[发明专利]对等僵尸网络核心节点检测方法及检测装置

权利要求书

1.一种对等僵尸网络核心节点检测方法，其特征在于，包括以下步骤：

步骤A、对网络中各节点间网络流量进行周期性监测统计，得到各节点间的会话；

步骤B、每个周期中对各节点间的会话进行多种特征参数的提取，并根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度                                               ：

式中， ；BS为僵尸会话类型集合；表示所提取的第i种特征参数；表示所提取的会话s的第i种特征参数值；为第i种特征参数的置信区间；

步骤C、将参与会话的各节点抽象为一张无向图的顶点，将会话抽象为该无向图的边，以会话为僵尸会话的疑似度作为该边的权值，得到无向图G；求取无向图G的最小覆盖集，最小覆盖集中的各顶点所对应的节点即为本周期中检测到的对等僵尸网络核心节点。

2.如权利要求1所述对等僵尸网络核心节点检测方法，其特征在于，所述多种特征参数至少包括：小负载数据包率，即在两节点当前周期的所有会话数据包中，数据部分小于100字节的数据包所占的比例。

3.如权利要求1所述对等僵尸网络核心节点检测方法，其特征在于，在对各节点间的会话进行多种特征参数的提取时，将不可能是对等僵尸网络的会话预先存入一白名单中，在进行网络会话特征统计时不予以考虑。

4.如权利要求1所述对等僵尸网络核心节点检测方法，其特征在于，所述第i种特征参数的置信区间按照下式动态确定：

式中，、分别为上一周期中得到的对等僵尸网络核心节点在当前周期中所参与的所有m个会话关于第i种特征参数的平均值和方差；为预设的第i种特征参数的信任度，其取值范围为。

5.如权利要求1所述对等僵尸网络核心节点检测方法，其特征在于，所述步骤C具体包括以下步骤：

步骤1、构建无向图，图中的顶点为会话双方，边为会话，其边的权值为会话为僵尸会话的疑似度,并且设置；

步骤 2、计算每一个顶点的权值，；

步骤 3、计算每一个顶点的支持度，；

步骤 4、计算每一个顶点的和度，；

步骤 5、遍历顶点集合，，在无向图中删除与相关的边；

步骤 6、重复步骤2 – 步骤5，直到；

步骤 7 ：将按照加入顺序排序，对等僵尸网络核心节点集为，其中，为预设的覆盖集选取率。

6.如权利要求5所述对等僵尸网络核心节点检测方法，其特征在于，所述覆盖集选取率的值小于或等于20%。

7.如权利要求1所述对等僵尸网络核心节点检测方法，其特征在于，所述对网络中各节点间网络流量进行周期性监测统计，通过网关并使用交换端口镜像方法实现。

8.一种使用如权利要求1～7任一项所述检测方法的对等僵尸网络核心节点检测装置，其特征在于，包括：网络会话分析模块、对等僵尸网络核心节点计算模块、会话表、对等僵尸网络核心节点表；

其中，网络会话分析模块包括数据包获取模块、特征提取模块、疑似度分析模块；数据包获取模块用于对网络中各节点间网络流量进行周期性监测统计，得到各节点间的会话；特征提取模块对数据包获取模块周期性获取的各节点间的会话进行多种特征参数的提取，并将所提取的特征参数输出至会话表及疑似度分析模块；疑似度分析模块利用特征提取模块所提取的特征参数，根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度，并将疑似度数据输出至会话表：

式中， ；BS为僵尸会话类型集合；表示所提取的第i种特征参数；表示所提取的会话s的第i种特征参数值；为第i种特征参数的置信区间；

对等僵尸网络核心节点计算模块包括无向图构造模块和最小覆盖集计算模块；无向图构造模块根据会话表中所存储的数据按照以下方法构造无向图：将参与会话的各节点抽象为一张无向图的顶点，将会话抽象为该无向图的边，以会话为僵尸会话的疑似度作为该边的权值；最小覆盖集计算模块用于计算无向图构造模块所构造的无向图的最小覆盖集，并将最小覆盖集中的各顶点所对应的节点作为本周期中检测到的对等僵尸网络核心节点，输出至对等僵尸网络核心节点表中保存。

9.如权利要求8所述对等僵尸网络核心节点检测装置，其特征在于，所述网络会话分析模块中还包括一白名单，其中储存有不可能是对等僵尸网络的会话，特征提取模块在进行网络会话特征提取时将白名单中的会话排除在外。