[发明专利]社交僵尸网络控制节点的检测方法及装置

摘要

本发明涉及一种社交僵尸网络控制节点的检测方法及装置。社交僵尸网络控制节点的检测方法包括：采集合法昵称样本和恶意昵称样本并保存并进行随机划分；基于改进的Aprior算法，从第一合法昵称样本子集中挖掘出所有出现频数超过设定频数阈值的各阶子字符串保存在频繁表中；基于频繁表，利用第二合法昵称样本子集和第一恶意昵称样本子集，根据预设的可信度计算函数和阈值生成规则获得可信度阈值；根据可信度计算函数，利用第三合法昵称样本子集和第二恶意昵称样本子集，验证可信度阈值是否有效；若有效，则根据可信度计算函数和可信度阈值对待检测昵称进行检测。本发明能够在无需对僵尸程序进行逆向的情况下，快速准确地检测出NGA生成的伪随机昵称。

主权项

一种社交僵尸网络控制节点的检测方法，其特征在于，包括：步骤一，采集合法昵称样本和恶意昵称样本并保存，并将所述合法昵称样本的集合随机划分为第一合法昵称样本子集、第二合法昵称样本子集和第三合法昵称样本子集，将所述恶意昵称样本的集合随机划分为第一恶意昵称样本子集、第二恶意昵称样本子集，其中，所述昵称为字符串；步骤二，基于改进的Aprior算法，从所述第一合法昵称样本子集中挖掘出所有出现频数超过设定频数阈值的各阶子字符串，将所述各阶子字符串及其出现频数按阶保存在频繁表中，其中，所述改进的Aprior算法，是指调整了生成候选表的连接规则和剪枝规则的Aprior算法，阶是指字符串的长度，出现频数是指出现次数；步骤三，基于所述频繁表，利用所述第二合法昵称样本子集和所述第一恶意昵称样本子集，根据预设的可信度计算函数和阈值生成规则，获得可信度阈值；所述步骤三包括：根据预设的可信度计算函数P(X)，分别计算出所述第二合法昵称样本子集和所述第一恶意昵称样本子集的可信度，其中，所述第二合法昵称样本子集的可信度为所述第二合法昵称样本子集中各个昵称的可信度的集合，所述第一恶意昵称样本子集的可信度为所述第一恶意昵称样本子集中各个昵称的可信度的集合，其中，可信度计算函数P(X)的表达式如下：$P\left(X\right)=\underset{i=1}{\overset{k}{\Σ}}\frac{{\mathrm{\Σ}}_{x\∈X_i}{L}_i\left(x\right)}{N-i+1}$其中，X代表昵称，k代表频繁表的最大阶数，X_i代表X的第i阶子序列，L_i(x)代表昵称字符串x在第i阶频繁表L_i中对应的频数，若不存在，则置为0，N表示昵称X的长度；归一化所述第二合法昵称样本子集和所述第一恶意昵称样本子集的可信度，设所述第二合法昵称样本子集为T2，所述第一恶意昵称样本子集为F1，Max(*)表示昵称样本集合*中昵称的最大可信度值，Min(*)表示昵称样本集合*中昵称的最小可信度值，表示T2和F1的可信度P(X)归一化到区间[0,1]的结果，则的表达式为：$P\left(X\right){|}_0^1=\frac{P\left(X\right)}{Max\{Max\left(T_2\right),Max\left(F_1\right)\}-Min\{Min\left(T_2\right),Min\left(F_1\right)\}};$统计生成可信度阈值，使得所述第二合法昵称样本子集中可信度小于所述可信度阈值的昵称数量与所述第一恶意昵称样本子集中可信度大于所述可信度阈值的昵称数量之差的绝对值最小；步骤四，根据所述可信度计算函数，利用所述第三合法昵称样本子集和所述第二恶意昵称样本子集，验证所述可信度阈值是否有效；步骤五，若经检验，所述可信度阈值有效，则将社交网络中节点对应的昵称作为待检测昵称，根据所述可信度计算函数计算所述待检测昵称的可信度，若所述待检测昵称的可信度小于所述可信度阈值，则所述待检测昵称为恶意昵称，与所述待检测昵称对应的节点为社交僵尸网络控制节点，否则所述待检测昵称为合法昵称。