[发明专利]基于贝叶斯的僵尸网络检测技术

说明书

本发明针对当前僵尸网络严重威胁着互联网的安全，以及目前主流的僵尸网络检测方法准确性较低的问题，提出了基于Hadoop平台的MapReduce机制的贝叶斯算法的僵尸网络检测技术；该技术以主机对作为分析对象，提取主机对通信的流量特征，然后将这些特征作为贝叶斯分类算法的输入，训练生成贝叶斯分类器，用训练好的贝叶斯分类器进行僵尸网络的检测。

技术领域

本发明属于互联网安全技术领域,也涉及贝叶斯算法来开发完成的。

背景技术

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意取用，因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患；通过本技术可以及时的发现僵尸网络，保证了用户的电脑安全和信息安全。

发明内容

本技术设计如下

贝叶斯算法进行MapReduce设计的基本思路: 其中b表示僵尸网络，n表示正常网络，其中w1为TCP数据流、w2为时问问隔平均值、w3为时问问隔变化、w4为数据包字节数、w5为数据包个数平均值、w6为持续时问平均值，其中，计算正常网络和僵尸网络的先验概率对应一个MapReduce计算过程，即MapReduce 1;对6个属性列既要判断是否为僵尸网络又要判断是否在阑值内，即每个属性有4个判断条件，因此需要求24个条件概率，计算这24个条件概率对应另一个MapReduce计算过程，即:MapReduce 2，贝叶斯检测阶段基于由26个概率构成的知识库，根据进行分类并判断是否为僵尸网络，检测阶段对应一个MapReduce计算过程，即MapReduce 3；

1.MapReduce 1:Map 1接收到的是训练数据被Hadoop处理形成的<Key, Value>对形式为<该行起始位置相对于文件起始位置的偏移量，文本文件中的一行信息>的信息，由于MapReducel是计算贝叶斯的先验概率，只需用到Value的类标签属性，所以Map 1将每行Value数据按空格分隔成字符串数组，取出数组最后一项，即类标签值，判断类标签值，若为0，输出中问结果<Key 1, Value 1>对的形式为<”正常网络”，1>;若为1，输出中问结果<Key1, Value 1 >对的形式为<“僵尸网络”，1>，并且MapReduce框架每执行一次map()说明处理一行数据，通过累加统计训练数据总行数，以成员变量sum存储，Map 1只是一个数据准备阶段，使Reduce 1能在该准备数据上继续处理，经过MapReduce1的处理，形成两个以成员变量Sum_yes_p, Sum_ uo_p存储的概率:正常网络先验概率和僵尸网络先验概率，构成知识库的一部分，以供检测阶段使用；