据被Hadoop处理形成的<Key,Value>对形式为<该行起始位置相对于文件起始位置的偏移量，文本文件中的一行信息>的信息，由于MapReducel是计算贝叶斯的先验概率，只需用到Value的类标签属性，所以Map1将每行Value数据按空格分隔成字符串数组，取出数组最后一项，即类标签值，判断类标签值，若为0，输出中问结果<Key1,Value1>对的形式为<”正常网络”，1>;若为1，输出中问结果<Key1,Value1>对的形式为<“僵尸网络”，1>，并且MapReduce框架每执行一次map()说明处理一行数据，通过累加统计训练数据总行数，以成员变量sum存储，Map1只是一个数据准备阶段，使Reduce1能在该准备数据上继续处理，经过MapReduce1的处理，形成两个以成员变量Sum_yes_p,Sum_uo_p存储的概率:正常网络先验概率和僵尸网络先验概率，构成知识库的一部分，以供检测阶段使用；2.MapReduce2:Map2接收到的信息与Map1相同，是训练数据被Hadoop处理形成的<Key,Value>对形式为<该行起始位置相对于文件起始位置的偏移量，文本文件中的一行信息>的信息，MapReduce2计算贝叶斯的条件概率，需用到Value的六个属性列及类标签值，所以Map2将每行Value数据按空格分割成字符串数组，取出数组的3-9项Wl,W2,,,,W6、类标签值，首先判断类标签值是否为“0"，然后判断各属性是否在各白阑值内，若标签值为“0"且属性值在阑值内，输出中问结果<Key3,Value3>对的形式为<"WiIn",1>;若标签值为“0"且属性值在阑值外，输出中问结果<Key3,Value3>对的形式为<"WiIn",1>;若标签值为“1'，且属性值在阑值内，输出中问结果<Key3,Value3>对的形式为<"WiIn",1>;若标签值为“1"且属性值在阑值外，输出中问结果<Key3,Value3>对的形式为<"WiIn",1>;3.MapReduce3:Map3接收到的是检测数据被Hadoop处理形成的<Key,Value>对形式为<该行起始位置相对于文件起始位置的偏移量，文本文件中的一行信息>的信息，MapReduce3要对六列属性全部检测，需用到Value的六个属性列，所以Map3将每行Value数据按空格分割成字符串数组，取出数组的3-8项，分别为:TCP数据流、时问问隔平均值、时问问隔变化、数据包字节数、数据包个数平均值、持续时问平均值，判断六个属性列的值是否在各白阑值内，若在阑值内，分别利用存储条件概率的成员变量Wi_in_nomal,Wi_in_unnormal计算后验概率;若在阑值外，分别利用存储条件概率的成员变量Wi_out_nomal,Wi_out_unnormal计算后验概率，并将每行网络数据的正常网络后验概率P(nId)和僵尸网络后验概率P(bId)一起输出，输出结果<KeyS,Values>对的形式为<数据所在行数，P(nId)P(bId)>。本文档来自技高网...

【技术保护点】
1.基于贝叶斯的僵尸网络检测技术，其特征在于：本技术由被测网络环境、云环境和代理服务器层三部分构成，这三部分协同完成僵尸网络的检测，每个被测网络中有若干台机器和一个核心交换机，连接一个代理服务器，代理服务器与核心交换机连接，主要负责网络流量的采集、解析、过滤并上传到云环境中。

【技术特征摘要】
1.基于贝叶斯的僵尸网络检测技术，其特征在于：本技术由被测网络环境、云环境和代理服务器层三部分构成，这三部分协同完成僵尸网络的检测，每个被...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：长沙云昊信息科技有限公司，
类型：发明
国别省市：湖南,43