一种僵尸网络的家族规模的异常检测方法及装置制造方法及图纸

本发明专利技术实施例公开了一种僵尸网络的家族规模的异常检测方法及装置。所述方法包括：以监控区间内的每天为追溯起点，按照追溯时长，确定与监控区间内每天对应的追溯时间区间；获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各家族规模，计算与监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；生成目标僵尸网络的家族规模变化趋势图；根据监控区间内每天的家族规模移动平均值和家族规模移动标准差值，计算至少一条变化趋势基线；根据各变化趋势基线，以及变化趋势图，对目标僵尸网络的家族规模进行异常检测，可以实现对僵尸网络的家族规模及家族规模变化趋势进行异常检测，可以实现自动化地监控僵尸网络的发展情况。

【技术实现步骤摘要】
一种僵尸网络的家族规模的异常检测方法及装置
本专利技术实施例涉及信息安全
，尤其涉及一种僵尸网络的家族规模的异常检测方法及装置。
技术介绍
僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。某僵尸网络Bot端程序在与安全防护软件对抗过程中，为提高其的存活性，会对程序源代码进行局部的修改，因此产生出多个变种，由若干不同版本的变种组成的集合称之为一个僵尸网络家族。在某一时期内，由同一个僵尸网络家族所有变种控制的被感染设备总量称之为家族规模。僵尸网络自出现以来，越来越成为全球网络安全的主要威胁。能否通过对僵尸网络的家族规模的监测数据的分析，形成对僵尸网络的家族规模变化趋势进行异常检测的能力，对异常变化的某僵尸网络家族形成有效的预警和干预，是僵尸网络治理工作中重要的一环。相关技术中，并没有有效地针对僵尸网络的家族规模进行异常检测的方法。
技术实现思路
本专利技术实施例提供了一种僵尸网络的家族规模的异常检测方法及装置，可以实现对僵尸网络的家族规模及家族规模变化趋势进行异常检测，可以实现自动化地监控僵尸网络的发展情况。第一方面，本专利技术实施例提供了一种僵尸网络的家族规模的异常检测方法，该方法包括：以监控区间内的每天为追溯起点，按照追溯时长，确定与所述监控区间内每天对应的追溯时间区间；获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各所述家族规模，计算与所述监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，生成所述目标僵尸网络的家族规模变化趋势图；根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线；根据各所述变化趋势基线，以及所述变化趋势图，对所述目标僵尸网络的家族规模进行异常检测。第二方面，本专利技术实施例还提供了一种僵尸网络的家族规模的异常检测装置，该装置包括：确定模块，用于以监控区间内的每天为追溯起点，按照追溯时长，确定与所述监控区间内每天对应的追溯时间区间；获取模块，用于获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各所述家族规模，计算与所述监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；生成模块，用于根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，生成所述目标僵尸网络的家族规模变化趋势图；计算模块，用于根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线；检测模块，用于根据各所述变化趋势基线，以及所述变化趋势图，对所述目标僵尸网络的家族规模进行异常检测。第三方面，本专利技术实施例还提供了一种电子设备，其中，该设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本专利技术实施例中任一项所述的僵尸网络的家族规模的异常检测方法。第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本专利技术实施例中任一项所述的僵尸网络的家族规模的异常检测方法。本专利技术实施例提供的技术方案，通过以监控区间内的每天为追溯起点，按照追溯时长，确定与监控区间内每天对应的追溯时间区间；获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各家族规模，计算与监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；根据目标僵尸网络在监控区间内每天的家族规模，以天为单位，生成目标僵尸网络的家族规模变化趋势图；根据监控区间内每天的家族规模移动平均值和家族规模移动标准差值，计算至少一条变化趋势基线；根据各变化趋势基线，以及变化趋势图，对目标僵尸网络的家族规模进行异常检测，可以实现对僵尸网络的家族规模及家族规模变化趋势进行异常检测，可以实现自动化地监控僵尸网络的发展情况。附图说明图1a是本专利技术实施例提供的一种僵尸网络的家族规模的异常检测方法的流程图；图1b是本专利技术实施例提供的将监控区间内家族规模的变化趋势图以及各变化趋势基线在同一坐标系内进行可视化展示的示意图；图2是本专利技术实施例提供的另一种僵尸网络的家族规模的异常检测方法的流程图；图3是本专利技术实施例提供的又一种僵尸网络的家族规模的异常检测方法的流程图；图4是本专利技术实施例提供的一种僵尸网络的家族规模的异常检测装置结构示意图；图5是本专利技术实施例提供的一种电子设备结构示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本专利技术，而非对本专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本专利技术相关的部分而非全部结构。图1a是本专利技术实施例提供的僵尸网络的家族规模的异常检测方法的流程图，所述方法可以由僵尸网络的家族规模的异常检测装置来执行，所述装置可以由软件和/或硬件的方式实现，所述装置可以配置在服务器等电子设备中。可选的，所述方法应用于对各类家族的僵尸网络的家族规模进行异常检测的场景中。如图1a所示，本专利技术实施例提供的技术方案具体包括：S110:以监控区间内的每天为追溯起点，按照追溯时长，确定与所述监控区间内每天对应的追溯时间区间。其中，在对僵尸网络的家族规模进行异常检测时可以选取特定的监控区间进行检测，监控区间为一个周期，可以根据需要进行设置，例如可以是20天，也可以是30天……追溯时长可以与监控区间的天数相同，也可以与监控区间的天数不同，可以根据需要对追溯时长进行设置。以监控区间内的每天为追溯起点，结合设置的追溯时长，可以确定与监控区间内的每天对应的追溯时间区间。如图1b所示，监控区间为3.22日-5.05日，以3.22日为例，如果追溯时长为20天，则与3.22日对应的追溯时间区间为3.3日-3.22日；以此类推，与5.05日对应的追溯时间区间为4.16日-5.05日。S120:获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各所述家族规模，计算与所述监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值。其中，僵尸网络家族为僵尸网络的僵尸程序在与安全防护软件对抗过程中，为提高其存活性，会对程序源代码进行局部的修改，因此产生出多个变种，由若干不同版本的变种组成的集合。在某一时期内，由同一个僵尸网络家族所有变种控制的被感染设备总量称之为家族规模。获取与监控区间内的每天对应的各追溯时间区间内每天的目标僵尸网络的家族规模，并根据各家族规模，分别计算出与监控区间内的每天对应的目标僵尸网络的家族规模移动平均值和家族规模移动标准差值。其中，家族规模移动平均值与家族规模移动标准差值的计算方法可以参考统计学中平均值和标准差值的计算方法。S130:根据本文档来自技高网...

【技术保护点】
1.一种僵尸网络的家族规模的异常检测方法，其特征在于，包括：/n以监控区间内的每天为追溯起点，按照追溯时长，确定与所述监控区间内每天对应的追溯时间区间；/n获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各所述家族规模，计算与所述监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；/n根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，生成所述目标僵尸网络的家族规模变化趋势图；/n根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线；/n根据各所述变化趋势基线，以及所述变化趋势图，对所述目标僵尸网络的家族规模进行异常检测。/n

【技术特征摘要】
1.一种僵尸网络的家族规模的异常检测方法，其特征在于，包括：
以监控区间内的每天为追溯起点，按照追溯时长，确定与所述监控区间内每天对应的追溯时间区间；
获取目标僵尸网络在各追溯时间区间内每天的家族规模，并根据各所述家族规模，计算与所述监控区间内每天对应的家族规模移动平均值和家族规模移动标准差值；
根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，生成所述目标僵尸网络的家族规模变化趋势图；
根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线；
根据各所述变化趋势基线，以及所述变化趋势图，对所述目标僵尸网络的家族规模进行异常检测。


2.根据权利要求1所述的方法，其特征在于，根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，生成所述目标僵尸网络的家族规模变化趋势图，包括：
根据所述目标僵尸网络在所述监控区间内每天的家族规模，以天为单位，对应地生成坐标系内的一条折线图。


3.根据权利要求1所述的方法，其特征在于，根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线之后，还包括：
将所述变化趋势图以及各所述变化趋势基线在同一坐标系内进行可视化的展示。


4.根据权利要求1所述的方法，其特征在于，所述变化趋势基线包括：上轨线、中轨线和下轨线；
根据所述监控区间内每天的所述家族规模移动平均值和所述家族规模移动标准差值，计算至少一条变化趋势基线，包括：
通过如下公式计算所述监控区间内每天的上轨线特征点、下轨线特征点和中轨线特征点：
上轨线特征点＝移动平均值+K×移动标准差值；
下轨线特征点＝移动平均值-K×移动标准差值；
中轨线特征点＝移动平均值；其中，K为预设参数；
分别根据所述监控区间内每天的上轨线特征点、下轨线特征点和中轨线特征点，形成上轨线、中轨线和下轨线。


5.根据权利要求4所述的方法，其特征在于，根据各所述变化趋势基线，以及所述变化趋势图，对所述目标僵尸网络的...

【专利技术属性】
技术研发人员：严寒冰，王小群，王适文，李友豪，张红宝，周忠义，傅强，阿曼太，梁彧，田野，王杰，杨满智，蔡琳，金红，陈晓光，
申请(专利权)人：国家计算机网络与信息安全管理中心，恒安嘉新北京科技股份公司，
类型：发明
国别省市：北京;11