CN104618377A - 基于NetFlow的僵尸网络检测***与检测方法 - Google Patents
基于NetFlow的僵尸网络检测***与检测方法 Download PDFInfo
- Publication number
- CN104618377A CN104618377A CN201510058355.0A CN201510058355A CN104618377A CN 104618377 A CN104618377 A CN 104618377A CN 201510058355 A CN201510058355 A CN 201510058355A CN 104618377 A CN104618377 A CN 104618377A
- Authority
- CN
- China
- Prior art keywords
- botnet
- rule
- netflow
- probability
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于NetFlow的僵尸网络检测***包括:数据采集模块、预处理模块、节点评估模块、拓扑发现模块以及相关性分析模块,节点评估模块通过分析函数Fbot(vi)得到数据流i对应的疑似僵尸网络概率Pboti;相关性分析模块绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图,计算目标网络为僵尸网络的概率,如果大于设定阈值,目标网络为僵尸网络。本发明还提供一种僵尸网络检测方法。本发明结合了NetFlow流量分析的高效性,采用分析算法,计算得到每个节点与整个网络拓扑结构的威胁系数,结合目标网络具体的拓扑结构,对网络拓扑复杂、迁移性强、隐蔽性高、危害性大的僵尸网络进行准确的甄别。
Description
技术领域
本发明涉及计算机网络安全领域的僵尸网络检测方法,尤其涉及一种基于NetFlow的僵尸网络综合检测***与检测方法。
背景技术
计算机网络是当今社会最为重要的信息设施,随着计算机网络的高速发展,网络安全问题逐渐引起人们的广泛关注。僵尸网络(Botnet)是指攻击者(BotOwner)制造并传播僵尸程序以控制大量节点(通常所说的僵尸机或肉鸡),利用命令和控制(Command and Control,C&C)通道组织成的网络,僵尸网络经常被用于发起分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击、发送垃圾邮件、传播或托管恶意代码和钓鱼网站,或者实施身份信息与商业机密窃取等攻击。
近年来,僵尸网络已对计算机网络安全和社会经济构成了极大的威胁,成为网络安全领域的重要问题,僵尸网络攻击相关的网络刑事案件也频频出现于各种媒体之上。
总体看来,现今的僵尸网络普遍具有更新快、规模扩大迅速的特点,有些僵尸网络甚至通过产生大量的垃圾流量以绕过检测机制,传统的基于异常行为的僵尸网络检测技术,在大数据环境下,难以保证准确与快速。
现有的基于网络通信监测的僵尸网络检测技术和方法,大多是基于僵尸网络C&C通信常用的IRC和HTTP协议的分析,以及对僵尸网络感染节点的攻击等异常行为的检测,并不能快速、准确地检测僵尸网络。
本领域的技术人员致力于开发一种僵尸网络检测***与检测方法,
发明内容
有鉴于现有的僵尸网络检测***和检测方法的缺陷,本发明提供了一种基于NetFlow的僵尸网络检测***,能够快速、准确地检测僵尸网络,以保证网络安全。
本发明还提供了一种基于NetFlow的僵尸网络检测方法。
NetFlow是一种数据交换方式,NetFlow技术主要源于流技术的提出,是Flow技术的典型代表。其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
基于Netflow的以上特性,因此NetFlow技术在实际网络中得到广泛应用。主要应用在流量监控、流量计费、用户监控、网络规划和安全分析及监控等方面。
本发明提供了一种基于NetFlow的僵尸网络检测***与检测方法,利用NetFlow在异常流量分析中的高效、快速、便捷的优势,实现在网络拓扑结构复杂、平均负载较高的环境中对高隐蔽性、高危害性的僵尸网络的检测和跟踪,在保证准确性的前提下,大幅度提高速度与效率。
本发明提供一种基于NetFlow的僵尸网络检测***包括:
数据采集模块,设置于目标网络的一个或多个节点,用于采集节点的NetFlow数据流;
预处理模块,用于对数据采集模块采集的NetFlow数据流进行预处理;
节点评估模块,用于通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti;
拓扑发现模块,用于分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有数据流向量组成的数据流通信图;
相关性分析模块,用于绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图,计算目标网络为僵尸网络的概率,如果概率大于设定阈值,目标网络为僵尸网络;
数据采集模块、预处理模块、节点评估模块、拓扑发现模块与相关性分析模块连接。
进一步地,节点为网关节点或路由器节点。
进一步地,基于NetFlow的僵尸网络检测方法包括如下步骤:
(1)设置于目标网络的多个节点的数据采集模块,采集节点的NetFlow数据流;
(2)预处理模块对数据采集模块采集的NetFlow数据流进行预处理;
(3)节点评估模块通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti;
(4)拓扑发现模块分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有数据流向量组成的数据流通信图;
(5)相关性分析模块绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图,计算目标网络为僵尸网络的概率,如果概率大于设定阈值,目标网络为僵尸网络。
进一步地,步骤(2)中的预处理包括标准化,标准化包括以下步骤:
(21)将数据流定义为标准向量格式:
vi=(SIP,Sport,DIP,Dport,ProtocalType,ByteSize,PacketNum)
其中SIP为源IP地址、Sport为源端口、DIP为目的IP地址、Dport为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。
进一步地,步骤(2)中的预处理包括过滤,过滤包括以下步骤:
(22)根据黑名单和/或白名单,过滤确凿的僵尸节点与无威胁节点;
(23)根据NetFlow数据包大小,过滤大数据报文的节点。
进一步地,步骤(3)中通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti的方法包括以下步骤:
(31)设置规则集合Rule[M],并计算每一条规则的权重,其中w[rulej]为第j条规则的权重,M为规则集合中的规则数;
(32)计算每一条规则在整个规则集合中所占的比例权重,第j条规则的比例权重为第j条规则的权重与所有规则权重和之比:
(33)分析函数Fbot(vi)为对于第i个数据流,所有满足的规则的比例权重之和:
Fbot(vi)=ΣjWeight[rulej];
(34)计算第i个数据流对应的疑似僵尸网络概率Pboti:
Pboti=Fbot(vi)。
进一步地,步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(311)采用自动打标签式设置规则集合,通过分析已发现的典型僵尸网络中NetFlow的流量,统计出所有流量的特征矩阵,从特征矩阵中选取概率最大的N个规则特征作为匹配规则;
(312)计算第j条规则权重的公式为:
w[rulej]=P(bot/rulej),
其中w[rulej]为第j条规则的权重,P(bot/rulej),为匹配第j个规则的先验概率,即在满足第j个规则rulej的情况下疑似僵尸网络概率。
进一步地,步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(313)采用手工打标签式设置规则集合;
(314)为第j个规则指定一个威胁等级系数d[rulej],d[rulej]的值为1至5的序列,则权重w[rulej]等于d[rulej],默认为1:
w[rulei]=d[rulei]or1。
进一步地,步骤(5)绘制与分析以疑似僵尸网络概率Pbot为权重的数据流通信图,计算目标网络为僵尸网络的概率的方法包括以下步骤:
(51)将(3)中计算得到的每个数据流的疑似僵尸网络概率Pbot值作为权值,赋给(4)中的数据流通信图中对应的数据流,形成以数据流为边的有向含权图;
(52)根据有向含权图,得到流量概率矩阵[Pmm],其中Pmm标识节点m与节点n之间的流量为僵尸网络通信流量的概率;
(53)计算目标网络为僵尸网络的概率P。
进一步地,步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤:
(531)设置敏感因子α,节点m的威胁系数dm为:
其中N为节点总数;敏感因子α代表对异常威胁值的敏感度检测,α值设置的越大,表示高于平均水平的异常威胁值的权重越高;
(532)设置敏感因子β,目标网络为僵尸网络的概率P为:
其中N为节点总数;敏感因子β代表对异常威胁值的敏感度检测,β值设置的越大,表示高于平均水平的异常威胁值的权重越高。
β的取值范围在1-10之间,默认值取2。
与现有技术相比,本发明提供的基于NetFlow的僵尸网络检测***与检测方法具有以下有益效果:利用NetFlow在异常流量分析中的高效、快速、便捷的优势,实现在网络拓扑结构复杂、平均负载较高的环境中对高隐蔽性、高危害性的僵尸网络的检测和跟踪,在保证准确性的前提下,大幅度提高速度与效率。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个实施例的基于NetFlow的僵尸网络检测***结构示意图;
图2是图1所示的基于NetFlow的僵尸网络检测***的NetFlow数据流图;
图3是图1所示的基于NetFlow的僵尸网络检测***的数据流通信图;
图4是图1所示的基于NetFlow的僵尸网络检测***的疑似僵尸网络概率Pboti为权重的数据流通信图。
具体实施方式
如图1所示,本发明的一个实施例的基于NetFlow的僵尸网络检测***包括:
数据采集模块,设置于目标网络的关键路由器节点,用于采集节点的NetFlow数据流;
预处理模块,用于对数据采集模块采集的NetFlow数据流进行预处理;
节点评估模块,用于通过分析函数Fbot(vi)得到数据流i对应的疑似僵尸网络概率Pboti;
拓扑发现模块,用于分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有数据流向量组成的数据流通信图;
相关性分析模块,用于绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图,计算目标网络为僵尸网络的概率;
数据采集模块、预处理模块、节点评估模块、拓扑发现模块与相关性分析模块连接。
设置数据采集模块的节点为网关节点或路由器节点。
采用本实施例的基于NetFlow的僵尸网络检测***,进行僵尸网络检测的方法包括如下步骤:
(1)设置于目标网络的多个节点的数据采集模块,采集节点的NetFlow数据流;
(2)预处理模块对数据采集模块采集的NetFlow数据流进行预处理;
(3)节点评估模块通过分析函数Fbot(vi)得到数据流i对应的疑似僵尸网络概率Pboti;
(4)拓扑发现模块分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有数据流向量组成的数据流通信图;
(5)相关性分析模块绘制与分析以疑似僵尸网络概率Pboti为权重的数据流通信图,计算目标网络为僵尸网络的概率,如果概率大于设定阈值,目标网络为僵尸网络。
步骤(2)中的预处理包括过滤与标准化。
过滤包括以下步骤:
(22)根据黑名单和/或白名单,过滤确凿的僵尸节点与无威胁节点;
(23)根据NetFlow数据包大小,过滤大数据报文的节点。
根据统计经验值,60个数据包以上的netflow为数据流,可滤除。
标准化包括以下步骤:
(21)将数据流定义为标准向量格式:
vi=(SIP,Sport,DIP,Dport,ProtocalType,ByteSize,PacketNum)
其中SIP为源IP地址、Sport为源端口、DIP为目的IP地址、Dport为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。
步骤(3)中通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti的方法包括以下步骤:
(31)设置规则集合Rule[M],并计算每一条规则的权重,其中w[rulej]为第j条规则的权重,M为规则集合中的规则数;
(32)计算每一条规则在整个规则集合中所占的比例权重,其值为第j条规则的权重与所有规则权重和之比:
(33)分析函数Fbot(vi)为对于第i个数据流,所有满足的规则的比例权重之和:
FBot(vi)=ΣjWeight[rulej];
(34)计算第i个数据流对应的疑似僵尸网络概率Pboti:
Pboti=Fbot(vi)。
图2示出了图1所示的基于NetFlow的僵尸网络检测***的NetFlow数据流图,显示了第i个数据流两端节点m-节点n的疑似僵尸网络流量概率,Pmn=Pboti。
步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(311)采用自动打标签式设置规则集合,通过分析已发现的典型僵尸网络中NetFlow的流量,统计出所有流量的特征矩阵,从特征矩阵中选取概率最大的M个规则特征作为匹配规则;
(312)计算每一条规则权重的公式为:
w[rulej]=P(bot/rulej),
其中w[rulej]为第j条规则的权重,P(bot/rulej)为匹配第j个规则的先验概率,即在满足第j个规则rulej的情况下疑似僵尸网络概率。
在另一个实施例中也可以采用自动打标签式设置规则集合,步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(313)采用手工打标签式设置规则集合,基于以下规则:
1.TCP失败连接数(SYN无ACK应答)的比例较高;(适用于TCP协议)
2.数据包总数过少(一般小于3个数据包)的NetFlow比例较高;(适用于IP协议)
3.平均数据包较大(一般大于60个数据包)的NetFlow比例较低;(适用于IP协议)
4.目的IP的源端口的平均数较多
5.全部NetFlow中独一无二的IP地址比例较多
6.NetFlow中连接某一特别目的端口的小于1024的数据包较多
(314)为第j个规则指定一个威胁等级系数d[rulej],d[rulej]的值为1至5的序列,则权重w[rulej]等于d[rulej],默认为1:
w[rulej]=d[rulej]or1。
步骤(4)拓扑发现模块分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有数据流向量组成的数据流通信图,如果本实施例的基于NetFlow的僵尸网络检测***包括单个检测节点,NetFlow数据流是检测节点本地检测到的所有数据流;如果本实施例的基于NetFlow的僵尸网络检测***包括多个检测节点,即协同检测***,可以通过订阅分发的方式获取其他检测节点搜集到的数据流。
步骤(5)绘制与分析以疑似僵尸网络概率Pbot为权重的数据流通信图,计算目标网络为僵尸网络的概率的方法包括以下步骤:
(51)将(3)中计算得到的每个数据流的疑似僵尸网络概率Pbot值作为权值,赋给(4)中的数据流通信图中对应的数据流,形成以数据流为边的有向含权图;
(52)根据有向含权图,得到流量概率矩阵[Pmm],其中Pmm标识节点m与节点n之间的流量为僵尸网络通信流量的概率;
(53)计算目标网络为僵尸网络的概率P。
步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤:
(531)设置敏感因子α,节点m的威胁系数dm为:
其中N为节点总数;敏感因子α代表对异常威胁值的敏感度检测,α值设置的越大,表示高于平均水平的异常威胁值的权重越高;
α的取值范围在1-10之间,默认值取2。
(532)设置敏感因子β,目标网络为僵尸网络的概率P为:
其中N为节点总数;敏感因子β代表对异常威胁值的敏感度检测,β值设置的越大,表示高于平均水平的异常威胁值的权重越高。
β的取值范围在1-10之间,默认值取2。
图3、图4是图1所示的基于NetFlow的僵尸网络检测***的节点-节点的NetFlow数据流图,以下通过与均值函数对比说明本发明中分析函数Fbot(vi)的合理性与有效性:
分析函数的设置需要考虑到以下两种实际情况:
1与节点相连的威胁流量数量越多,节点威胁指数越高;
2与节点相连的所有威胁流量中,威胁相对较大的流量应当占更多比重。
根据第一种情况,图3中与节点1相连威胁流量为1个,即节点1-节点2的数据流,而图4中与节点1相连威胁流量为4个,显然相对于图3的威胁性,图4的威胁性更大。
如果采用均值函数,图3中与节点1相连威胁流量为节点1-节点2的数据流,威胁指数为0.81;而图4中威胁指数为4个威胁流量的均值0.63,威胁指数为0.63。这样图3的威胁指数大于图4的威胁指数,与“图3的威胁性低于图4的威胁性”的事实不符。
计算出的威胁指数:分别为0.81与0.63,与事实不符合。
通过本发明,判断图3是否为僵尸网络:
1.从图3中可得:流量概率矩阵
2.设置敏感因子α,敏感因子α设为2,节点m的威胁系数dm为: 则节点1的威胁系数
3.设置敏感因子β,敏感因子β设为2,疑似僵尸网络概率
4.设置阀值为1,则可以判定图3不是僵尸网络。
再次通过本发明,判断图4是否为僵尸网络:
1.从图3中可得:流量概率矩阵
2.设置敏感因子α,敏感因子α设为2,节点m的威胁系数dm为: 则节点1的威胁系数
3.设置敏感因子β,敏感因子β设为2,疑似僵尸网络概率
4.设置阀值为1,则可以判定图4不是僵尸网络。
与事实符合,证明分析函数Fbot(vi)的合理性与有效性。
根据第二种情况,仅考虑图4中节点之间的流量,在全部四个点对点通信中,三个数据流的疑似僵尸网络概率较高,因此图4中节点1的威胁指数应该相对较高,均值函数与分析函数Fbot(vi)
其中敏感因子α设为2,得到的结果分别为0.63与1.50,分析函数Fbot(vi)相对更加准确,再次证明分析函数Fbot(vi)的合理性与有效性。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于NetFlow的僵尸网络检测***,其特征在于,所述基于NetFlow的僵尸网络检测***包括:
数据采集模块,设置于目标网络的一个或多个节点,用于采集所述节点的NetFlow数据流;
预处理模块,用于对所述数据采集模块采集的所述NetFlow数据流进行预处理;
节点评估模块,用于通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti;
拓扑发现模块,用于分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有所述数据流向量组成的数据流通信图;
相关性分析模块,用于绘制与分析以所述疑似僵尸网络概率Pboti为权重的数据流通信图,计算所述目标网络为僵尸网络的概率,如果所述概率大于设定阈值,所述目标网络为僵尸网络;
所述数据采集模块、所述预处理模块、所述节点评估模块、所述拓扑发现模块与所述相关性分析模块连接。
2.如权利要求1所述的基于NetFlow的僵尸网络检测***,其特征在于,所述节点为关键路由器节点。
3.一种基于NetFlow的僵尸网络检测方法,其特征在于,所述基于NetFlow的僵尸网络检测方法包括如下步骤:
(1)设置于目标网络的多个节点的数据采集模块,采集所述节点的
NetFlow数据流;
(2)预处理模块对所述数据采集模块采集的所述NetFlow数据流进行预处理;
(3)节点评估模块通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti;
(4)拓扑发现模块分析预处理后的NetFlow数据流,获得数据流向量,并绘制所有所述数据流向量组成的数据流通信图;
(5)相关性分析模块绘制与分析以所述疑似僵尸网络概率Pboti为权重的数据流通信图,计算所述目标网络为僵尸网络的概率,如果所述概率大于设定阈值,所述目标网络为僵尸网络。
4.如权利要求3所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(2)中的预处理包括标准化,所述标准化包括以下步骤:
(21)将数据流定义为标准向量格式:
vi=(SIP,Sport,DIP,Dport,ProtocalType,ByteSize,PacketNum)
其中SIP为源IP地址、Sport为源端口、DIP为目的IP地址、Dport为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。
5.如权利要求4所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(2)中的预处理包括过滤,所述过滤包括以下步骤:
(22)根据黑名单和/或白名单,过滤确凿的僵尸节点与无威胁节点;
(23)根据NetFlow数据包大小,过滤大数据报文的节点。
6.如权利要求4或5所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(3)中通过分析函数Fbot(vi)得到第i个数据流对应的疑似僵尸网络概率Pboti的方法包括以下步骤:
(31)设置规则集合Rule[M],并计算每一条规则的权重,其中w[rulej]为第j条规则的权重,M为规则集合中的规则数;
(32)计算每一条规则在整个规则集合中所占的比例权重,第j条规则的比例权重为第j条规则的权重与所有规则权重和之比:
(33)分析函数fbot(vi)为对于第i个数据流,所有满足的规则的比例权重之和:
Fbot(vi)=ΣjWeight[rulej];
(34)计算第i个数据流对应的疑似僵尸网络概率Pboti:
Pboti=Fbot(vi)。
7.如权利要求6所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(311)采用自动打标签式设置规则集合,通过分析已发现的典型僵尸网络中NetFlow的流量,统计出所有流量的特征矩阵,从所述特征矩阵中选取概率最大的N个规则特征作为匹配规则;
(312)计算第j条规则权重的公式为:
w[rulej]=P(bot/rulej),
其中w[rulej]为第j条规则的权重,P(bot/rulej)为匹配第j个规则的先验概率。
8.如权利要求6所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(31)中设置规则集合Rule[M],并计算每一条规则的权重的方法包括以下步骤:
(313)采用手工打标签式设置规则集合;
(314)为第j条规则指定一个威胁等级系数d[rulej],d[rulej]的值为1至5的序列,则权重w[rulej]等于d[rulej],默认为1:
w[rulej]=d[rulej]or1。
9.如权利要求6所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(5)绘制与分析以所述疑似僵尸网络概率Pboti为权重的数据流通信图,计算所述目标网络为僵尸网络的概率的方法包括以下步骤:
(51)将(3)中计算得到的第i个数据流的所述疑似僵尸网络通信概率Pboti值作为权值,对(4)中的数据流通信图中对应的数据流进行赋值,形成以数据流为边的有向含权图;
(52)根据所述有向含权图,得到流量概率矩阵[Pmn],其中Pmn标识节点m与节点n之间的流量为疑似僵尸网络通信概率;
(53)计算目标网络为僵尸网络的概率P。
10.如权利要求9所述的基于NetFlow的僵尸网络检测方法,其特征在于,步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤:
(531)设置敏感因子α,节点m的威胁系数dm为:
其中N为节点总数,所述敏感因子α代表对异常威胁值的敏感度检测,α值越大,表示高于平均水平的异常威胁值的权重越高;
(532)设置敏感因子β,目标网络为僵尸网络的概率P为:
其中N为节点总数;所述敏感因子β代表对异常威胁值的敏感度检测,β值越大,表示高于平均水平的异常威胁值的权重越高。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510058355.0A CN104618377B (zh) | 2015-02-04 | 2015-02-04 | 基于NetFlow的僵尸网络检测***与检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510058355.0A CN104618377B (zh) | 2015-02-04 | 2015-02-04 | 基于NetFlow的僵尸网络检测***与检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104618377A true CN104618377A (zh) | 2015-05-13 |
CN104618377B CN104618377B (zh) | 2018-01-30 |
Family
ID=53152652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510058355.0A Active CN104618377B (zh) | 2015-02-04 | 2015-02-04 | 基于NetFlow的僵尸网络检测***与检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104618377B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及*** |
CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
CN107070952A (zh) * | 2017-05-27 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络节点流量异常分析方法及*** |
WO2017223342A1 (en) * | 2016-06-22 | 2017-12-28 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
JP2019145893A (ja) * | 2018-02-16 | 2019-08-29 | 日本電気株式会社 | トポロジ決定装置、トポロジ決定方法、トポロジ決定プログラムおよび通信システム |
CN110703817A (zh) * | 2016-03-29 | 2020-01-17 | 华为技术有限公司 | 一种统计流量的控制方法、装置和*** |
CN111224956A (zh) * | 2019-12-26 | 2020-06-02 | 北京安码科技有限公司 | 云计算环境中的横向渗透检测方法、装置、设备及存储介质 |
CN111931180A (zh) * | 2020-09-22 | 2020-11-13 | 江西业力医疗器械有限公司 | 一种基于大数据平台的网络安全实施*** |
US10887324B2 (en) | 2016-09-19 | 2021-01-05 | Ntt Research, Inc. | Threat scoring system and method |
CN113114677A (zh) * | 2021-04-13 | 2021-07-13 | 中国互联网络信息中心 | 一种僵尸网络检测方法及装置 |
CN113132292A (zh) * | 2019-12-30 | 2021-07-16 | 中国电信股份有限公司 | 僵尸网络控制通道的动态监测方法和*** |
CN114513325A (zh) * | 2021-12-21 | 2022-05-17 | 中国人民解放军战略支援部队信息工程大学 | 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置 |
US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140075557A1 (en) * | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
CN103685184A (zh) * | 2012-09-14 | 2014-03-26 | 上海宝信软件股份有限公司 | 一种基于小流统计分析的对等僵尸主机识别方法 |
CN104092588A (zh) * | 2014-07-23 | 2014-10-08 | 哈尔滨工程大学 | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 |
-
2015
- 2015-02-04 CN CN201510058355.0A patent/CN104618377B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140075557A1 (en) * | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
CN103685184A (zh) * | 2012-09-14 | 2014-03-26 | 上海宝信软件股份有限公司 | 一种基于小流统计分析的对等僵尸主机识别方法 |
CN104092588A (zh) * | 2014-07-23 | 2014-10-08 | 哈尔滨工程大学 | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 |
Non-Patent Citations (1)
Title |
---|
邹福泰,章思宇,饶卫雄: "基于DNS流量的Fast-Flux僵尸网络混合检测与追踪", 《中国通信》 * |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007271B (zh) * | 2015-07-17 | 2019-01-18 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及*** |
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及*** |
CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
CN110703817B (zh) * | 2016-03-29 | 2022-04-05 | 华为技术有限公司 | 一种统计流量的控制方法、装置和*** |
CN110703817A (zh) * | 2016-03-29 | 2020-01-17 | 华为技术有限公司 | 一种统计流量的控制方法、装置和*** |
US11716262B2 (en) | 2016-03-29 | 2023-08-01 | Huawei Technologies Co., Ltd. | Control method, apparatus, and system for collecting traffic statistics |
US11381480B2 (en) | 2016-03-29 | 2022-07-05 | Huawei Technologies Co., Ltd. | Control method, apparatus, and system for collecting traffic statistics |
WO2017223342A1 (en) * | 2016-06-22 | 2017-12-28 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
US10887324B2 (en) | 2016-09-19 | 2021-01-05 | Ntt Research, Inc. | Threat scoring system and method |
US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
CN107070952A (zh) * | 2017-05-27 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络节点流量异常分析方法及*** |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
JP7056207B2 (ja) | 2018-02-16 | 2022-04-19 | 日本電気株式会社 | トポロジ決定装置、トポロジ決定方法、トポロジ決定プログラムおよび通信システム |
JP2019145893A (ja) * | 2018-02-16 | 2019-08-29 | 日本電気株式会社 | トポロジ決定装置、トポロジ決定方法、トポロジ決定プログラムおよび通信システム |
CN111224956A (zh) * | 2019-12-26 | 2020-06-02 | 北京安码科技有限公司 | 云计算环境中的横向渗透检测方法、装置、设备及存储介质 |
CN113132292A (zh) * | 2019-12-30 | 2021-07-16 | 中国电信股份有限公司 | 僵尸网络控制通道的动态监测方法和*** |
CN113132292B (zh) * | 2019-12-30 | 2022-09-06 | 中国电信股份有限公司 | 僵尸网络控制通道的动态监测方法和*** |
CN111931180B (zh) * | 2020-09-22 | 2021-02-09 | 浙江博诚信息技术有限公司 | 一种基于大数据平台的网络安全实施*** |
CN111931180A (zh) * | 2020-09-22 | 2020-11-13 | 江西业力医疗器械有限公司 | 一种基于大数据平台的网络安全实施*** |
CN113114677A (zh) * | 2021-04-13 | 2021-07-13 | 中国互联网络信息中心 | 一种僵尸网络检测方法及装置 |
CN114513325A (zh) * | 2021-12-21 | 2022-05-17 | 中国人民解放军战略支援部队信息工程大学 | 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置 |
CN114513325B (zh) * | 2021-12-21 | 2023-05-12 | 中国人民解放军战略支援部队信息工程大学 | 基于saw社区发现的非结构化p2p僵尸网络检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104618377B (zh) | 2018-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104618377A (zh) | 基于NetFlow的僵尸网络检测***与检测方法 | |
CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及*** | |
WO2021227322A1 (zh) | 一种SDN环境DDoS攻击检测防御方法 | |
CN107959690B (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN102271090B (zh) | 基于传输层特征的流量分类方法及装置 | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
Cao et al. | Detecting and mitigating DDoS attacks in SDN using spatial-temporal graph convolutional network | |
CN103078897B (zh) | 一种实现Web业务细粒度分类与管理的*** | |
CN101729389B (zh) | 基于流量预测和可信网络地址学习的流量控制装置和方法 | |
CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和*** | |
CN104580222A (zh) | 基于信息熵的DDoS攻击分布式检测与响应***及方法 | |
US20040255162A1 (en) | Security gateway system and method for intrusion detection | |
Lavrova et al. | Security analysis of cyber-physical systems network infrastructure | |
CN101552722A (zh) | 一种管理网络流量带宽的方法及装置 | |
CN110417729A (zh) | 一种加密流量的服务与应用分类方法及*** | |
CN106027497A (zh) | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及*** | |
CN102801719B (zh) | 基于主机流量功率谱相似性度量的僵尸网络检测方法 | |
Shanthi et al. | Detection of botnet by analyzing network traffic flow characteristics using open source tools | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Mi et al. | Ml-pushback: Machine learning based pushback defense against ddos | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和*** | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |