基于主机流量功率谱相似性度量的僵尸网络检测方法

摘要

本发明公开了一种基于主机流量功率谱相似性度量的僵尸网络检测方法，属于网络通信安全领域。对采集到的网络出口流量数据进行预处理后，利用自相关函数对其进行描述，自相关函数取离散傅里叶变换得到各主机流量功率谱序列，计算主机对功率谱序列的优化DTW距离，将优化DTW距离小于阈值的主机对放入主机对集合，最后利用时空关联算法计算主机对集合中的各主机对所处状态的可信度，根据该值的大小判断被检测网络中是否存在僵尸网络，实现僵尸网络的检测。采用优化DTW距离描述主机对流量功率谱的相似性，避免了僵尸主机个体差异给检测效果带来的影响；时空关联法分析主机对所处状态的可信度，充分利用了主机流量在时间和空间上的相关性，提高检测效果。

主权项

1.一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其特征在于：该方法的具体实现步骤为：步骤一、网络出口流量数据采集基于libpcap/winpcap工具软件在企业网的出口处采集所有的网络流量，作为检测的原始数据，并根据不同的内网主机对采集到的网络流量进行分类，最后将流量数据存入数据中心；步骤二、对流量数据进行预处理后，计算网络主机在固定时间长度内的通讯量，并进行归一化处理，得到网络主机的通讯量函数，即网络主机流量函数，记为x(t)，t＝1,2,…,N，其中，N为观测的时间步长，在时间间距为L时，网络主机流量的自相关函数定义为：R_x(L)＝E[x(t)x(t+L)]其中，E[·]表示取数学期望；步骤三、通过离散傅里叶变换得到各主机流量功率谱序列通过对主机流量的自相关函数取离散傅里叶变换来获得主机流量功率谱序列，表示为：$\psi (R_x\left(L\right),k)={\Sigma }_{i=0}^{N-1}\left(R_x\left(L\right)e^{-j2\mathrm{\pi ki}/N}\right),k=\mathrm{1,2},...,N-1---\left(1\right)$步骤四、主机对流量功率谱的相似性度量提取步骤三中主机流量功率谱序列的特征点，得到特征点的数目q，并记录特征点的序号i_s；将长度为N的主机流量功率谱序列转换为长度为f的功率谱特征序列，并分别计算转换前后序列的查询上届和查询下界；计算主机对功率谱特征序列的优化DTW距离，若距离值小于设定的阈值，则将主机对加入主机对集合A_SB，以备下一步的检测；所述的长度为N的主机流量功率谱序列是指主机流量功率谱序列包含N个元素；步骤五、时空关联分析首先利用空间关联分析法分析主机对处于每种状态的可信度，即通过基本概率赋值函数bpa(·)将主机对的优化DTW距离转换为主机对所处状态的可信度；再利用时间关联分析法对主机对中存在僵尸主机的可信度进行修正，得到更精确的检测结果；最后判断待检测网络是否为僵尸网络；所述的主机对所处状态包括主机对处于非工作状态、主机对中存在僵尸主机、主机对中不存在僵尸主机和不能确定主机对中是否存在僵尸主机；（1）空间关联分析采用D-S证据理论实现空间关联分析，设辨识框架表示主机所处状态的集合，其中C表示主机是僵尸主机；表示主机不是僵尸主机；则主机对所处状态的集合，即辨识框架U的幂集合2^U为：其中，表示主机对处于非工作状态；表示主机对所处的状态无法判断，即主机对中可能存在僵尸主机，也可能不存在僵尸主机；幂集合2^U中各元素的基本概率赋值函数bpa(2^U)定义为：$m\left(C\right)=0.8/(1+e^{-({\bar{Y}}_t-1.5)})+0.0667---(6-1)$$m(⫬C)=0.8/(1+e^{({\bar{Y}}_t+1.5)})+0.0667---(6-2)$$m\left(\tilde{U}\right)=1-m\left(C\right)-m(⫬C)---(6-3)$其中，${\bar{Y}}_t=10\times \left(Y_t\right)/(\max \left(Y_t\right)-\min \left(Y_t\right))---\left(7\right)$Y_t表示在当前t时刻，当前主机对流量功率谱特征序列的优化DTW距离；通过基本概率赋值函数bpa(·)将各主机对流量功率谱特征序列的优化DTW距离转换为主机对所处状态的可信度；（2）时间关联分析为了提高僵尸网络的检测精度，本发明通过时间关联分析，即利用主机对流量功率谱优化DTW距离的时间相关性，对主机对中存在僵尸主机的可信度m(C)进行修正；用原假设H₀表示前一时刻主机对不是僵尸主机，备择假设H₁表示前一时刻主机对是僵尸主机，则当H₁成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₁)；当H₀成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₀)；考虑到不同时刻，主机流量不会完全相同，因此功率谱序列也不会完全相同，所以在实际操作中，用P_r(Y_t≤ε|H₀)、P_r(Y_t≤ε|H₁)分别代替P_r(Y_t|H₀)、P_r(Y_t|H₁)；定义：P_r(Y_t≤ε|H₀)＝θ₀、P_r(Y_t≤ε|H₁)＝θ₁，其中，θ₀和θ₁都是Y_t和ε的函数，定义为：${\theta }_0(Y_i,ϵ)=\frac{1}{1+\exp ((Y_t-ϵ)\times k)}$（8）${\theta }_1(Y_i,ϵ)=\frac{1}{1+\exp (-(Y_t-ϵ)\times k)}$式中，k为系统参数，ε为不采用时间相关性分析时系统的阈值；那么，当前时刻主机对为僵尸主机的可信度的修正系数，即幂集合2^U的子集{C}的基本概率值修正系数为：$K_s=\frac{P_r\left(Y_t\right|H_1)}{P_r\left(Y_t\right|H_0)}---\left(9\right)$修正后，该主机对在当前时刻为僵尸主机的可信度为：m'(C)＝m(C)×K_s              （10）步骤六、异常判断根据时空关联分析法分别计算出集合A_SB中n₁个主机对存在僵尸主机的可信度，用表示，则待检测网络为僵尸网络的可信度表示为：$m_{\mathrm{web}}=m_1{\oplus m}_2\oplus ...\oplus m_{n_1}---\left(11\right)$其中，表示正交和；m_web定义为：其中，表示集合A_SB中的n₁个主机对都有僵尸主机存在，即待检测网络为僵尸网络；表示集合A_SB中的n₁个主机对均处于工作状态，且所处状态相同；m_i(C_i)表示在当前时刻第i个主机对中存在僵尸主机的可信度，即在当前时刻第i个主机对中存在僵尸主机的概率值为m_i(C_i)，由式（10）计算得到；由式（12）得到待检测网络所处状态的可信度，判断待检测网络为僵尸网络的可信度是否大于给定的阈值，若是则认为待检测网络中存在僵尸网络；否则，认为待检测网络为安全网络。