| 发明名称 | 基于双过滤机制的高速网络僵尸报文的检测方法 | ||
| 摘要 | 一种基于双过滤机制的高速网络僵尸报文的检测方法,设置比特向量、IP地址存储结构和僵尸网络控制器库,在比特向量和IP地址存储结构中分别记录僵尸网络控制器IP集合,对于测量器获取的报文,测量器提取源IP、宿IP,在比特向量中快速近似查找源IP,如果在比特向量中成功匹配的报文源IP,则在IP地址存储结构中精确查找报文源IP,如果在IP地址存储结构中成功查找到的报文源IP,将该报文的宿IP作为僵尸主机加入到僵尸主机库,如果处理完所有的被测量报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,本发明能够根据僵尸网络控制器库,从高速主干网络中实时检测出被僵尸控制器所控制的僵尸主机及其规模。 | ||
| 申请公布号 | CN102437936A | 申请公布日期 | 2012.05.02 |
| 申请号 | CN201110428857.X | 申请日期 | 2011.12.20 |
| 申请人 | 东南大学 | 发明人 | 程光 |
| 分类号 | H04L12/26(2006.01)I;H04L12/56(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 南京天翼专利代理有限责任公司 32112 | 代理人 | 汤志武 |
| 主权项 | 一种基于双过滤机制的高速网络僵尸报文的检测方法,其特征在于:步骤一、设置一个比特向量B、一个IP地址存储结构、一个僵尸主机库和一个僵尸网络控制器IP库,比特向量B是由2m个比特构成的向量,其中m是2的上标,2m是2的m次幂,m是大于1的正整数,2m个比特初始值为0,进入步骤二;步骤二、在比特向量B和IP地址存储结构中分别记录僵尸网络控制器IP库内所有的僵尸网络控制器IP,进入步骤三;步骤三、当测量器测量到一个报文,测量器从报文头中提取所测量报文的源IP地址、宿IP地址,在比特向量B中快速近视查找所测量报文的源IP地址,如果在比特向量B中查找成功,则进入步骤四,否则进入步骤六;步骤四、在IP地址存储结构中精确查找所测量报文的源IP地址,如果在IP地址存储结构中成功查找到的所测量报文的源IP地址,进入步骤五,否则进入步骤六;步骤五、将所测量报文的宿IP地址作为僵尸主机加入到僵尸主机库,进入步骤六;步骤六、如果处理完所有报文后,对僵尸主机库的僵尸主机进行分类汇总生成僵尸网络规模报告,否则回到步骤三。 | ||
| 地址 | 210096 江苏省南京市四牌楼2号 | ||