[发明专利]一种检测僵尸网络的贝叶斯算法技术

说明书

技术领域

本发明涉及MapReduce计算机技术领域,同时也涉及贝叶斯算法。

背景技术

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意"取用"，因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患，僵尸网络的威胁也因此成为目前一个国际上十分关注的问题，然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的"僵尸主机"，这些主机的用户往往并不知情，因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

发明内容

本发明基于云的Hadoop机制和MapReduce实现贝叶斯算法根据流量分析判断网络访问流量信息中是否存在僵尸行为，基于MapReduce检测僵尸网络的贝叶斯算法，把贝叶斯算法训练阶段的先验概率、条件概率和检测阶段的后验概率的计算并行化处理，该方案把捕获的网络流量利用云环境的贝叶斯并行算法进行分析处理，最终检测出僵尸网络。

主要技术构架：

1云环境下检测僵尸网络的架构，由被测网络环境、云环境和代理服务器层三部分构成，这三部分协同完成僵尸网络的检测，每个被测网络中有若干台机器和一个核心交换机，连接一个代理服务器，代理服务器与核心交换机连接，主要负责网络流量的采集、解析、过滤并上传到云环境中，云的hadoop收集并处理各个代理服务器上传的网络流量，基于MapReduce的贝叶斯算法实现僵尸网络的检测；

2代理服务器运行 tcpdump抓包工具来抓取网络数据包，且将抓取的数据包以十六进制格式的文件存储，经过解析将文件变为可读的格式，以便程序分析处理，解析后将数据包存储在file中，不同协议的数据包格式不同，例如TCP协议的流量数据包格式如下:序号I数据包到达时问I源IP地址I源端口号I目的IP地址I目的端口号I协议I数据包字节数IFINISYNIACKIRST；

3代理服务器将解析后的file上传到云的Hadoop中，以便用MapReduce并行化的贝叶斯算法进行分析处理，file中每一行表示一个数据包，不同被测网络的代理服务器将file上传到云环境的同一个指定文件夹，以便在云环境中对各个被测网络的流量集中分析处理，检测出所有被测网络中的僵尸主机；

4为适合MapReduce计算模型处理，须将file中的数据包进行预处理，将抓取的网络流量信息数据包处理成以行形式存储的文件，每行信息形式如下：

“序号I数据包到达时问I源IP地址旧的IP地址ITCP数据流I时问问隔平均值I时问问隔变化I数据包字节数I数据包个数平均值I持续时问平均值I类标签”；

其中，类标签值为0或者1来标明该条网络数据是否属于僵尸网络，本文设类标签值为0的网络访问为正常网络，否则为僵尸网络；

随机选择类标签值为0的正常网络信息行的三分之二，再随机选择类标签值为1的僵尸网络信息行的三分之二，这些行信息合成文件作为训练数据文件，剩余行作为检测数据文件；

然后，将训练数据文件和检测数据文件分别按行分块，分块过程由Hadoop白动按64MB大小作为一个数据块处理。

检测僵尸网络的MapReduce技术设计，贝叶斯算法进行MapReduce设计的基本思路: 其中b表示僵尸网络，n表示正常网络，其中w1为TCP数据流、w2为时问问隔平均值、w3为时问问隔变化、w4为数据包字节数、w5为数据包个数平均值、w6为持续时问平均值，其中，计算正常网络和僵尸网络的先验概率对应一个MapReduce计算过程，即MapReduce 1;对6个属性列既要判断是否为僵尸网络又要判断是否在阑值内，即每个属性有4个判断条件，因此需要求24个条件概率，计算这24个条件概率对应另一个MapReduce计算过程，即:MapReduce 2，贝叶斯检测阶段基于由26个概率构成的知识库，根据进行分类并判断是否为僵尸网络，检测阶段对应一个MapReduce计算过程，即MapReduce 3：