[发明专利]一种基于警报关联的僵尸机检测方法

权利要求书

1.一种基于警报关联的僵尸机检测方法，其特征在于，所述方法包括在线入侵检测模块，离线入侵检测模块和入侵警报关联模块，其中：

所述在线入侵检测模块进行实时的网络流量检测；

所述离线入侵检测模块利用攻击图技术，进行虚拟机安全状态评估；

所述入侵警报关联模块包括警报聚合和警报验证，用于关联在线入侵检测模块的警报和离线入侵检测模块的结果，最终判断是否发生入侵，并输出警报信息；

所述离线入侵检测模块，利用改进的攻击图技术，进行虚拟机安全状态的评估，具体步骤如下：

(2.1)使用漏洞扫描工具Nessus识别系统漏洞，根据漏洞和网络拓扑构建攻击图；

(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数；

(2.3)建立条件概率分布表；

(2.4)计算虚拟机的脆弱分数；

所述步骤(2.1)中构建的攻击图是一个有向无环图，表示为：

BAG＝(V,E,P) (1)

其中V表示节点，V＝V_c∪V_d∪V_r，V_r表示根节点，V_c表示漏洞节点，V_d表示利用漏洞可以得到的结果节点，E表示边，P表示概率集合，P＝P(V_c)表示成功利用漏洞的概率；

所述步骤(2.2)计算漏洞的可利用分数，公式如下：

其中CVSSSCORE表示由CVSS提供的漏洞评分，influence score表示漏洞被利用的频率，通过历史数据计算，和β为系数，用于平衡两个参数；

所述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的，条件概率分布表完成之后合并所有边缘概率得到无条件概率，即虚拟机的脆弱分数，将虚拟机脆弱分数作为离线入侵检测模块的警报值；

所述警报聚合的具体步骤如下：

(3.1.1)利用map reduce方法处理在线警报，形成键值对：key，value，key表示警报中的source ip，value为时间窗内的警报数量；

(3.1.2)触发离线入侵检测模块，得到虚拟机的脆弱分数score；

(3.1.3)用警报向量表示时间窗内的警报结果：

其中，Alert_n表示时间窗内的警报向量，n表示时间窗编号；

所述警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测，将这个预测值与实际值进行比较，如果差距超过阈值，就判定发生异常，发出最终入侵警报，具体步骤如下：

(3.2.1)为当前Alert_T构造时间序列，向前取固定时长作为时间序列窗口N，将窗口内的警报向量作为时间序列，所述时间序列表示为：

(3.2.2)对进行二次指数平滑的方法为对value_i和score_i分别进行二次指数平滑，得到平滑值pvalue_T和pscore_T，即当前value_T和score_T的预测值，value_i的二次指数平滑公式如下：

其中，value_t表示value_i在t期的值，α为平滑系数，分别为t期和t-1期的二次指数平滑值，和分别为t期和t-1期的一次指数平滑值；

pvalue_T的计算公式为

pvalue_T＝a_t+b_t (5)

其中，

由此得到value_T的预测值pvalue_T，score_t的预测值pscore_T通过同样的方法得到，Alert_T的预测值表示为

(3.2.3)将pAlert_t和Alert_T进行比较，做差得到dAlert_T，使用KNN算法对dAlert_T进行处理，从历史数据库中找到k个与dAlert_T距离最小的邻居样本，根据这k个邻居样本所属的类别决定dAlert_T的类别，实现入侵检测；

所述步骤(3.2.2)中的α通过随机梯度下降法确定。

2.根据权利要求1所述的一种基于警报关联的僵尸机检测方法，其特征在于，在线入侵检测模块包括恶意IP地址检测模块，恶意SSL证书检测模块，域通量检测模块和Tor连接检测模块，通过这4个检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。