基于分形与自适应融合的P2P botnet检测方法

摘要

基于分形与自适应融合的P2P botnet检测方法，涉及计算机安全领域。解决现有P2P botnet检测方法检测过程复杂且检测效率低等问题，本发明的方法为：构建单分形特性检测传感器和多分形特性检测传感器，它们分别利用大时间尺度下的自相似性和小时间尺度下的局部奇异性对网络流量特征进行刻画，利用Kalman滤波器检测上述特性是否存在异常。为获得更精确的数据融合结果，提出一种自适应数据融合方法，根据证据冲突程度不同自适应得选择DST、DSmT对上述检测传感器的检测结果进行融合以得到最终结果。本发明对P2P botnet进行快速通用检测，准确性和实时性更好。

主权项

基于分形与自适应融合的P2P botnet检测方法，其特征是，该方法由以下步骤实现：步骤一、网络流量数据采集；将采集的结果作为检测的原始数据；步骤二、采用分形理论构建单分形特性检测传感器和多分形特性检测传感器，所述单分形特性检测传感器对网络流量在大时间尺度下的自相似性参数中的Hurst指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量自相似性特征的异常，获得检测结果R_hurst；多分形特性检测传感器对网络流量在小时间尺度下的局部奇异性的参数Holder指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量局部奇异性特征的异常，获得检测结果R_holder；步骤三、采用自适应数据融合方法，根据步骤二中获得的两个检测结果R_hurst和R_holder，计算冲突因子C；并将所述冲突因子C与设定的阈值T进行比较，如果冲突因子C≥T，则判定为强冲突证据，采用DSmT对强冲突证据进行融合；否则，判定为弱冲突证据，采用DST对弱冲突证据进行融合；采用DST对弱冲突证据进行融合的具体过程为：设定识别框架U上有两个相互独立的证据A和B，m₁(A)和m₂(B)分别为两个相互独立证据对应的基本概率赋值函数，两个相互独立证据的焦元分别为A₁,…,A_p和B₁,…,B_q，其中C为冲突因子，则采用DST进行融合，用下式表示为：$m\left(V\right)=\left\{\begin{array}{cc}\frac{\underset{A_h\cap B_j=V}{\underset{A_h,B_j\in 2^U}{\Sigma }}{m}_1\left(A_h\right)m_2\left(B_j\right)}{1-C}& V\ne \phi \\ 0& V=\phi \end{array}\right.$式中，h和j为正整数，且1≤h≤p,1≤j≤q；采用DSmT对强冲突证据进行融合的具体过程为：DSmT是基于Dedekind格子模型D^U建立的框架U的超幂集空间，设定框架U上有n个证据，U＝{θ₁,…,θ_n}，所述n＝2；采用DSmT中的混合DSm模型进行融合(V∈D^U)，用下式表示为：m(V)＝δ(V)[S₁(V)+S₂(V)+S₃(V)]式中，$S_1\left(V\right)=\underset{X_1\mathrm{...}\cap X_r=V}{\underset{X_1,\mathrm{...},X_r\in D^U}{\Sigma }}\underset{i=1}{\overset{r}{\Pi }}{m}_i\left(X_i\right)$式中，u(X_r)是组成X_r的所有元素θ_i的并集，m_i(X_i)为X_i对应的广义概率赋值函数，δ(V)为集合V的特征非空函数，S₁(V)表示基于自由DSm模型的r个相互独立证据的经典DSm组合规则，S₂(V)表示将所有相对和绝对的空集的信度质量传递给总的或相对的未知集，S₃(V)表示将相对于空集的信度质量之和传递给非空集，所述r和i的范围为：1≤r≤n,1≤i≤r；步骤四、将步骤三中的融合结果作为最终检测的结果R，并将最终检测结果R与爆发阈值T_decision比较，当最终检测结果R≥T_decision时，检测到网络中存在P2Pbotnet。