一种p2p_botnet实时检测方法及系统

摘要

本发明公开了一种p2p僵尸网络实时检测方法与系统，属于计算机安全领域。本发明的方法为：首先利用典型p2p僵尸网络特征数据流训练最优分类决策树，然后在真实的网络环境接收网络数据并进行预处理，利用综合实时检测方法进行检测，最后汇总报告疑似僵尸网络主机。本发明的系统包括：训练子系统、检测子系统(初始化模块、网络接收模块、网络数据流预处理模块、综合检测模块)和中心控制子系统。与现有技术相比，本发明可以对p2p僵尸网络进行快速、在线、实时的通用检测，准确性、实时性和溯源性更好。

主权项

一种p2p botnet实时检测方法，其特征在于，所述方法包括：1)部署p2p botnet典型样例到虚拟机网络，利用协议分析技术，实时监控与接收虚拟机网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的packet header；2)据上述接收的通信数据，提取初始阶段p2p僵尸网络特征，采用分类方法SPRINT进行分类器训练，产生僵尸网络初始阶段分类决策树模型；所述分类方法SPRINT包括如下步骤，其中的F代表初始化阶段的特征数据流集合，其中Fi＝(P1，…，Pn)，Pi代表F中的属性：i)如果F满足停止条件，则返回；ii)对于各个属性Pi，找到一个值或者值集，产生最佳分裂；iii)比较各个属性的最佳分裂，选择最佳的将F分为F1和F2；iv)递归对F1和F2产生决策树；3)部署p2p僵尸网络检测系统到待检网络，利用协议分析技术，实时监控与接收真实网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的packet header，同时进行p2p僵尸网络特征提取与预处理；4)利用p2p botnet综合实时检测方法，对待检网络进行p2p僵尸网络分析与检测；该综合实时检测方法输入为某网段内已经预处理的格式化网络数据流，输出为疑似被感染的主机信息；步骤如下：a)实际参数初始化，方法开始执行；b)判断数据集是否满足僵尸网络攻击阶段特征，采用非参数化递归CUSUM算法判断网段内是否出现DDOS或者SMTP异常报文特征，如果满足攻击阶段特征，则转向d，d返回后结合其结果和出现攻击特征的主机进一步判断并给出疑似被感染主机情况，继续a；c)如果数据满足初始阶段特征，则使用训练后的分类决策树进行判断，给出疑似被感染主机，返回a继续；d)根据需要将外网、内网的主机网络连接信息格式化成数据集D＝{d1，d2，…，di，…，dn}，元素个数为n，di代表源/目的地址连接；■任选k个数据作为初始聚类中心；■计算其它数据与上述k个数据的相似度，根据相似度大小把其它数据分配到k个集合中；■计算每个新集合的聚类中心；■不断重复上述过程直到收敛结束；■输出疑似被感染主机信息。