[发明专利]一种僵尸网络检测方法及装置

权利要求书

1.一种僵尸网络检测方法，其特征在于，所述方法包括：

获得网络通信流量拓扑图中的各个社团拓扑图；

获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵，所述社团拓扑图的特征矩阵用于表示所述社团拓扑图中各节点的集聚程度，所述社团拓扑图的邻接矩阵用于表示所述社团拓扑图中各节点之间的连接关系；

根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵，得到所述各个社团拓扑图中每层节点的嵌入表示；

根据所述各个社团拓扑图中每层节点的嵌入表示，确定所述各个社团拓扑图对应网络是否属于僵尸网络；

所述获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵包括：

获得所述各个社团拓扑图中每个节点的聚集系数，所述节点的聚集系数用于表征所述社团拓扑图中的节点之间结集成团的程度；

根据所述各个社团拓扑图中每个节点的聚集系数，得到各个社团拓扑图的特征矩阵；

根据所述各个社团拓扑图中节点之间的连接关系，得到所述各个社团拓扑图的邻接矩阵。

2.根据权利要求1所述的方法，其特征在于，所述获得网络通信流量拓扑图中的各个社团拓扑图包括：

根据目标路径关系，对所述网络通信流量拓扑图进行聚类划分，得到所述网络通信流量拓扑图中的各个社团拓扑图，所述目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。

3.根据权利要求1所述的方法，其特征在于，所述根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵，得到所述各个社团拓扑图中每层节点的嵌入表示，以及所述根据所述各个社团拓扑图中每层节点的嵌入表示，确定所述各个社团拓扑图对应网络是否属于僵尸网络，包括：

调用检测模型的特征提取层对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理，得到所述特征提取层输出的各个社团拓扑图中每层节点的嵌入表示；

调用所述检测模型的概率输出层对所述嵌入表示进行处理，得到所述概率输出层输出的所述各个社团拓扑图对应网络属于僵尸网络的概率，所述概率用于指示所述社团拓扑图对应网络是否属于僵尸网络；

其中，所述检测模型是基于历史网络通信流量拓扑图中各历史社团拓扑图的特征矩阵、各历史社团拓扑图的邻接矩阵和各历史社团拓扑图的真实标签，对所述特征提取层和所述概率输出层进行训练得到，所述历史社团拓扑图的标签用于指示所述历史社团拓扑图对应网络是否属于僵尸网络。

4.根据权利要求3所述的方法，其特征在于，所述检测模型的训练过程包括：

获得所述各个历史社团拓扑图的特征矩阵和所述各个历史社团拓扑图的邻接矩阵；

将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到所述特征提取层中，以利用所述特征提取层中的各个子层依次对同一个历史社团拓扑图的特征矩阵和邻接矩阵进行处理，得到所述特征提取层的最后一层输出的历史社团拓扑图的嵌入表示，各个子层之间的传播关系满足H^(l+1)表示第(l+1)层的嵌入表示，W^(l)为第l层的权重参数矩阵，σ为非线性激活函数，H^(l)表示第l层的嵌入表示，为根据同一个历史社团拓扑图的邻接矩阵归一化处理得到的矩阵；

将所述历史社团拓扑图的嵌入表示输入到所述概率输出层，得到所述概率输出层输出的所述历史社团拓扑图对应网络属于僵尸网络的概率；

根据所述历史社团拓扑图对应网络属于僵尸网络的概率，得到所述历史社团拓扑图的预测标签；

根据所述历史社团拓扑图的预测标签和真实标签，得到损失值，利用所述损失值对所述检测模型的模型参数进行调整直至得到的所有损失值中出现最小值，以所述最小值对应的检测模型对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理。