[发明专利]基于网络数据流簇聚类的木马通信特征快速提取方法

权利要求书

1.一种基于网络数据流簇聚类的木马通信特征快速提取方法，其特征在于， 

首先，将捕获的网络数据流，按照基于时间戳的数据流簇聚类算法分成数据包簇，所述基于时间戳的数据流簇聚类算法是： 

时间戳论域：设T={t₁,t₂,…,t_n,…}是待划分通信过程的数据包时间戳集合，T中的每个对象t_i是第i个数据包的时间戳，t_i单位为秒，i、n为大于0的自然数； 

簇半径阈值：设ε为簇半径阈值，相邻数据包的时间戳间隔小于该阈值的将被聚类在一个簇中； 

簇集合：设数据流为S_j，数据流S_j={c₁,c₂,…,c_m}是经划分得到的一次通信过程的簇的集合，P(c_i)=(c_i1,c_i2,…,c_ik)是S_j中的每个簇对象c_i的特征矢量；在聚类得到簇之后根据特征矢量将簇分类，m为大于0的自然数； 

界标窗口：因为数据包是顺序到达的，因此选取界标窗口来存储时间戳论域T，界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据包的个数； 

将数据包簇按照四元组进行会话划分，即每个会话通过四元组唯一标识，并选用链表作为记录会话的数据结构，构建基于四元组的数据包簇的会话链表； 

基于时间戳的数据流簇聚类算法以数据流S和簇半径阈值ε为输入，数据流S使用TCP会话四元组标识，簇半径阈值ε的单位为秒，以生成的簇集合S′={(c_i,P(c_i))|(1≤i≤m)}为输出；顺序遍历数据流中的每个数据包，通过计算当前数据包与前一个数据包的时间间隔判断加入当前簇还是新建簇；1≤i≤m，1≤j≤m，i、j、m、n分别为大于0的自然数； 

计算簇集合S′时，顺序遍历数据流中的每个数据包，通过计算当前数据包与前一个数据包的时间间隔判断加入当前簇还是新建簇，方法如下： 

（1）如果数据流中没有簇，则建立一个簇，然后接收数据流中下一个数据包； 

（2）如果改数据包的到达时间和上一个的数据包到达时间差小于定义的簇半径阈值，则将该数据包加入到簇中，更新簇的信息； 

（3）如果数据包的到达时间和上一个数据包的到达时间大于簇半径阈值，则新建立一个簇； 

然后，进行木马通信特征的提取，木马通信特征的提取含有连接保持无操作阶段木马通信特征的提取和操作阶段木马通信特征的提取； 

在连接保持无操作阶段木马通信特征的提取中：提取两个数据包簇统计特征用于检测木马在连接保持无操作阶段的通信行为，该两个数据包簇统计特征为：“心跳过程”接收和发送的数据包比例相等、“心跳间隙”的平稳性小于阈值；所述“心跳过程”接收和发送的数据包比例相等是指：不同木马的心跳形式可能会存在差别，但是对于同一个木马而言其心跳过程是不变的，在每个“心跳过程”木马行为是一致的，发送和接收的数据包的数量也是相同的；所述“心跳间隙”的平稳性小于阈值是指：当“心跳间隙”的平稳性小于阈值时，则判定其为木马通信，反之则为正常网络通信； 

操作阶段木马通信特征的提取分四个方面，分别为： 

第一：针对木马通信过程的长时交互的特点，分别提取以下行为特征：通信时长、通信小包数量；将长度小于200字节的数据包称为通信小包； 

第二：针对木马被控端在通信中扮演资源服务器的角色，提取以下行为特征：被控主机的信息和文件资源异常上传通信量； 

第三：针对木马通信过程中数据包分布特点，提取以下行为特征：会话接收小包数量与会话小包数量的比值，该特征值大于0.5时为异常特征； 

第四：针对木马通信时的数据流表现为由内向外的上传流的特点，提取以下特征：会话上传数据量与下载数据量的比值，该特征值大于1时为异常特征； 

所述通信时长、通信小包数量、被控主机的信息和文件资源异常上传通信量、会话接收小包数量与会话小包数量的比值、会话上传数据量与下载数据量的比值这些特征的定义均以被控主机为参照物。