一种基于树莓派设计的家用路由器的僵尸网络分析方法技术

本发明专利技术公开了一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法，包括以下步骤：A.利用python中的pyshark库进行网络端口监听来提取网络流量信息，并将提取的信息进行数据保存；B.根据步骤A中获取的数据进行计算获取流量特征；C.将步骤B计算出的流量特征的值通过权重进行累加，得到威胁值，D.对威胁值进行匹配检测，从而判定该网络流量是否为僵尸网络流量。本发明专利技术的方法采用对路由器的网络流量进行提取计算，再对计算后的结果对比分析的方法，解决现有小型家用路由器对于检测和处理僵尸网络的准确性不足的问题。

A botnet analysis method of home router based on raspberry pie

The invention discloses a botnet analysis method of a home router designed based on raspberry pie, which includes the following steps: A. using the pyshark Library in Python to monitor the network port to extract the network traffic information and save the extracted information; B. calculating and obtaining the traffic characteristics according to the data obtained in step a; C. calculating step b The traffic characteristic value is accumulated by weight to get the threat value. D. match and detect the threat value to determine whether the network traffic is botnet traffic. The method of the invention adopts the method of extracting and calculating the network traffic of the router, and then comparing and analyzing the calculated results, so as to solve the problem that the accuracy of the existing small home router for detecting and processing botnet is insufficient.

【技术实现步骤摘要】
一种基于树莓派设计的家用路由器的僵尸网络分析方法
本专利技术涉及物联网
，特别涉及一种基于树莓派设计的家用路由器的僵尸网络分析方法。
技术介绍
随着社会信息化和互联网的不断发展，各种物联网设备也深入人们的生活。这些物联网设备在带给人们生活方便的同时，也成为不法分子攻击的目标和利用的工具。“僵尸网络”是一种危害及其严重的互联网恶意攻击模式，僵尸网络利用漏洞攻击目标系统，然后操控指令下载木马病毒隐匿在物联网设备中，使其成为被操控的“傀儡”。僵尸网络的危害包括但不限于：利用大量僵尸客户端发动DDos攻击、感染其他系统成为新的僵尸客户端、发送垃圾邮件和网络钓鱼、信息盗取。可见僵尸网络是具有传播性且高度可控的高危信息安全威胁方式。僵尸网络的工作流程始于发现和利用漏洞：或通过社工手段，或通过系统漏洞，或通过残留木马后门，或通过密码猜解/破解。而在与C&C(命令与控制)通信告知新的客户端上线时，如今的僵尸网络已出现各种加密通信信道，以避免IDS、防火墙或其他方式的网络侦听，与C&C通信的目的在于更新可能存在的客户端模块、C&C端的客户端名称列表、IP地址或信道名称，正如木马攻击时服务器端上线时通知客户端一般。C&C是僵尸客户端与僵尸牧人的通信中转：僵尸牧人对C&C发送指令，C&C对僵尸客户端发送指令。目前，对于企业或机构来说，检测僵尸网络是否已感染内网系统可以通过网络和系统两个层面进行检测，网络层面包括流量检测、防火墙/NIDS、日志分析，系统层面包括搭建蜜罐和日志分析。但是对于家庭网络来说，目前市面上还没有专门用来检测僵尸网络的小型家用路由器。因此，家用物联网设备难以得到保护。如何制作一款小型家用路由器，并通过检测手段。对僵尸网络进行阻断和隔离以打击僵尸网络犯罪的同时，对僵尸网络流量日志进行采集，进行其行为研究显得非常必要。僵尸网络与其他病毒唯一的区别在于僵尸网络拥有统一的高度可控的系统，僵尸客户端的分布不局限于某个国家或地区且僵尸网络的流量和正常的流量几乎没有任何区别。因此不能依靠单个流量来判断是否为僵尸网络流量，需要大量的数据作对比分析以及精准地计算方式。精确的判断僵尸网络的存在具有很大的难度。
技术实现思路
本专利技术的目的是克服上述
技术介绍
中不足，提供一种基于树莓派设计的家用路由器的僵尸网络分析方法，采用对路由器的网络流量进行提取计算，再对计算后的结果对比分析的方法，解决现有小型家用路由器对于检测和处理僵尸网络的准确性不足的问题。为了达到上述的技术效果，本专利技术采取以下技术方案：一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法，包括以下步骤：A.利用python中的pyshark库进行网络端口监听来提取网络流量信息，并将提取的信息进行数据保存；B.根据步骤A中获取的数据进行计算获取流量特征；C.将步骤B计算出的流量特征的值通过权重进行累加，得到威胁值，其中，各特征值的具体权重的设计可由用户根据实际情况自行设定；D.对威胁值进行匹配检测，从而判定该网络流量是否为僵尸网络流量。进一步地，所述步骤A中具体是将提取的信息以[key:value]值对的形式保存为json格式的数据。进一步地，所述步骤B中具体是对获得的json格式的数据通过计算获得流量特征，具体的计算包括：S1.计算IP每日平均相似性；S2.计算端口威胁值；S3.查询IP分布，得出IP分布威胁值；S4.计算域名随机特征比例；S5.计算当前网络流量变化率。进一步地，所述S1中计算IP每日平均相似性的计算方式如下：其中，I表示IPn天的平均相似性，n表示天数，di，j为第i天和第j天的IP地址以及访问数量的欧式距离；具体的，欧氏距离(EuclideanDistance)是一个通常采用的距离定义，它是在m维空间中两个点之间的真实距离；因为正常的IP地址每天具有相似的查询以及访问数量，而对于僵尸网络IP具有不稳定的查询和访问数量，每天的查询量差距巨大；所以通过查询一个IP每天的查询数量差距，则可以辅助判断该IP地址是否为僵尸网络。进一步地，所述S2中端口威胁值的计算方式如下：P＝(1-(r-1)/A)2r，其中，r为已知公开的僵尸网络攻击请求端口排名，A为所有虚拟端口数量，一般默认数值为65535，最后端口威胁值计算结果越大，则其为僵尸网络流量的概率越大，因为僵尸网络的危害之一在于对服务器提供的服务端口进行攻击以及爆破，所以判断网络流量中的高危访问端口也是排除僵尸网络流量的有效手段之一。进一步地，所述S3中查询IP分布得出IP分布威胁值J具体包括：S3.1根据路由器转发出的网络流量提取IP地址，或对域名进行DNS解析得到真实IP地址；S3.2根据IP地址判断，如果是内网IP地址或者是本地地址，则不做出分析，且得出IP分布威胁值为J1；S3.3如果IP地址是外网IP地址，则判断该IP地址是否在白名单或者黑名单中；若在白名单中，则不做分析，且得出IP分布威胁值为J0；若在黑名单中，则得出IP分布威胁值为J3；上述白名单和黑名单均可由用户自定义设置；S3.4如果IP地址是外网IP地址且IP归属地在国外，则得出IP分布威胁值为J2；其中，0≤J0＜J1＜J2＜J3≤1；由于僵尸网络的传播性非常的强，主要分散于北美洲和欧洲，僵尸网络的域名在感染该僵尸的地域均可被查询，所以查询IP分布范围可进一步识别僵尸网络。进一步地，J0等于0且J3等于1。进一步地，所述S4中域名随机特征比例的计算方式如下：其中，n为域名中连续字母或数字的字符串个数，ai为域名中第i个连续字母和连续数字的长度；lj是域名中连续数字的长度；lk是域名中连续字母的长度，其中，连续数字和连续字母需无字符间隔连接在一起，A为域名字符串总长度，max(x)函数表示取x的最大值；因为僵尸网络域名不会有人去正常浏览访问，所以也不会在意域名的易记的特性；一般是随机生成的域名字符串，常使用数字和字母的混合形式；且一般没有多级域名；对于域名随机特征比例计算结果，比例越大，证明是僵尸网络的可能性就越大。进一步地，所述S5中当前网络流量变化率的计算方式如下：其中f(x)是网络流量对于时间的函数；网络流量变化率主要描述了网络流量急剧上升的趋势以及上升后的网络流量过大的状态，由于僵尸网络客户端在与C&C(命令与控制客户端)进行指令交互或进行功能执行时往往伴随着急剧增大的网络流量，因此骤升的网络流量都是不合理的，在遇到过大网络流量所导致的路由器CPU以及内存无法承受时，可通过流量采样来进行进一步的分析，上述计算方式可作为一个辅助判断依据。进一步地，所述步骤D是将步骤C得到的威胁值和默认阈值进行比较，具体为：当威胁值大于或等于默认阈值时，则判断该网络流量为僵尸网络流量；否则，判断该网络流量不是僵尸网络流量，其中，默认阈值可根据具体情况自行设本文档来自技高网...

【技术保护点】
1.一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，包括以下步骤：/nA.利用python中的pyshark库进行网络端口监听来提取网络流量信息，并将提取的信息进行数据保存；/nB.根据步骤A中获取的数据进行计算获取流量特征；/nC.将步骤B计算出的流量特征的值通过权重进行累加，得到威胁值；/nD.对威胁值进行匹配检测，从而判定该网络流量是否为僵尸网络流量。/n

【技术特征摘要】
1.一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，包括以下步骤：
A.利用python中的pyshark库进行网络端口监听来提取网络流量信息，并将提取的信息进行数据保存；
B.根据步骤A中获取的数据进行计算获取流量特征；
C.将步骤B计算出的流量特征的值通过权重进行累加，得到威胁值；
D.对威胁值进行匹配检测，从而判定该网络流量是否为僵尸网络流量。


2.根据权利要求1所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，所述步骤A中具体是将提取的信息以[key:value]值对的形式保存为json格式的数据。


3.根据权利要求2所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，所述步骤B中具体是对获得的json格式的数据通过计算获得流量特征，具体的计算包括：
S1.计算IP每日平均相似性；
S2.计算端口威胁值；
S3.查询IP分布，得出IP分布威胁值；
S4.计算域名随机特征比例；
S5.计算当前网络流量变化率。


4.根据权利要求3所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，所述S1中计算IP每日平均相似性的计算方式如下：



其中，I表示n天的IP的平均相似性，n表示天数，di，j为第i天和第j天的IP地址以及访问数量的欧式距离。


5.根据权利要求3所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法，其特征在于，所述S2中端口威胁值的计算方式如下：P＝(1-(r-1)/A)2r，其中，r为已知公开的僵尸网络攻击请求端口排名，A为所有虚拟端口数量。


6.根据权利要求3所述的一种基于树莓...

【专利技术属性】
技术研发人员：孙祥，张攀，常清雪，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川;51