[发明专利]一种基于流量分析的P2P僵尸网络检测系统及方法

权利要求书

1.一种基于流量分析的P2P僵尸网络检测系统，其特征在于，包括网络流量接收模块、通信结构图构建模块、检测算法模块、数据库模块，其中：

所述网络流量接收模块从分布在不同监测点的程序获取网络流量，根据过滤规则过滤掉良性的网络流量，将不确定的流量记录在所述数据库模块中；

所述通信结构图构建模块读取所述不确定的流量记录，构建通信结构图；

所述检测算法模块对所述通信结构图进行分析探究，判断所述通信结构图中的节点所属IP地址是否为僵尸网络主机；

数据库模块存放所述网络流量接收模块、所述通信结构图构建模块、所述检测算法模块的计算结果；

所述过滤规则包含公认良性网络地址；

所述过滤规则包含本系统检测出来的良性P2P网络地址；

所述通信结构图构建模块被配置为：以监测到的IP地址为节点，以互相之间的通信为边构建加权有向图，利用社区发现算法进行子图分割，找到其中的P2P结构子图；

所述检测算法模块被配置为：将所述通信结构图节点之间的通信整合成为节点之间的会话，计算会话开始时间戳和会话结束时间戳差值得到会话持续时间TD、源IP为A向目标IP为B发送的数据包有效负载总长度APS、源IP为B向目标IP为A发送的数据包有效负载总长度BPS、双方之间的通信次数NOC，并将所述APS、BPS、NOC、TD作为特征，采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器来进行对恶意P2P流量的检测，将良性P2P网络添加进所述流量接收模块的所述过滤规则当中，并将P2P僵尸网络的检测结果存入所述数据库模块当中。

2.如权利要求1所述的基于流量分析的P2P僵尸网络检测系统，其特征在于，所述加权有向图的权值能够通过计算所述节点与其它相连节点的通信相似度得出。

3.如权利要求2所述的基于流量分析的P2P僵尸网络检测系统，其特征在于，所述通信相似度采用时间戳TS、数据包有效负载长度PS进行计算。

4.如权利要求1所述的基于流量分析的P2P僵尸网络检测系统，其特征在于，所述检测算法模块被配置为：当检测到僵尸网络中的节点与其它不属于此僵尸网络的节点进行通信时，跟踪这两个节点之间的会话，计算出所述APS、BPS、NOC、TD的值与所述僵尸网络的会话特点进行相似度判断，如果相似则将其加入之前的P2P僵尸网络结构当中并记录。

5.一种基于流量分析的P2P僵尸网络检测方法，其特征在于，包括以下步骤：

步骤1：对于已知的通信结构图，获取所述通信结构图中相关流量的关键字段组，包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS；

步骤2：使用所述步骤1中获取的所述SIP、DIP、TS、PS为特征，利用社区发现算法，对所述通信结构图进行子图分割，发现其中的P2P结构，获取P2P结构流量；

步骤3：遍历属于所述P2P结构流量的关键字段组，将通信双方IP地址相同的通信归为一组；

步骤4：遍历所述步骤3的每个所述分组，对组内数据按照时间规则排序，基于时间将所述组内数据分割成会话；

步骤5：计算所述步骤4中所述会话开始时间戳和结束时间戳差值得到会话的持续时间TD，SIP为A向DIP为B发送的数据包有效负载总长度APS，SIP为B向DIP为A发送的数据包有效负载总长度BPS，以及双方之间的通信次数NOC；

步骤6：将所述APS、BPS、NOCTD作为一个四元组，采用决策树和贝叶斯网络两种机器学习方法结合的集成分类器，进行恶意P2P流量的检测，从而检测出P2P僵尸网络；

步骤7：将所述步骤6的检测结果存入数据库当中；

步骤8：读取已检测到的所述P2P僵尸网络中的主机IP，当检测到所述IP和其它不属于所述僵尸网络的IP进行通信时，获取关键字段组，包括一次通信中的源IP地址SIP、目的IP地址DIP、时间戳TS、数据包有效负载长度PS；

步骤9：跟踪接下来的通信，计算得出包含所述APS、BPS、NOC、TD的四元组；

步骤10：将所述步骤9获取的所述四元组与之前所述僵尸网络的所述四元组进行相似性比较，如果是恶意流量则将新的节点加入所述P2P僵尸网络，并记录在数据库当中。