1.一種基于主機流量功率譜相似性度量的僵尸網絡檢測方法，其特征在于：

該方法的具體實現(xiàn)步驟為：

步驟一、網絡出口流量數(shù)據(jù)采集

基于libpcap/winpcap工具軟件在企業(yè)網的出口處采集所有的網絡流量，作為檢測的原始數(shù)據(jù)，并根據(jù)不同的內網主機對采集到的網絡流量進行分類，最后將流量數(shù)據(jù)存入數(shù)據(jù)中心；

步驟二、對流量數(shù)據(jù)進行預處理后，計算網絡主機在固定時間長度內的通訊量，并進行歸一化處理，得到網絡主機的通訊量函數(shù)，即網絡主機流量函數(shù)，記為x(t)，t＝1,2,…,N，其中，N為觀測的時間步長，在時間間距為L時，網絡主機流量的自相關函數(shù)定義為：

R_x(L)＝E[x(t)x(t+L)]

其中，E[·]表示取數(shù)學期望；

步驟三、通過離散傅里葉變換得到各主機流量功率譜序列

通過對主機流量的自相關函數(shù)取離散傅里葉變換來獲得主機流量功率譜序列，表示為：

ψ(Rx(L),k)=Σi=0N-1(Rx(L)e-j2πki/N),k=1,2,...,N-1---(1)]]>

步驟四、主機對流量功率譜的相似性度量

提取步驟三中主機流量功率譜序列的特征點，得到特征點的數(shù)目q，并記錄特征點的序號i_s；將長度為N的主機流量功率譜序列轉換為長度為f的功率譜特征序列，并分別計算轉換前后序列的查詢上屆和查詢下界；計算主機對功率譜特征序列的優(yōu)化DTW距離，若距離值小于設定的閾值，則將主機對加入主機對集合A_SB，以備下一步的檢測；

所述的長度為N的主機流量功率譜序列是指主機流量功率譜序列包含N個元素；

步驟五、時空關聯(lián)分析

首先利用空間關聯(lián)分析法分析主機對處于每種狀態(tài)的可信度，即通過基本概率賦值函數(shù)bpa(·)將主機對的優(yōu)化DTW距離轉換為主機對所處狀態(tài)的可信度；再利用時間關聯(lián)分析法對主機對中存在僵尸主機的可信度進行修正，得到更精確的檢測結果；最后判斷待檢測網絡是否為僵尸網絡；

所述的主機對所處狀態(tài)包括主機對處于非工作狀態(tài)、主機對中存在僵尸主機、主機對中不存在僵尸主機和不能確定主機對中是否存在僵尸主機；

（1）空間關聯(lián)分析

采用D-S證據(jù)理論實現(xiàn)空間關聯(lián)分析，設辨識框架表示主機所處狀態(tài)的集合，其中C表示主機是僵尸主機；表示主機不是僵尸主機；則主機對所處狀態(tài)的集合，即辨識框架U的冪集合2^U為：

其中，表示主機對處于非工作狀態(tài)；表示主機對所處的狀態(tài)無法判斷，即主機對中可能存在僵尸主機，也可能不存在僵尸主機；

冪集合2^U中各元素的基本概率賦值函數(shù)bpa(2^U)定義為：

m(C)=0.8/(1+e-(Y‾t-1.5))+0.0667---(6-1)]]>

m(⫬C)=0.8/(1+e(Y‾t+1.5))+0.0667---(6-2)]]>

m(U~)=1-m(C)-m(⫬C)---(6-3)]]>

其中，

Y‾t=10×(Yt)/(max(Yt)-min(Yt))---(7)]]>

Y_t表示在當前t時刻，當前主機對流量功率譜特征序列的優(yōu)化DTW距離；

通過基本概率賦值函數(shù)bpa(·)將各主機對流量功率譜特征序列的優(yōu)化DTW距離轉換為主機對所處狀態(tài)的可信度；

（2）時間關聯(lián)分析

為了提高僵尸網絡的檢測精度，本發(fā)明通過時間關聯(lián)分析，即利用主機對流量功率譜優(yōu)化DTW距離的時間相關性，對主機對中存在僵尸主機的可信度m(C)進行修正；

用原假設H₀表示前一時刻主機對不是僵尸主機，備擇假設H₁表示前一時刻主機對是僵尸主機，則當H₁成立時，該主機對流量功率譜的DTW距離為當前時刻的DTW距離的概率為P_r(Y_t|H₁)；當H₀成立時，該主機對流量功率譜的DTW距離為當前時刻的DTW距離的概率為P_r(Y_t|H₀)；考慮到不同時刻，主機流量不會完全相同，因此功率譜序列也不會完全相同，所以在實際操作中，用P_r(Y_t≤ε|H₀)、P_r(Y_t≤ε|H₁)分別代替P_r(Y_t|H₀)、P_r(Y_t|H₁)；

定義：P_r(Y_t≤ε|H₀)＝θ₀、P_r(Y_t≤ε|H₁)＝θ₁，

其中，θ₀和θ₁都是Y_t和ε的函數(shù)，定義為：

θ0(Yi,ϵ)=11+exp((Yt-ϵ)×k)]]>（8）

θ1(Yi,ϵ)=11+exp(-(Yt-ϵ)×k)]]>

式中，k為系統(tǒng)參數(shù)，ε為不采用時間相關性分析時系統(tǒng)的閾值；

那么，當前時刻主機對為僵尸主機的可信度的修正系數(shù)，即冪集合2^U的子集{C}的基本概率值修正系數(shù)為：

Ks=Pr(Yt|H1)Pr(Yt|H0)---(9)]]>

修正后，該主機對在當前時刻為僵尸主機的可信度為：

m'(C)＝m(C)×K_s??????????????（10）

步驟六、異常判斷

根據(jù)時空關聯(lián)分析法分別計算出集合A_SB中n₁個主機對存在僵尸主機的可信度，用表示，則待檢測網絡為僵尸網絡的可信度表示為：

mweb=m1⊕m2⊕...⊕mn1---(11)]]>

其中，表示正交和；

m_web定義為：

其中，表示集合A_SB中的n₁個主機對都有僵尸主機存在，即待檢測網絡為僵尸網絡；表示集合A_SB中的n₁個主機對均處于工作狀態(tài)，且所處狀態(tài)相同；m_i(C_i)表示在當前時刻第i個主機對中存在僵尸主機的可信度，即在當前時刻第i個主機對中存在僵尸主機的概率值為m_i(C_i)，由式（10）計算得到；

由式（12）得到待檢測網絡所處狀態(tài)的可信度，判斷待檢測網絡為僵尸網絡的可信度是否大于給定的閾值，若是則認為待檢測網絡中存在僵尸網絡；否則，認為待檢測網絡為安全網絡。