主权项 |
一种僵尸网络检测方法,其特征在于,包括:根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;根据对每个业务流量数据簇进行操作处理的结果,确定由僵尸网络通信过程产生的业务流量数据簇;其中,针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数执行归类划分操作处理,包括:针对每个业务流量数据簇,分别执行下述操作:将该业务流量数据簇作为根节点,按照与该根节点对应的指标参数判断是否需要创建叶子节点;如果否,针对该根节点,不创建叶子节点;如果是,针对该根节点,根据至少一个指定表征流量数据属性的第二属性信息对该根节点对应的业务流量数据簇进行归类处理,创建叶子节点,并将创建的叶子节点作为根节点,返回按照与该根节点对应的指标参数判断是否需要创建叶子节点的步骤;其中进行归类处理所使用的第二属性信息中至少有一个第二属性信息与进行归类处理所使用的第一属性信息不同,或进行归类处理所使用的第二属性信息的数量与进行归类处理所使用的第一属性信息的数量不同。 |