[发明专利]基于网络流聚类检测P2P僵尸网络结构的方法

权利要求书

1.一种基于网络流聚类检测P2P僵尸网络结构的方法，其特征在于该方法包括有下列检测步骤：

步骤1：采集实时通信数据

实时通信数据采集模块首先从被监控网络中获取该被监控网络的IP数据报IPD，并从所述的IP数据报IPD中提取出关键字段KF＝{SIP，DIP，SPT，DPT，IHL，ITL，THL，PTL}；然后记录下当前采集IP数据报IPD的采集时间Tt；最后将所述的关键字段KF＝{SIP，DIP，SPT，DPT，IHL，ITL，THL，PTL}中的源IP地址SIP、目的IP地址DIP、源端口号SPT、目的端口号DPT、IP数据报协议字段类型PTL，以及采集时间T_t、应用层报文长度AML表示为一条数据报记录PR存储于数据报记录表PRT中；所述数据报记录PR按照数学中的元组形式表示为PR＝(SIP，DIP，SPT，DPT，PTL，T_t，AML)；

步骤2：过滤数据报记录

数据报记录过滤模块根据第一过滤规则集FFR过滤掉所述数据报记录表PRT中的数据报记录PR；

步骤3：抽取网络流

网络流抽取模块首先接受防御者输入的超时时间间隔TO；然后按照网络流抽取策略FEP，根据所述采集时间Tt的先后顺序处理所述数据报记录表PRT中的数据报记录PR；

步骤4：过滤网络流记录

网络流记录过滤模块根据第二过滤规则集SFR过滤掉无关的网络流记录；所述的第二过滤规则集SFR第一方面包括特殊通信过滤规则SCFR；所述特殊通信过滤规则SCFR包括数据报数量PN为1、字节数量BN为0；网络流记录过滤模块删除网络流记录表FRT中网络流记录FR相同于与所述特殊通信过滤规则SCFR的网络流记录FR；第二方面包括P2P通信过滤规则PPFR；所述的P2P通信过滤规则PPFR包含所述网络流特征FFT为某一特定值；网络流记录过滤模块删除网络流记录表FRT中网络流特征FFT相同于所述P2P通信过滤规则PPFR的网络流记录FR；

步骤5：进行网络流聚类

网络流聚类模块首先接受防御者输入的命令与控制特征集CCFFT；然后利用最大最小值法MM对网络流记录表FRT中的网络流记录FR的网络流特征FFT进行数据规格化；最后对进行网络流记录表FRT中的网络流记录FR进行聚类，将聚类中心点接近所述命令与控制特征集CCFFT中特征的一个或者多个聚类作为P2P僵尸网络命令与控制网络流集CCS；所述最大最小值法MM是取数据集中最小值MIN，数据集中最大值MAX，然后数据集中的每一个数据D等于D-MIN除以MAX-MIN；

步骤6：显示结果

数据关联和结果显示模块首先提取所述命令与控制网络流集CCS中的IP地址集IPS；然后将IP地址集IPS中的每一个IP地址表示为一个点，在所述命令与控制网络流集CCS中每一个网络流记录FR对应的源IP地址SIP、目的IP地址DIP之间绘制一条边；由得到的点和边构成了防御者检测到的P2P僵尸网络结构。

2.根据权利要求1所述的基于网络流聚类检测P2P僵尸网络结构的方法，其特征在于：在步骤1中，当PTL相同于TCP协议时，利用ITL-IHL-THL来计算应用层报文长度AML。

3.根据权利要求1所述的基于网络流聚类检测P2P僵尸网络结构的方法，其特征在于：在步骤1中，当PTL相同于UDP协议时，利用ITL-IHL-THL+8来计算应用层报文长度AML。

4.根据权利要求1所述的基于网络流聚类检测P2P僵尸网络结构的方法，其特征在于：在步骤2中，所述的第一过滤规则集FFR第一方面包括协议类型过滤规则PFR；数据报记录过滤模块删除数据报记录表PRT中协议字段类型PTL不同于所述协议类型过滤规则PFR的数据报记录PR；第二方面包括白名单过滤规则WLFR；所述白名单过滤规则WLFR包含防御者信任的IP地址；数据报记录过滤模块删除数据报记录表PRT中源IP地址SIP或目的IP地址DIP相同于所述白名单过滤规则WLFR的数据报记录PR；第三方面包括黑名单过滤规则BLFR；所述的黑名单过滤规则BLFR包含防御者怀疑的IP地址；数据报记录过滤模块删除数据报记录表PRT中源IP地址SIP或目的IP地址DIP不同于所述黑名单过滤规则BLFR的数据报记录PR。