一种僵尸网络关键节点识别方法和识别系统技术方案

本发明专利技术公开了一种僵尸网络关键节点识别方法和识别系统，该方法包括：S1、获得基础僵尸感染流量数据，用其构建一个目标待识别关键节点的异构僵尸感染网络HBIN；S2、计算目标异构僵尸感染网络HBIN中每个僵尸节点的感染影响力；S3、按照感染影响力降序排列后选择前100个节点作为该目标异构僵尸感染网络中的关键节点。本发明专利技术提供的僵尸网络关键节点识别方法能够高效、高质量地获取最关键的僵尸节点集。高质量地获取最关键的僵尸节点集。高质量地获取最关键的僵尸节点集。

【技术实现步骤摘要】
一种僵尸网络关键节点识别方法和识别系统


[0001]本专利技术属于僵尸网络关键节点识别
，具体为一种僵尸网络关键节点识别方法和识别系统。

技术介绍

[0002]由于近年来物联网设备的爆炸式增长，僵尸网络对互联网构成了前所未有的巨大威胁。僵尸网络的核心是利用当前大量物联网设备中存在的漏洞，通过点对点(Peer
‑
to
‑
Peer，P2P)模式的非法活动将受感染的设备资产化。包括Mirai未来组合和Mozi在内的代表性僵尸网络能够发起大规模分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。传统的基于主机的防御措施，如反病毒(Anti Virus,AVs)，正在不断发展以有效防御愈来愈复杂的僵尸网络。为了最大限度地降低僵尸网络的潜在风险，我们需要有效的监控技术，以便在大规模僵尸网络形成之前洞察其整体情况，进而制定出有效的治理措施，扼制威胁规模的进一步扩大。
[0003]为了缓解快速发展的僵尸网络威胁，工业界和学术界已经用各种方法研究了僵尸网络的属性。比如，结合本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种僵尸网络关键节点识别方法，其特征在于，具体包括如下步骤：S1、获得基础僵尸感染流量数据，用其构建一个目标待识别关键节点的异构僵尸感染网络HBIN；S2、计算步骤S1构建的目标异构僵尸感染网络HBIN中每个僵尸节点的感染影响力；具体包括如下子步骤：S2.1、计算步骤S1构建的目标异构僵尸感染网络HBIN中每个僵尸节点的感染扩散分数；S2.2、对于每个僵尸节点，计算僵尸节点u和僵尸节点u的每个下游可达邻居节点w之间的扩散距离D(u，w)；s2.3、计算僵尸节点u的每个下游可达邻居节点w的出度outdeg(ω)；S2.4、利用步骤S2.1、S2.2和S2.3分别得到的僵尸节点u的感染扩散分数S
id
(u)、僵尸节点u和僵尸节点u的每个下游可达邻居节点间w的之间的扩散距离D(u，w)以及僵尸节点u的每个下游可达邻居节点w的出度outdeg(w)，运用式(4)，即计算出僵节点u的内在影响S
ii
(u)；S2.5、利用与计算僵尸节点u的内在影响S
ii
(u)的相同方式计算出僵尸节点u的每个直接出度邻居v的内在影响S
ii
(v)；S2.6、利用步骤S2.4、S2.5计算获得的僵尸节点u的内在影响S
ii
(u)、僵尸节点u的所有直接出度邻居v的内在影响S
ii
(v)，运用式(3)，即计算僵尸节点u的真实感染影响力TII
u
，其中N
out
(u)是节点u的直接出度邻居集合，w
r
(v)是感染有向边E
u，v
的权重占比，其中weight(u，v)是指从节点u到节点v之间有向边的权重，wcight(u，j)是指从节点u到节点j之间有向边的权重；S3、按照感染影响力降序排列后选择前100个节点作为该目标异构僵尸感染网络中的关键节点，关键节点识别结束。2.如权利要求1所述的僵尸网络关键节点识别方法，其特征在于，所述步骤S1中，形成目标待识别关键节点的异构僵尸感染网络HBIN，包括如下步骤：S1.1、获得半个月的僵尸感染流量，作为基础数据集，用以构建目标识别网络；S1.2、利用步骤S1.1构建的僵尸感染流量的基础数据集，对于每一条流量选择攻击发起方ip地址src_ip、被攻击主机ip地址dst_ip、被攻击主机位置dst_loc、被攻击主机线路类型dst_iptype和威胁攻击时间戳timestamp，构建<src_ip，dst_ip，dst_loc，dst_iptype，timestamp>数据集合；S1.3、用S1.2步骤输出的数据集合中的每一条<src_ip，dst_ip，dst_loc，dst_iptype，timestamp>对应构建动态感染级联网络DICN中的每一条具有特定起点和终点间的唯一有向边，并计算每条有向边边缘权重。3.如权利要求2所述的僵尸网络关键节点识别方法，其特征在于，所述步骤S1.2中，如果存在多条<src_ip，dst_ip，dst_loc，dst_iptype，timestamp>具有相同src_ip，dst_ip，
但timestamp不同，对于具有相同src_ip和dst_ip的僵尸感染流量数据跟据其timestamp进行去重，只需保留具有最早时间戳timestamp的一条。4.如权利要求2所述的僵尸网络关键节点识别方法，其特征在于，所述步骤S1.3包括如下子步骤：S1.3.1确定有向边起点和起点类型：将src_ip作为有向边的起点，起点类型标记为Bot(B)；S1.3.2确定有向边终点和终点类型：将dst_ip作为有向边的终点，若该dst_ip表示的主机在未来作为某条捕获流量数据中的src_ip，则该终点类型标记为Bot(O)，否则该终点类型标记为Target(T)；S1.3.3计算有向边边缘权重：若步骤S1.3.1和S1.3.2步骤中标记的有向边的起点和终点类型分别为Bot(B)和Target(T)，则边缘权重为α，利用式(1)，即α＝α1·
x1+α2·
x2+b进行计算，其中x1和x2分别为dst_loc和dst_iptype的数值表示，α1和α2为对应分配给x1和x2的权重系数，α1和α2、b是通过NN
‑
1预先学习的；若步骤S1.3.1和S1.3.2步骤中标记的有向边的起点和终点类型分别为Bot(B)和Bot(B)，利用式(2)，即进行计算，其中α利用式(1)计算，N
T
和N
I
是完整僵尸网络爆发周期中僵尸网络中目标设备和受感染设备的总数。5.如权利要求2所述的僵尸网络关键节点识别方法，其特征在于，所述步骤S2.1包括如下操作：S2.1.1、将步骤S1构建的目标异构僵尸感染网络HBIN作为当前目标异构僵尸感染网络；S2.1....

【专利技术属性】
技术研发人员：何清林，杨黎斌，崔琳，王星，蔡晓妍，戴航，胡金灿，王梦涵，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：