1.一種p2p?botnet實時檢測方法，其特征在于，所述方法包括：

1)部署p2p?botnet典型樣例到虛擬機網絡，利用協(xié)議分析技術，實時監(jiān)控與接收虛擬機網絡內通信 數(shù)據(jù)，監(jiān)控網絡內TCP和UDP協(xié)議通信數(shù)據(jù)，只處理通信數(shù)據(jù)的packet?header；

2)據(jù)上述接收的通信數(shù)據(jù)，提取初始階段p2p僵尸網絡特征，采用分類方法SPRINT進行分類器訓 練，產生僵尸網絡初始階段分類決策樹模型；所述分類方法SPRINT包括如下步驟，其中的F代 表初始化階段的特征數(shù)據(jù)流集合，其中F_i＝(P₁，…，P_n)，P_i代表F中的屬性：

i)如果F滿足停止條件，則返回；

ii)對于各個屬性P_i，找到一個值或者值集，產生最佳分裂；

iii)比較各個屬性的最佳分裂，選擇最佳的將F分為F₁和F₂；

iv)遞歸對F₁和F₂產生決策樹；

3)部署p2p僵尸網絡檢測系統(tǒng)到待檢網絡，利用協(xié)議分析技術，實時監(jiān)控與接收真實網絡內通信數(shù) 據(jù)，監(jiān)控網絡內TCP和UDP協(xié)議通信數(shù)據(jù)，只處理通信數(shù)據(jù)的packet?header，同時進行p2p僵 尸網絡特征提取與預處理；

4)利用p2p?botnet綜合實時檢測方法，對待檢網絡進行p2p僵尸網絡分析與檢測；該綜合實時檢 測方法輸入為某網段內已經預處理的格式化網絡數(shù)據(jù)流，輸出為疑似被感染的主機信息；步驟如 下：

a)實際參數(shù)初始化，方法開始執(zhí)行；

b)判斷數(shù)據(jù)集是否滿足僵尸網絡攻擊階段特征，采用非參數(shù)化遞歸CUSUM算法判斷網段內 是否出現(xiàn)DDOS或者SMTP異常報文特征，如果滿足攻擊階段特征，則轉向d，d返回后 結合其結果和出現(xiàn)攻擊特征的主機進一步判斷并給出疑似被感染主機情況，繼續(xù)a；

c)如果數(shù)據(jù)滿足初始階段特征，則使用訓練后的分類決策樹進行判斷，給出疑似被感染主 機，返回a繼續(xù)；

d)根據(jù)需要將外網、內網的主機網絡連接信息格式化成數(shù)據(jù)集D＝{d₁，d₂，…，d_i，…，d_n}，元 素個數(shù)為n，d_i代表源/目的地址連接；

■任選k個數(shù)據(jù)作為初始聚類中心；

■計算其它數(shù)據(jù)與上述k個數(shù)據(jù)的相似度，根據(jù)相似度大小把其它數(shù)據(jù)分配到k個集 合中；

■計算每個新集合的聚類中心；

■不斷重復上述過程直到收斂結束；

■輸出疑似被感染主機信息。

2.如權利要求1所述的方法，其特征在于將通信數(shù)據(jù)的packet?header進行內存存儲，然后進行數(shù)據(jù)的概 要預處理和特征提取，需要提取的特征包括：ICMP異常報文、ARP異常請求、下載帶寬、上載帶寬、 包大小、主機端口連接建立速率、SMTP異常報文、內外網相同連接，采用直方圖技術來近似元素值 的頻率分布。

3.如權利要求1所述的方法，其特征在于將p2p僵尸網絡的活動分為三個階段，包括初始階段、發(fā)呆階 段和攻擊階段，利用不同階段p2p僵尸網絡的特點，采用權利要求1中步驟4所述方法進行檢測，解 決了網絡中無限的數(shù)據(jù)流和概念漂移問題。

4.一種檢測p2p?botnet的系統(tǒng)，其特征在于，所述系統(tǒng)包括訓練子系統(tǒng)、檢測子系統(tǒng)和中心控制子系統(tǒng)：

1)所述訓練子系統(tǒng)包括網絡接收模塊、網絡數(shù)據(jù)流預處理模塊、分類訓練模塊，網絡接收模塊負責 監(jiān)控和接收虛擬機網絡數(shù)據(jù)，數(shù)據(jù)流預處理模塊對初始階段p2p僵尸網絡特征進行預處理，分類 訓練模塊是根據(jù)p2p僵尸程序初始化特征集合采用權利要求1步驟2所示分類方法來訓練分類決 策樹；

2)所述檢測子系統(tǒng)包括初始化模塊、網絡接收模塊、網絡數(shù)據(jù)流預處理模塊和綜合檢測模塊，初始 化模塊用于初始化典型p2p?botnet特征、訓練好的分類決策樹、p2p?botnet檢測分類方法以及與中 心控制模塊保持數(shù)據(jù)同步；網絡接收模塊用于監(jiān)控和接收待檢網絡通信數(shù)據(jù)并且負責按照窗口時 間以及協(xié)議類型進行數(shù)據(jù)接收；網絡數(shù)據(jù)流預處理模塊用于對真實網絡中接收的數(shù)據(jù)進行預處 理；綜合檢測模塊負責根據(jù)權利要求1步驟4所述檢測方法進行綜合檢測，初始階段采用訓練好 的分類決策樹，發(fā)呆階段和攻擊階段采用聚類方法，檢測的結果是所在網段內疑似感染p2p?botnet 的主機信息以及其連接的外網對等控制主機信息；

3)所述中心控制子系統(tǒng)包括在線更新模塊、二次檢測模塊和統(tǒng)計報表模塊，在線更新模塊負責根據(jù) 需要更新最優(yōu)分類決策樹，通知檢測子系統(tǒng)初始化模塊，接收檢測子系統(tǒng)的檢測結果；二次檢測 模塊負責對收集上來的各個網段檢測結果進行二次檢測，采用二次聚類方法對整個網絡的檢測結 果進行聚類分析，進一步判斷p2p?botnet聚集情況、規(guī)模，然后給出主機疑似感染程度信息； 報表統(tǒng)計模塊給出疑似主機的報表和統(tǒng)計分析。