一種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法
【專利摘要】本發(fā)明公開一種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法�����,其特征在于分為兩步:(1)小流過濾階段:根據(jù)主機(jī)網(wǎng)絡(luò)數(shù)據(jù)流的小流特性選擇出可疑的主機(jī)數(shù)據(jù)流�����,該階段往往能濾除網(wǎng)絡(luò)中百分之九十以上的流量�,以此來降低下一步處理的流量輸入量和提升處理效率;(2)僵尸主機(jī)識(shí)別階段:對(duì)可疑主機(jī)流依據(jù)時(shí)間序列上的統(tǒng)計(jì)相似性來識(shí)別僵尸主機(jī)�,本方法輸入為一段時(shí)間內(nèi)的目標(biāo)網(wǎng)絡(luò)邊界收集到的Netflow網(wǎng)絡(luò)流數(shù)據(jù),輸出為目標(biāo)網(wǎng)絡(luò)中被識(shí)別為僵尸主機(jī)的IP地址列表��。本發(fā)明是一種簡(jiǎn)單��、高效的技術(shù)手段���,來識(shí)別內(nèi)網(wǎng)中的對(duì)等僵尸主機(jī)�����,并且具有很高的可實(shí)施性����,同時(shí)具有易集成性。
【專利說明】—種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)����,具體地說,涉及的是一種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法���。
【背景技術(shù)】
[0002]當(dāng)前���,僵尸網(wǎng)絡(luò)已發(fā)展為當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)中最嚴(yán)重安全威脅之一,它融合了傳統(tǒng)的惡意軟件如計(jì)算機(jī)病毒�����、木馬以及蠕蟲等技術(shù)��,成為一種能發(fā)動(dòng)各種大規(guī)模惡意攻擊�、更新和散布各類惡意軟件的綜合攻擊平臺(tái)�。不僅如此����,采用對(duì)等網(wǎng)絡(luò)模式來構(gòu)建控制僵尸主機(jī)的通信通道�����,使得自身更具隱蔽性和健壯性���。因而����,感染僵尸程序的內(nèi)網(wǎng)主機(jī)就成為了內(nèi)網(wǎng)安全的一個(gè)威脅源��,使企業(yè)的IT基礎(chǔ)設(shè)施隨時(shí)散失其可用性����、信息資產(chǎn)處于暴露的危險(xiǎn),一旦爆發(fā)���,將給企業(yè)帶來無法估量的損失��。
[0003]與傳統(tǒng)的病毒��、木馬及蠕蟲相比�����,僵尸發(fā)動(dòng)的攻擊具有如下特性僵尸程序更新周期短�����、使用最新隱藏技術(shù)躲避檢測(cè)等��,使得當(dāng)前使用的惡意代碼檢測(cè)方法容易失效�����。例如���,攻擊者能夠通過相關(guān)命令頻繁地更新僵尸程序改變特征碼���,僵尸控制通道采用加密的私有協(xié)議,這些使得基于特征碼匹配的檢測(cè)方法容易失效���;當(dāng)前檢測(cè)僵尸主機(jī)的方法一般是通過分析大規(guī)模網(wǎng)絡(luò)中僵尸群組流量特征來檢測(cè)�,這類方法對(duì)內(nèi)網(wǎng)中稀疏僵尸主機(jī)的識(shí)別效率較低���。由此可見�,有必要研究針對(duì)僵尸主機(jī)的新的識(shí)別方法�,更別提這對(duì)對(duì)等僵尸主機(jī)了。
[0004]僵尸主機(jī)具有一些新特性:僵尸程序更新周期短�、僵尸程序的活動(dòng)存在群體性、使用最新隱藏技術(shù)躲避檢測(cè)等����。由于這些新的特性,將已有的惡意代碼檢測(cè)方法直接用于僵尸主機(jī)的識(shí)別將會(huì)造成較大的漏報(bào)�����;由于僵尸網(wǎng)絡(luò)技術(shù)逐漸成熟��,在其發(fā)展過程中也出現(xiàn)了利用僵尸網(wǎng)絡(luò)的新特性來識(shí)別僵尸主機(jī)檢測(cè)的新方法���,但是還存在一些問題��。具體如下:
[0005]?基于特征碼匹配的方法極易失效
[0006]在僵尸網(wǎng)絡(luò)高度可控環(huán)境下����,攻擊者能通過相關(guān)命令頻繁地更新僵尸程序改變特征碼���,因此基于特征碼匹配的檢測(cè)方法容易失效��。此外���,基于特征碼的主機(jī)層面的實(shí)時(shí)監(jiān)控經(jīng)常使得系統(tǒng)負(fù)載過重����,所以此方法對(duì)于普通用戶來說不合適��。
[0007]?不能識(shí)別加密通信的僵尸主機(jī)
[0008]當(dāng)前出現(xiàn)的識(shí)別方法主要采用的思路是解析相關(guān)通信協(xié)議��,對(duì)異常通信行為進(jìn)行挖掘和歸類�,找出僵尸主機(jī)。明顯地�,這類方法無法識(shí)別采用加密通信的僵尸,因?yàn)闊o法解析已知的協(xié)議���,而獲取通信密鑰難度大且時(shí)效性不強(qiáng)����,使得已有的方法效率低下�。
[0009]?不能識(shí)別所監(jiān)督網(wǎng)絡(luò)中的單個(gè)僵尸節(jié)點(diǎn)
[0010]還有一類檢查方法根據(jù)`同種僵尸主機(jī)命令與控制信道通信行為的相似性以及攻擊行為的相似性,通過聚類和關(guān)聯(lián)的方法來識(shí)別�。但是這類基于僵尸群組活動(dòng)的檢測(cè)方法的前提是所監(jiān)督網(wǎng)絡(luò)內(nèi)必須有多個(gè)同類型的僵尸存在��,而在僵尸程序在感染監(jiān)督網(wǎng)絡(luò)中主機(jī)的初期階段��,并不能總是滿足該條件,由此���,這類方法不能識(shí)別所監(jiān)督網(wǎng)絡(luò)中的單個(gè)僵尸節(jié)點(diǎn)�����,扼殺僵尸于傳播之初�。
[0011]?專門針對(duì)對(duì)等僵尸主機(jī)識(shí)別方法少
[0012]采用P2P協(xié)議來構(gòu)建僵尸網(wǎng)絡(luò)的命令與控制是一個(gè)相對(duì)較新的技術(shù)�����,還沒有專門針對(duì)這類僵尸的檢測(cè)方法�。
[0013]中國(guó)申請(qǐng)(專利)號(hào)為2011110098015.2、200810149039.4的發(fā)明專利���,這兩專利申請(qǐng)方法是一種基于數(shù)據(jù)包特碼碼檢測(cè)的方法�,無法檢測(cè)控制協(xié)議加密通行的僵尸網(wǎng)絡(luò)����;主要是針對(duì)集中控制式的僵尸網(wǎng)絡(luò)的檢測(cè)����;而本發(fā)明方法是以流行為特征分析為基礎(chǔ)進(jìn)行檢測(cè)���,可以檢測(cè)加密通信的僵尸主機(jī)��,主要是針對(duì)控制協(xié)議采用對(duì)等網(wǎng)絡(luò)方式的僵尸主機(jī)的檢測(cè)�。同樣的��,申請(qǐng)(專利)號(hào)為 200910160680.2,200910218133.5,200910216889.6 的專利����,也是主要是針對(duì)集中控制式的僵尸網(wǎng)絡(luò)的檢測(cè)。
[0014]申請(qǐng)(專利)號(hào)為200810225455.8,201010013660.5���、201010109069.X 的發(fā)明專利��,
這些專利主要是針對(duì)基于IRC控制協(xié)議的僵尸的檢測(cè)���,主要基于數(shù)據(jù)包信息來檢測(cè);而本發(fā)明主要是針對(duì)采用對(duì)等控制協(xié)議的僵尸檢測(cè)��,是基于網(wǎng)絡(luò)流信息來檢測(cè)��。又如申請(qǐng)(專利)號(hào)為200910142292.1專利,該專利也是基于數(shù)據(jù)包信息來檢測(cè)�。
【發(fā)明內(nèi)容】
[0015]本發(fā)明要解決的技術(shù)問題是提供一種簡(jiǎn)單、高效的技術(shù)手段���,來識(shí)別內(nèi)網(wǎng)中的對(duì)等僵尸主機(jī)���,并且具有很高的可實(shí)施性����,同時(shí)本產(chǎn)品容易作為一個(gè)模塊集成到其余內(nèi)網(wǎng)安全產(chǎn)品及其他網(wǎng)絡(luò)安全產(chǎn)品中,具有易集成性��。
[0016]為解決上述技術(shù)問題����,本發(fā)明所述的一種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法,分為兩步:
[0017](I)小流過濾階段:根據(jù)主機(jī)網(wǎng)絡(luò)數(shù)據(jù)流的小流特性選擇出可疑的主機(jī)數(shù)據(jù)流�,該階段往往能濾除網(wǎng)絡(luò)中百分之九十以上的流量,以此來降低下一步處理的流量輸入量和提升處理效率���;
[0018]本發(fā)明在小流過濾階段��,根據(jù)特定(IP�,Port)對(duì)上在檢測(cè)數(shù)據(jù)集時(shí)段內(nèi)的所有Netflow流的統(tǒng)計(jì)特征進(jìn)行提取、分析和計(jì)算�����,以此提取可疑的(IP��,Port)對(duì)�,并保留與之相關(guān)的Netflow流,削減了大部分的網(wǎng)絡(luò)流量�。在該階段,包含有(IP��,Port)流集提取過程��、小流過濾算法����。
[0019]所述流集提取過程,其中所述流集是指一段時(shí)間內(nèi)�,某個(gè)(IP,Port)地址相關(guān)的所有Netflow流的集合����;對(duì)于一個(gè)(IP, Port),有流入流集和流出流集之分,流入流集是指以給定(IP,Port)為目的地址的所有Netflow流的集合���,記為Ci (IP�,Port);流出流集是指以給定(IP,Port)為源地址的所有Netflow流的集合��,記為Co(IP��,Port)����;
[0020]流集提取過程是各個(gè)流入流集Ci (IP, Port)和流出流集Co (IP,Port)的提取過程��,即給定Netflow流量文件��,對(duì)于所監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)的所有(IP�,Port)����,分別提取相應(yīng)的Ci(IP, Port)和 Co (IP, Port),并存儲(chǔ)。
[0021]所述小流過濾算法�,是以所有的流入流集Ci (IP, Port)和流出流集Co (IP, Port)為輸入,根據(jù)其流量統(tǒng)計(jì)特征來判斷該流集是否為可疑僵尸交互流量����,算法輸出為可疑僵尸(IP�,Port)列表�����;本算法中選用的特征如下:
[0022](I)流集的規(guī)模���,即流集中Netflow流的條數(shù),記為fc (flow counts)�;[0023](2)流集的平均包長(zhǎng)����,即流集中各條Netflow流的字節(jié)數(shù)之和除以各條Netflow流的數(shù)據(jù)包數(shù)之和,記為fal (flow average length)��;
[0024]所述小流即小型流集����,滿足流集規(guī)模小、流集平均包長(zhǎng)小的特征�����。對(duì)等僵尸交互端口上的流入流集和流出流集均具有小流特性�。
[0025]所述小流過濾算法,步驟如下:
[0026](I)確定具有較小規(guī)模的本地(IP,Port)的流出流集���;
[0027](2)確定具有較小規(guī)模的本地(IP�,Port)的流入流集��;
[0028](3)計(jì)算(I)中各流出流集的平均包長(zhǎng)����,不超過閾值的流出流集對(duì)應(yīng)的(IP,Port)加入可疑列表1 ;
[0029](4)計(jì)算(2)中各流出流集的平均包長(zhǎng)��,不超過閾值的流出流集對(duì)應(yīng)的(IP��,Port)加入可疑列表2 �����;
[0030](5)即在可疑列表1中��,又在可疑列表2中的(IP��,Port)加入算法輸出的可疑列表中�。
[0031]其中����,確定具有較小規(guī)模的流入流集的原理如下(流出流集的與之類似):實(shí)際流量中流集的規(guī)模統(tǒng)計(jì)分布呈現(xiàn)重尾分布���,而可疑流集均處于長(zhǎng)尾之處。采用基于最大信息熵的流集規(guī)模判斷方法來確定小規(guī)模流集�����,引入分散程度閾值��,避免使用流集規(guī)模絕對(duì)閾值����,以此減少在網(wǎng)絡(luò)繁忙和網(wǎng)絡(luò)空閑時(shí)段因流集規(guī)模波動(dòng)引起的誤差。
[0032](2)僵尸主機(jī)識(shí)別階段:對(duì)可疑主機(jī)流依據(jù)時(shí)間序列上的統(tǒng)計(jì)相似性來識(shí)別僵尸主機(jī)����。本發(fā)明的輸入為一段時(shí) 間內(nèi)的目標(biāo)網(wǎng)絡(luò)邊界收集到的Netflow流網(wǎng)絡(luò)流數(shù)據(jù),輸出為目標(biāo)網(wǎng)絡(luò)中被識(shí)別為僵尸主機(jī)的IP地址列表���。
[0033]本發(fā)明在僵尸主機(jī)識(shí)別階段����,對(duì)小流過濾階段得出的每個(gè)(IP���,Port)�,計(jì)算其在多個(gè)連續(xù)等長(zhǎng)時(shí)窗內(nèi)流集合的平均包長(zhǎng)統(tǒng)計(jì)分布,并對(duì)分布間的差異進(jìn)行量化����,最終形成該(IP,Port)在檢測(cè)時(shí)間段內(nèi)分布相似率,若該相似率超過設(shè)定閾值����,則被判定為對(duì)等僵尸主機(jī)。在該階段��,包含有相似率測(cè)定���、僵尸判定算法等�。
[0034]所述相似率測(cè)定算法是用來測(cè)定一個(gè)給定的通信地址(IP�����,Port)上的流集序列的在統(tǒng)計(jì)意義上的相似率���,為區(qū)分其是否為僵尸節(jié)點(diǎn)的通信提供判斷基礎(chǔ)。
[0035]相似率的定義:對(duì)于給定的(IP�,Port),在η個(gè)連續(xù)的時(shí)間窗口 T1, T2,…,Tlri, Tn的流集(包括流入和流出兩個(gè))分別為F1, F2,…�����,F(xiàn)lri, Fn,每個(gè)流集內(nèi)單條Netflow流的平均包長(zhǎng)(PPl)的分布依次記為P1, P2,...��,Pn-!, Pn,設(shè)兩個(gè)連續(xù)分布的“距離” D (Ph���,Pi)的值為Cli,即D (Pb����,Pi) =Cli, l〈i〈=n��,如果Cli超過某個(gè)預(yù)設(shè)定的閾值d���,即φ>(1���,則稱流簇在第Ti^1個(gè)窗口的起始時(shí)刻發(fā)生了一次變化,表示IV1和Ti不具備相似性���。設(shè)在整個(gè)檢測(cè)過程中��,流簇發(fā)生變化的次數(shù)為R�����,則地址(IP��,Port)上的流集的平均包長(zhǎng)分布相似率SR定義為:SR =(1- (R/n))*100%�。
[0036]已知兩個(gè)離散的隨機(jī)變量分布P和Q,則它們之間的“距離”公式為:
[0037]D (P, Q) =KLD (P���,M) +KLD (Q, M)
[0038]其中:(1)分布M為卩�、0的函數(shù)分布�����,]?=(?+0)/2 ���;
[0039](2) KLD (P, M)代表分布 P���、M 之間的 Kullback-Leibler 距離,KLD (Q, M)代表分布Q�����、M 之間的 Kullback-Leibler 距離�;
[0040](3) Kullback-Leibler 距離的計(jì)算公式為:[0041 ] 設(shè)有分布X和Y�,則
【權(quán)利要求】
1.一種基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法���,其特征在于分為兩步: (1)小流過濾階段:根據(jù)主機(jī)網(wǎng)絡(luò)數(shù)據(jù)流的小流特性選擇出可疑的主機(jī)數(shù)據(jù)流,該階段往往能濾除網(wǎng)絡(luò)中百分之九十以上的流量���,以此來降低下一步處理的流量輸入量和提升處理效率��; 在此階段�����,根據(jù)特定(IP���,Port)對(duì)上在檢測(cè)數(shù)據(jù)集時(shí)段內(nèi)的所有Netflow流的統(tǒng)計(jì)特征進(jìn)行提取、分析和計(jì)算�����,以此提取可疑的(IP��,Port)對(duì)�,并保留與之相關(guān)的Netflow流,削減了大部分的網(wǎng)絡(luò)流量�����; (2)僵尸主機(jī)識(shí)別階段:對(duì)可疑主機(jī)流依據(jù)時(shí)間序列上的統(tǒng)計(jì)相似性來識(shí)別僵尸主機(jī),本方法輸入為一段時(shí)間內(nèi)的目標(biāo)網(wǎng)絡(luò)邊界收集到的Netflow流網(wǎng)絡(luò)流數(shù)據(jù)����,輸出為目標(biāo)網(wǎng)絡(luò)中被識(shí)別為僵尸主機(jī)的IP地址列表; 在此階段��,對(duì)小流過濾階段得出的每個(gè)(IP���,Port)���,計(jì)算其在多個(gè)連續(xù)等長(zhǎng)時(shí)窗內(nèi)流集合的平均包長(zhǎng)統(tǒng)計(jì)分布,并對(duì)分布間的差異進(jìn)行量化�����,最終形成該(I P�,Port)在檢測(cè)時(shí)間段內(nèi)分布相似率,若該相似率超過設(shè)定閾值�,則被判定為對(duì)等僵尸主機(jī)。
2.根據(jù)權(quán)利要求1所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法���,其特征在于:所述小流過濾階段通過流集提取過程實(shí)現(xiàn)Netflow流的統(tǒng)計(jì)特征提?。凰隽骷崛∵^程是各個(gè)流入流集Ci (IP�����,Port)和流出流集Co (IP���,Port)的提取過程,即給定Netflow流量文件�����,對(duì)于所監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)的所有(IP,Port),分別提取相應(yīng)的Ci (IP����,Port)和Co (IP,Port)�����,并存儲(chǔ)�����;其中所述流集是指一段時(shí)間內(nèi)����,某個(gè)(IP��,Port)地址相關(guān)的所有Netflow流的集合�����;對(duì)于一個(gè)(IP���,Port),有流入流集和流出流集之分�,流入流集是指以給定(IP,Port)為目的地址的所有Netflow流的集合���,記為Ci (IP�����,Port);流出流集是指以給定(IP�����,Port)為源地址的所有Netflow流的集合�,記為Co (IP, Port)。
3.根據(jù)權(quán)利要求2所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法�,其特征在于:所述小流過濾算法,是以所有的流入流集Ci (IP����,Port)和流出流集Co (IP,Port)為輸入����,根據(jù)其流量統(tǒng)計(jì)特征來判斷該流集是否為可疑僵尸交互流量���,算法輸出為可疑僵尸(IP�,Port)列表�;本算法中選用的流量統(tǒng)計(jì)特征如下: (1)流集的規(guī)模,即流集中Netflow流的條數(shù),記為fc(flow counts)��; (2)流集的平均包長(zhǎng)����,即流集中各條Netflow流的字節(jié)數(shù)之和除以各條 Netflow 流的數(shù)據(jù)包數(shù)之和,記為 fal (flow average length)�; 所述小流即小型流集,滿足流集規(guī)模小�、流集平均包長(zhǎng)小的特征,對(duì)等僵尸交互端口上的流入流集和流出流集均具有小流特性。
4.根據(jù)權(quán)利要求3所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法�����,其特征在于:所述小流過濾算法�,步驟如下: (1)確定具有較小規(guī)模的本地(IP,Port)的流出流集��; (2)確定具有較小規(guī)模的本地(IP�����,Port)的流入流集���; (3)計(jì)算(1)中各流出流集的平均包長(zhǎng)����,不超過閾值的流出流集對(duì)應(yīng)的(IP��,Port)加入可疑列表1 ; (4)計(jì)算(2)中各流出流集的平均包長(zhǎng)�����,不超過閾值的流出流集對(duì)應(yīng)的(IP�,Port)加入可疑列表2 ; (5)既在可疑列表1中,又在可疑列表2中的(IP����,Port)加入算法輸出的可疑列表中。
5.根據(jù)權(quán)利要求4所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法��,其特征在于:確定具有較小規(guī)模的流入流集和流出流集具體如下:實(shí)際流量中流集的規(guī)模統(tǒng)計(jì)分布呈現(xiàn)重尾分布���,而可疑流集均處于長(zhǎng)尾之處�����,采用基于最大信息熵的流集規(guī)模判斷方法來確定小規(guī)模流集�,引入分散程度閾值��,避免使用流集規(guī)模絕對(duì)閾值�,以此減少在網(wǎng)絡(luò)繁忙和網(wǎng)絡(luò)空閑時(shí)段因流集規(guī)模波動(dòng)引起的誤差����。
6.根據(jù)權(quán)利要求1-5任一項(xiàng)所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法,其特征在于:所述僵尸主機(jī)識(shí)別階段��,其中相似率的定義為:對(duì)于給定的(IP�����,Port),在η個(gè)連續(xù)的時(shí)間窗口 T1, T2,…��,Tlri, Tn的流集分別為F1, F2,…��,F(xiàn)n+ Fn��,每個(gè)流集內(nèi)單條Netflow流的平均包長(zhǎng)PPl的分布依次記為P1, P2,…�����,Plri, Pn,設(shè)兩個(gè)連續(xù)分布的“距離” D (Pi+ Pi)的值為Cli,即D (Pi^ Pi) =Cli, l〈i〈=n�����,如果(Ii超過某個(gè)預(yù)設(shè)定的閾值d��,即dpd����,則稱流簇在第Ti^1個(gè)窗口的起始時(shí)刻發(fā)生了一次變化,表示IV1和Ti不具備相似性�����; 設(shè)在整個(gè)檢測(cè)過程中,流簇發(fā)生變化的次數(shù)為R�����,則地址(IP�����,Port)上的流集的平均包長(zhǎng)分布相似率SR定義為:SR = (1- (R/n)) *100% �����; 已知兩個(gè)離散的隨機(jī)變量分布P和Q����,則它們之間的“距離”公式為:
D (P, Q) =KLD (P, M) +KLD (Q, M) 其中:(I)分布M為P、Q的函數(shù)分布���,M=(P+Q) /2 ; (2)KLD (P, Μ)代表分布 P�、M 之間的 Kullback-Leibler 距離,KLD (Q, Μ)代表分布 Q���、M之間的 Kullback-Leibler 距離����; (3)Kullback-Leibler距離的計(jì)算公式為:` 設(shè)有分布 X 和 Y,則1^1^^)= Σ 1o^a'(/)'}/(/))�,X ⑴,Y ⑴
i 為別為分布X����、Y的各個(gè)可能取值的概率值。
7.根據(jù)權(quán)利要求6所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法��,其特征在于:對(duì)于一定時(shí)段內(nèi)����,某個(gè)(IP,Port)的相似率計(jì)算方法采用滑動(dòng)窗口算法來計(jì)算��,具體如下: (1)定義基準(zhǔn)窗口bw和待檢窗口 dw:bw是指對(duì)兩個(gè)窗口內(nèi)的指定變量分布進(jìn)行比較時(shí)�����,時(shí)序靠前的那個(gè)窗口�����,相應(yīng)地�,dw是指在bw之后時(shí)間窗口����,兩個(gè)窗口具有相同長(zhǎng)度�����,記為wL �����; (2)對(duì)給定的(IP,Port),比較bw和dw內(nèi)相應(yīng)流集的ppL分布���;如果這兩個(gè)分布的距離大于預(yù)設(shè)定的閾值�����,變化次數(shù)R增1����,bw向前滑動(dòng)至當(dāng)前dw窗口處���,dw向前滑動(dòng)一個(gè)時(shí)間長(zhǎng)度,否則���,bw窗口保持不變��,只是將dw向前滑動(dòng)一個(gè)時(shí)間單位�;然后重新開始分布的比較,以上過程直至到達(dá)數(shù)據(jù)源結(jié)束��; (3)最后統(tǒng)計(jì)變化率C�,即l-R/η,其中η為dw窗口滑動(dòng)的次數(shù)���。
8.根據(jù)權(quán)利要求6所述的基于小流統(tǒng)計(jì)分析的對(duì)等僵尸主機(jī)識(shí)別方法���,其特征在于:所述僵尸主機(jī)的判定,具體為:在提取可疑(IP����,Port)列表后,在相似率計(jì)算結(jié)果基礎(chǔ)上���,判斷相似率是否大于設(shè)定閾值來確認(rèn)該(IP�����,Port)是僵尸的交互地址����,進(jìn)而判斷該IP主機(jī)感染僵尸。
【文檔編號(hào)】H04L29/06GK103685184SQ201210342471
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月14日 優(yōu)先權(quán)日:2012年9月14日
【發(fā)明者】王力, 王斌斌, 賈大智 申請(qǐng)人:上海寶信軟件股份有限公司