| 发明名称 | 一种电力二次系统僵尸网络的检测方法 | ||
| 摘要 | 本发明公开一种电力二次系统僵尸网络的检测方法,抓包模块抓包并时序化报文,协议识别模块解析报文协议并按预设的白名单匹配协议,组流模块对报文按五元组组流生成流记录,流序列拼装模块将流记录按规则序列化成流序列,流序列特征提取模块提取流序列特征并生成僵尸特征库,特征匹配模块判断待测流序列的特征是否符合僵尸特征库中的某种僵尸网络。此种检测方法可降低计算资源的消耗,具有良好的适应性和检测准确率。 | ||
| 申请公布号 | CN105978897A | 申请公布日期 | 2016.09.28 |
| 申请号 | CN201610488613.3 | 申请日期 | 2016.06.28 |
| 申请人 | 南京南瑞继保电气有限公司;南京南瑞继保工程技术有限公司 | 发明人 | 张阳;胡绍谦;汤震宇 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 南京经纬专利商标代理有限公司 32200 | 代理人 | 葛潇敏 |
| 主权项 | 一种电力二次系统僵尸网络的检测方法,其特征在于包括如下步骤:步骤一:抓包模块将僵尸恶意代码产生的报文时序化后,输出至组流模块;步骤二:组流模块对输入报文按协议、源端口、目的端口、源IP和目的IP组流,得到流记录集合,每条流记录至少包含该流的流开始时间、流结束时间、报文总数及字节总数,流记录集合输出至流序列拼装模块;步骤三:流序列拼装模块将流记录集合中的每条流记录拼装成流序列,输出至流序列特征提取模块;步骤四:流序列特征提取模块提取每个流序列的平均流时间间隔、平均流持续时间和平均流字节数;步骤五:流序列特征提取模块对流序列进行01序列化,使用循环自相关方法计算01序列的最显著频率,并计算01序列的能量谱密度函数的最显著频率;步骤六:流序列特征提取模块使用X‑means聚类算法对平均流时间间隔、平均流持续时间、平均流字节数、01序列的最显著频率和能量谱密度函数的最显著频率这五个流序列特征分别聚类,并计算每个类别的均值、标准差和聚类质量;步骤七:循环执行步骤一到步骤六,流序列特征提取模块输出各个僵尸恶意代码的流量指纹,包含平均流时间间隔、平均流持续时间、平均流字节数、01序列的最显著频率、能量谱密度函数的最显著频率这五个流序列特征的类别均值、类别标准差、聚类质量以及特征匹配个数阈值和特征相似度得分阈值,使用预设步长自动调整特征匹配个数阈值和特征相似度得分阈值,使总的误报率和漏报率在调整范围内达到最小值;步骤八:抓包模块接收待分析报文做为输入,时序化后输出至协议识别模块;步骤九:协议识别模块将待分析报文输出至组流模块组流,按照步骤二到步骤五处理后,将生成的待分析流序列特征输入至特征匹配模块;步骤十:特征匹配模块比对待分析流序列特征与“流量指纹”库,若特征匹配个数超过特征匹配个数阈值,且特征相似度得分超过特征相似度得分阈值,则将待分析流序列处理为该僵尸网络流序列,若符合多条指纹,则将特征相似度得分最大的流序列处理为该僵尸网络流序列,记录并产生告警。 | ||
| 地址 | 211102 江苏省南京市江宁区苏源大道69号 | ||