[发明专利]僵尸网络检测方法和控制器有效
| 申请号: | 201410186366.2 | 申请日: | 2014-05-05 |
| 公开(公告)号: | CN105099799B | 公开(公告)日: | 2018-11-20 |
| 发明(设计)人: | 陶敬;李剑锋;蔡启申 | 申请(专利权)人: | 华为技术有限公司;西安交通大学 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京同立钧成知识产权代理有限公司 11205 | 代理人: | 刘芳 |
| 地址: | 518129 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例提供一种僵尸网络检测方法和控制器,该方法包括:接收SDN中openflow交换机上报的每个流转发规则的统计信息,统计信息包括子流转发规则的第一匹配次数和母流转发规则的第二匹配次数;根据各第一匹配次数和各第二匹配次数确定每个服务器被任一用户终端访问的访问概率集合;根据访问概率集合两两计算访问任两个服务器的用户终端的相似度得到访问相似度矩阵;采用谱聚类算法对访问相似度矩阵进行谱聚类以根据聚类结果确定是否存在僵尸网络。母流转发规则中的源IP地址为一个子网地址,大大降低了控制器的处理负载,基于访问相似度来确定僵尸网络,提高了僵尸网络的检测效率。 | ||
| 搜索关键词: | 僵尸 网络 检测 方法 控制器 | ||
【主权项】:
1.一种僵尸网络检测方法,其特征在于,包括:接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则的统计信息,所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规则,所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配次数;其中,所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对应的数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器,所述母流转发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器;根据所述第一匹配次数和所述第二匹配次数,计算所述服务器被所述SDN中任一用户终端访问的访问概率,获得所述服务器的访问概率集合;根据所述访问概率集合,计算访问所述服务器中任意两个服务器的用户终端的相似度,得到访问相似度矩阵;采用预设谱聚类算法对所述访问相似度矩阵进行谱聚类,获得聚类结果;根据所述聚类结果确定是否存在僵尸网络。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华为技术有限公司;西安交通大学,未经华为技术有限公司;西安交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410186366.2/,转载请声明来源钻瓜专利网。
