[发明专利]一种基于马尔可夫模型的僵尸网络流量检测方法及系统

权利要求书

1.一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：包括如下步骤：

（1）获取流量数据并进行存储；

（2）对获取的具有相同源IP、目的IP、目的端口和协议四元组的流数据进行聚类分析，生成四元组对应的状态链；

（3）使用预先训练好的马尔可夫模型对该四元组生成的状态链进行相似性检测；

（4）将检测结果和流数据保存到数据库；

所述步骤（2）具体包括：

判断输入数据是否为第一条流，若是则以该流的开始时间加上5分钟生成一个时间窗口，并将输入的具有相同源IP、目的IP、目的端口和协议四元组的流数据聚合为同一类，并提取流的大小、持续时长和周期性特征，通过自定义的流状态对照表生成一个按照流的开始时间降序排序的流状态链；

若不是第一条流，则说明已存在时间窗口，判断该流是否处于该时间窗口内；

若处于已存在的时间窗口内，则将新流归入四元组集合中；

若不位于时间窗口内，则先判断该流对应的四元组中含有的流数据是否过大，若超过了设定的阈值，则先将已有的所有流数据清空，再更新时间窗口，并将流数据放入对应的四元组集合中。

2.根据权利要求1所述的一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：所述步骤（1）中，以netflow形式的双向流作为输入数据，数据输入后存入队列，随后被逐条取出。

3.根据权利要求1所述的一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：所述步骤（2）还包括

判断该四元组是否匹配白名单规则，其中一个白名单规则的内容由源IP、目的IP、目的端口和协议组成，匹配方法具体为：

检查四元组的源IP、目的IP、目的端口和协议是否与任一一条现有白名单规则相同；若相同，则将对应四元组标为正常连接，其对应的所有流量均为正常流量；

若没有与该四元组匹配的任何白名单规则，则进入下一步判断。

4.根据权利要求1所述的一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：所述步骤（2）还包括

判断该四元组对应的状态链长度是否达到检测阈值，即具有相同源IP、目的IP、目的端口和协议的流数量是否达到检测的要求。

5.根据权利要求1所述的一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：所述步骤（3）具体包括如下：

（a）将预先学习到的已知僵尸网络流量模型的状态链长度截取到与待检测四元组模型的状态链一致的长度；

（b）根据截取好的已知僵尸网络流量模型的状态链，来生成对应的一阶马尔可夫模型的初始向量和概率矩阵；

（c）根据一阶马尔可夫链的理论，分别计算在步骤（b）生成的概率矩阵下，产生已知僵尸网络流量模型的状态链的概率指标和产生待检测四元组对应状态链的概率指标；

（d）若在步骤（c）得到的两个概率指标之比小于等于设定的相似阈值，则待检测四元组即判定为该种僵尸网络，并将该四元组对应的连接标注为异常连接；

（e）遍历每种已知僵尸网络流量模型的状态链，并重复以上步骤（a）到（d），概率指标比最接近1的对应僵尸网络即为待检测四元组对应的僵尸网络，若没有任何一个概率指标小于等于相似阈值，则将待检测四元组标为未知连接。

6.根据权利要求5所述的一种基于马尔可夫模型的僵尸网络流量检测方法，其特征在于：所述相似阈值设定为1.1。

7.一种应用权利要求1至6任一项所述的一种基于马尔可夫模型的僵尸网络流量检测方法的检测装置，其特征在于：包括

数据获取单元，用于获取流量数据并进行存储；

聚类分析单元，用于对获取的具有相同源IP、目的IP、目的端口和协议四元组的流数据进行聚类分析，生成四元组对应的状态链；

模型训练单元，用于使用预先训练好的马尔可夫模型对该四元组生成的状态链进行相似性检测；

结果存储单元，用于将检测结果和流数据保存到数据库。