[发明专利]基于网络流聚类检测P2P僵尸网络结构的方法

说明书

技术领域

本发明涉及一种发现网络结构的方法，更特别地说，是指一种基于网络流聚类检测P2P僵尸网络结构的方法。

背景技术

僵尸网络(Botnets)是大量未经授权控制计算机资源，能够接受远程控制命令执行相应操作的计算机程序所组成的网络。它是一种从传统恶意代码形态进化而来的新型攻击方式，为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的；其中，一对多的命令与控制机制是它的本质特征。攻击者是指通过使用计算机网络采取行动扰乱、阻止、削弱或毁坏驻留在计算机及其计算机网络上的信息或计算机及其网络自身的计算机或人。

防御者是指在计算机网络及其信息系统内，采取一系列行动保护、监视、分析、检测和响应未经授权活动的人。

僵尸网络的命令与控制机制有多种模式：集中式、P2P模式和随机模式。P2P僵尸网络的特点是节点(僵尸进程)之间是一种对等关系，网络中不存在典型的命令与控制服务器，网络中的servent节点既可以作为客户端，又可以作为服务器端。相对于集中式的僵尸网络，P2P僵尸网络不容易被检测发现，具有更强的隐蔽性。

参见图1所示，图中包括有A节点、B节点、C节点、D节点、E节点、F节点、G节点、H节点、和I节点共计9个节点，A～I节点之间通过命令与控制活动C&C构成P2P僵尸网络结构。攻击者可以通过预先设定的某些节点来传递攻击指令AI_n，P2P僵尸网络中的节点则可以通过命令与控制活动C&C将攻击指令AI_n传播至所述网络中的每一个节点；网络中的所有节点将解释所述的攻击指令AI_n并执行相应的攻击活动AA，所述的攻击活动AA将对被攻击者的网络、信息系统等造成损害。

发明内容

本发明的目的是提出一种基于网络流聚类检测P2P僵尸网络结构的方法，该方法通过实时通信数据采集模块、数据报记录过滤模块、网络流抽取模块、网络流记录过滤模块、网络流聚类模块、数据关联和结果显示模块的顺序执行完成了对P2P僵尸网络结构的检测，其基本思想是防御者利用P2P僵尸网络节点间命令与控制通信的规律性，即持续时间、数据报数量、字节数量等具有特征，通过识别被监控网络通信数据中的命令与控制通信来确定被监控网络中的P2P僵尸网络节点和节点间的命令与控制关系，进而给出P2P僵尸网络结构；本发明的主要创新点在于通过聚类方法将具有相似特征的通信网络流聚集在一起，与命令与控制通信特征集中的特征对比，区别正常通信与P2P僵尸网络通信，从而达到检测P2P僵尸网络结构的目的。

本发明的一种基于网络流聚类检测P2P僵尸网络结构的方法，该方法包括有下列检测步骤：

步骤1：采集实时通信数据

实时通信数据采集模块首先从被监控网络中获取该被监控网络的IP数据报IPD，并从所述的IP数据报IPD中提取出关键字段KF＝{SIP，DIP，SPT，DPT，IHL，ITL，THL，PTL}；然后记录下当前采集IP数据报IPD的采集时间T_t；最后将所述的关键字段KF＝{SIP，DIP，SPT，DPT，IHL，ITL，THL，PTL}中的源IP地址SIP、目的IP地址DIP、源端口号SPT、目的端口号DPT、IP数据报协议字段类型PTL，以及采集时间T_t、应用层报文长度AML表示为一条数据报记录PR存储于数据报记录表PRT中；所述数据报记录PR按照数学中的元组形式表示为PR＝(SIP，DIP，SPT，DPT，PTL，T_t，AML)；

步骤2：过滤数据报记录

数据报记录过滤模块根据第一过滤规则集FFR过滤掉所述数据报记录表PRT中的数据报记录PR；

步骤3：抽取网络流

网络流抽取模块首先接受防御者输入的超时时间间隔TO；然后按照网络流抽取策略FEP，根据所述采集时间T_t的先后顺序处理所述数据报记录表PRT中的数据报记录PR；

步骤4：过滤网络流记录

网络流记录过滤模块根据第二过滤规则集SFR过滤掉无关的网络流记录；

步骤5：进行网络流聚类