The invention discloses a botnet analysis method of a home router designed based on raspberry pie, which includes the following steps: A. using the pyshark Library in Python to monitor the network port to extract the network traffic information and save the extracted information; B. calculating and obtaining the traffic characteristics according to the data obtained in step a; C. calculating step b The traffic characteristic value is accumulated by weight to get the threat value. D. match and detect the threat value to determine whether the network traffic is botnet traffic. The method of the invention adopts the method of extracting and calculating the network traffic of the router, and then comparing and analyzing the calculated results, so as to solve the problem that the accuracy of the existing small home router for detecting and processing botnet is insufficient.
【技术实现步骤摘要】
一种基于树莓派设计的家用路由器的僵尸网络分析方法
本专利技术涉及物联网
,特别涉及一种基于树莓派设计的家用路由器的僵尸网络分析方法。
技术介绍
随着社会信息化和互联网的不断发展,各种物联网设备也深入人们的生活。这些物联网设备在带给人们生活方便的同时,也成为不法分子攻击的目标和利用的工具。“僵尸网络”是一种危害及其严重的互联网恶意攻击模式,僵尸网络利用漏洞攻击目标系统,然后操控指令下载木马病毒隐匿在物联网设备中,使其成为被操控的“傀儡”。僵尸网络的危害包括但不限于:利用大量僵尸客户端发动DDos攻击、感染其他系统成为新的僵尸客户端、发送垃圾邮件和网络钓鱼、信息盗取。可见僵尸网络是具有传播性且高度可控的高危信息安全威胁方式。僵尸网络的工作流程始于发现和利用漏洞:或通过社工手段,或通过系统漏洞,或通过残留木马后门,或通过密码猜解/破解。而在与C&C(命令与控制)通信告知新的客户端上线时,如今的僵尸网络已出现各种加密通信信道,以避免IDS、防火墙或其他方式的网络侦听,与C&C通信的目的在于更新可能存在的客户端模块、C&C端的客户端名称列表、IP地址或信道名称,正如木马攻击时服务器端上线时通知客户端一般。C&C是僵尸客户端与僵尸牧人的通信中转:僵尸牧人对C&C发送指令,C&C对僵尸客户端发送指令。目前,对于企业或机构来说,检测僵尸网络是否已感染内网系统可以通过网络和系统两个层面进行检测,网络层面包括流量检测、防火墙/NIDS、日志分析,系统层面包括搭 ...
【技术保护点】
1.一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,包括以下步骤:/nA.利用python中的pyshark库进行网络端口监听来提取网络流量信息,并将提取的信息进行数据保存;/nB.根据步骤A中获取的数据进行计算获取流量特征;/nC.将步骤B计算出的流量特征的值通过权重进行累加,得到威胁值;/nD.对威胁值进行匹配检测,从而判定该网络流量是否为僵尸网络流量。/n
【技术特征摘要】
1.一种基于树莓派设计的基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,包括以下步骤:
A.利用python中的pyshark库进行网络端口监听来提取网络流量信息,并将提取的信息进行数据保存;
B.根据步骤A中获取的数据进行计算获取流量特征;
C.将步骤B计算出的流量特征的值通过权重进行累加,得到威胁值;
D.对威胁值进行匹配检测,从而判定该网络流量是否为僵尸网络流量。
2.根据权利要求1所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,所述步骤A中具体是将提取的信息以[key:value]值对的形式保存为json格式的数据。
3.根据权利要求2所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,所述步骤B中具体是对获得的json格式的数据通过计算获得流量特征,具体的计算包括:
S1.计算IP每日平均相似性;
S2.计算端口威胁值;
S3.查询IP分布,得出IP分布威胁值;
S4.计算域名随机特征比例;
S5.计算当前网络流量变化率。
4.根据权利要求3所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,所述S1中计算IP每日平均相似性的计算方式如下:
其中,I表示n天的IP的平均相似性,n表示天数,di,j为第i天和第j天的IP地址以及访问数量的欧式距离。
5.根据权利要求3所述的一种基于树莓派设计的家用路由器的僵尸网络分析方法,其特征在于,所述S2中端口威胁值的计算方式如下:P=(1-(r-1)/A)2r,其中,r为已知公开的僵尸网络攻击请求端口排名,A为所有虚拟端口数量。
6.根据权利要求3所述的一种基于树莓...
【专利技术属性】
技术研发人员:孙祥,张攀,常清雪,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。