基于网络流聚类检测Ｐ２Ｐ僵尸网络结构的方法技术

本发明专利技术公开了一种基于网络流聚类检测Ｐ２Ｐ僵尸网络结构的方法，该方法通过实时通信数据采集模块、数据报记录过滤模块、网络流抽取模块、网络流记录过滤模块、网络流聚类模块、数据关联和结果显示模块的顺序执行完成了对Ｐ２Ｐ僵尸网络结构的检测，其基本思想是防御者利用Ｐ２Ｐ僵尸网络节点间命令与控制通信的规律性，即持续时间、数据报数量、字节数量等具有特征，通过识别被监控网络通信数据中的命令与控制通信来确定被监控网络中的Ｐ２Ｐ僵尸网络节点和节点间的命令与控制关系，进而给出Ｐ２Ｐ僵尸网络结构；本发明专利技术的主要创新点在于通过聚类方法将具有相似特征的通信网络流聚集在一起，与命令与控制通信特征集中的特征对比，区别正常通信与Ｐ２Ｐ僵尸网络通信，从而达到检测Ｐ２Ｐ僵尸网络结构的目的。

【技术实现步骤摘要】

【技术保护点】
一种基于网络流聚类检测Ｐ２Ｐ僵尸网络结构的方法，其特征在于该方法包括有下列检测步骤：步骤１：采集实时通信数据实时通信数据采集模块首先从被监控网络中获取该被监控网络的ＩＰ数据报ＩＰＤ，并从所述的ＩＰ数据报ＩＰＤ中提取出关键字段ＫＦ＝｛ＳＩＰ，ＤＩＰ，ＳＰＴ，ＤＰＴ，ＩＨＬ，ＩＴＬ，ＴＨＬ，ＰＴＬ｝；然后记录下当前采集ＩＰ数据报ＩＰＤ的采集时间Ｔｔ；最后将所述的关键字段ＫＦ＝｛ＳＩＰ，ＤＩＰ，ＳＰＴ，ＤＰＴ，ＩＨＬ，ＩＴＬ，ＴＨＬ，ＰＴＬ｝中的源ＩＰ地址ＳＩＰ、目的ＩＰ地址ＤＩＰ、源端口号ＳＰＴ、目的端口号ＤＰＴ、ＩＰ数据报协议字段类型ＰＴＬ，以及采集时间Ｔｔ、应用层报文长度ＡＭＬ表示为一条数据报记录ＰＲ存储于数据报记录表ＰＲＴ中；所述数据报记录ＰＲ按照数学中的元组形式表示为ＰＲ＝（ＳＩＰ，ＤＩＰ，ＳＰＴ，ＤＰＴ，ＰＴＬ，Ｔｔ，ＡＭＬ）；步骤２：过滤数据报记录数据报记录过滤模块根据第一过滤规则集ＦＦＲ过滤掉所述数据报记录表ＰＲＴ中的数据报记录ＰＲ；步骤３：抽取网络流网络流抽取模块首先接受防御者输入的超时时间间隔ＴＯ；然后按照网络流抽取策略ＦＥＰ，根据所述采集时间Ｔｔ的先后顺序处理所述数据报记录表ＰＲＴ中的数据报记录ＰＲ；步骤４：过滤网络流记录网络流记录过滤模块根据第二过滤规则集ＳＦＲ过滤掉无关的网络流记录；所述的第二过滤规则集ＳＦＲ第一方面包括特殊通信过滤规则ＳＣＦＲ；所述特殊通信过滤规则ＳＣＦＲ包括数据报数量ＰＮ为１、字节数量ＢＮ为０；网络流记录过滤模块删除网络流记录表ＦＲＴ中网络流记录ＦＲ相同于与所述特殊通信过滤规则ＳＣＦＲ的网络流记录ＦＲ；第二方面包括Ｐ２Ｐ通信过滤规则ＰＰＦＲ；所述的Ｐ２Ｐ通信过滤规则ＰＰＦＲ包含所述网络流特征ＦＦＴ为某一特定值；网络流记录过滤模块删除网络流记录表ＦＲＴ中网络流特征ＦＦＴ相同于所述Ｐ２Ｐ通信过滤规则ＰＰＦＲ的网络流记录ＦＲ；步骤５：进行网络流聚类网络流聚类模块首先接受防御者输入的命令与控制特征集ＣＣＦＦＴ；然后利用最大最小值法ＭＭ对网络流记录表ＦＲＴ中的网络流记录ＦＲ的网络流特征ＦＦＴ进行数据规格化；最后对进行网络流记录表ＦＲＴ中的网络流记录ＦＲ进行聚类，将聚类中心点接近所述命令与控制特征集ＣＣＦＦＴ中特征的一个或者多个聚类作为Ｐ２Ｐ僵尸网络命令与控制网络流集ＣＣＳ；所述最大最小值法ＭＭ是取数据集中最小值ＭＩＮ，数据集中最大值ＭＡＸ，然后数据集中的每一个数据Ｄ等于Ｄ－ＭＩＮ除以ＭＡＸ－ＭＩＮ；步骤６：显示结果数据关联和结果显示模块首先提取所述命令与控制网络流集ＣＣＳ中的ＩＰ地址集ＩＰＳ；然后将ＩＰ地址集ＩＰＳ中的每一个ＩＰ地址表示为一个点，在所述命令与控制网络流集ＣＣＳ中每一个网络流记录ＦＲ对应的源ＩＰ地址ＳＩＰ、目的ＩＰ地址ＤＩＰ之间绘制一条边；由得到的点和边构成了防御者检测到的Ｐ２Ｐ僵尸网络结构。...

【技术特征摘要】

【专利技术属性】
技术研发人员：夏春和，段俊锋，姚珊，王海泉，冯杰，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：11