一种互联网中僵尸木马真实性判断方法技术

本发明专利技术公开了一种互联网中僵尸木马真实性判断方法，依次包括以下步骤：A：获取待判定僵尸木马数据集，并确定待判定僵尸木马数据的僵尸木马属性因子；B：构建单粒度层次的僵尸木马信息粒化模型；C：构建多粒度层次的僵尸木马信息粒化模型；D：根据决策属性协调性进行判断并选取最优僵尸木马判断粒度；E：根据最优僵尸木马判断粒度选取对应层次的僵尸木马信息粒化模型，然后通过查询目的IP属性函数中被控端IP对应主机的日志信息；判断对应的待判定僵尸木马数据的真实性。本发明专利技术能够有效提升僵尸木马判断的准确性和效率，更为高效率地支撑僵尸木马事件的分析工作。木马事件的分析工作。木马事件的分析工作。

【技术实现步骤摘要】
一种互联网中僵尸木马真实性判断方法


[0001]本专利技术涉及互联网安全领域，尤其涉及一种互联网中僵尸木马真实性判断方法。

技术介绍

[0002]网络的蓬勃化发展是信息化社会经济增长的必然条件，随着互联网规模不断扩大和结构日益复杂，网络带来巨大经济效益的同时，风险和挑战并存。
[0003]目前，单纯依靠入侵防御系统等被动防御手段已无法有效地抵御僵尸木马的攻击，只有主动对僵尸木马事件进行监测、分析、预警和阻断，才能有效减少网络安全事件的发生。近年来，针对僵尸木马事件监测的系统平台应运而生，大多数监测平台虽可有效处理僵尸木马事件，但是仍存在一定的误报率，需要人工来核查系统提供的僵尸木马事件的准确性，进而告知涉事单位协查处置。该过程存在周期长、核查成本高、效率低等诸多缺点。此外，核查时需要人工下载僵尸木马事件的详细信息，下载耗时也会受检索条件的设置而有所差异。检索条件中设置时间间隔越长，下载耗时也会越长，对处理实时事件存在一定的局限性。
[0004]现如今，僵尸木马的判断工作主要依赖于网络数据流与特征库做匹配。现有的方法大多基于攻击数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种互联网中僵尸木马真实性判断方法，其特征在于，依次包括以下步骤：A：获取待判定僵尸木马数据集，并确定待判定僵尸木马数据的僵尸木马属性因子；其中，僵尸木马属性因子包括时间属性函数f1(x)、源IP属性函数f2(x)、目的IP属性函数f3(x)、单位属性函数f4(x)、事件紧急度属性函数f5(x)和IP关联度属性函数f6(x)；时间属性函数f1(x)包括待判定僵尸木马数据的疑似被控时间，源IP属性函数f2(x)包括控制端IP和控制端端口；目的IP属性函数f3(x)包括被控端IP和被控端端口；单位属性函数f4(x)包括被控IP归属和目的IP归属；事件紧急度属性函数f5(x)为根据待判定僵尸木马数据上报时间的由近及远，对应递减设定的不同紧急度级别；IP关联度属性函数f6(x)为真实僵尸木马数据与待判定僵尸木马数据的控制端IP地址的匹配率；B：利用步骤A中得到的多个僵尸木马属性因子，基于粒计算理论，构建单粒度层次的僵尸木马信息粒化模型BDM＝(U,CU{d})；其中，U表示对象，C表示条件属性，d为决策属性；C：利用步骤A得到的时间属性函数f1(x)和步骤B中构建的单粒度层次的僵尸木马信息粒化模型BDM，基于多粒度粗糙集理论，通过属性法划分论域U，依据待判定僵尸木马数据的事件紧急度f5(x)，依次构建多粒度层次的僵尸木马信息粒化模型BDM
k
＝(U,T
k
,C∪{d})；其中，论域U即为对象U，T表示时间粒度，k表示粒度模型的层数，C表示条件属性，d为决策属性；D：从多粒度层次的僵尸木马信息粒化模型BDM
k
中，根据决策属性协调性进行判断并选取最优僵尸木马判断粒度；E：根据步骤D中得到的最优僵尸木马判断粒度选取对应层次的僵尸木马信息粒化模型，然后通过查询目的IP属性函数f3(x)中被控端IP对应主机的日志信息；判断对应的待判定僵尸木马数据的真实性。2.根据权利要求1所述的互联网中僵尸木马真实性判断方法，其特征在于：所述的步骤A包括以下步骤：A1：获取待判定僵尸木马数据集；A2：利用待判定僵尸木马数据集，分别获取待判定僵尸木马数据的时间属性函数f1(x)、源IP属性函数f2(x)、目的IP属性函数f3(x)和单位属性函数f4(x)；A3：利用待判定僵尸木马数据集，根据待判定僵尸木马数据上报时间的由近及远，将对应的待判定僵尸木马数据的事件紧急度属性函数f5(x)分别设定为递减的不同紧急度级别，且时间优先处理顺序为递减；A4：构建僵尸木马真实数据集，并将僵尸木马真实数据集中的真实僵尸木马数据，与待判定僵尸木马数据集中的待判定僵尸木马数据，逐一进行控制端IP地址的匹配率计算并得到IP地址匹配率，作为待判定僵尸木马数据的IP关联度属性函数f6(x)。3.根据权利要求1所述的互联网中僵尸木马真实性判断方法，其特征在于，所述的步骤A4中IP地址匹配率的计算方法如下：A41：构建由真实僵尸木马数据组成的僵尸木马真实数据集；A42：将僵尸木马真实数据集中的真实僵尸木马数据的控制端IP地址依次转换为整数型，最终得到真实僵尸木马数据的控制端IP地址的整数型表示IP1；A43：按照步骤A42的方法，得到待判定僵尸木马数据集中的待判定僵尸木马数据的控制端IP地址的整数型表示IP2；
A44：将真实僵尸木马数据的控制端IP地址的整数型表示IP1，与待判定僵尸木马数据的控制端IP地址的整数型表示IP2，逐一进行控制端IP地址匹配率计算，得到对应的IP地址匹配率R；其中，IP0为设定的IP地址偏差范围阈值。4.根据权利要求1所述的互联网中僵尸木马真实性判断方法，其特征在于：所述的步骤C中，在单...

【专利技术属性】
技术研发人员：张良，薛钰，赵巍，梁爽，齐同源，杨秉杰，时辰，
申请(专利权)人：国家计算机网络与信息安全管理中心河南分中心，
类型：发明
国别省市：