技術領域

本發明涉及網絡通信安全領域，尤其涉及一種基于主機流量功率譜相似性度量的僵尸網絡檢測方法。

背景技術

僵尸網絡（botnet）是指攻擊者出于惡意目的，傳播僵尸程序控制大量主機，通過一對多的命令與控制信道（Command?and?Control,C&C）所組成的網絡。僵尸網絡為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，僵尸網絡的控制者可以控制大量僵尸主機來實現信息竊取、分布式拒絕服務攻擊和垃圾郵件發送等攻擊目的。僵尸網絡正步入快速發展期，對因特網安全造成了嚴重威脅。

國內外有代表性的對僵尸網絡的檢測策略主要有基于蜜罐密網技術的檢測、基于終端信息的檢測和基于流量的檢測方法。但是這些研究通常都是用于檢測IRC類型僵尸網絡，對P2P類型的僵尸網絡檢測效果較差。

參考文獻1（臧天寧等.基于通訊特征和D-S證據理論分析僵尸網絡相似度.通信學報.2011,32(4):66-76）針對不同僵尸網絡之間可能存在潛在的隱藏關系，通過提取時間域內僵尸網絡內部通信的數據流數量、流中數據分組數量、主機通信量和數據分組負載等特征，并定義了特征相識度統計函數，利用改進的D-S證據理論建立了僵尸網絡之間的相似性關系。在實際應用中該方法提取，由于僵尸網絡主機的網絡帶寬、延時、用戶習慣等原因，使得僵尸網絡內部通信特征在時間域上并不一定呈現出嚴格的相似性，如果用該方法檢測僵尸網絡，容易導致檢測失效。

參考文獻2（金鑫等.基于通信特征曲線動態時間彎曲距離的IRC僵尸網絡同源判別方法.計算機研究與發展.2012,49(3):481-490）針對IRC類型僵尸網絡IRC服務器和bot連接的動態特性，提取僵尸網絡的通信量特征曲線、通信頻率特征曲線，采用改進的動態時間彎曲距離判別不同的僵尸網絡是否同源。該方法的目的是識別使用不同IRC控制服務器的同源僵尸網絡，只適用于IRC型僵尸網絡，對新型的P2P僵尸網絡效果較差。

發明內容

鑒于此，本發明提出一種基于主機流量功率譜相似性度量的僵尸網絡檢測方法，利用主機對功率譜序列的DTW距離對主機流量功率譜的相似性進行度量。本發明方法的基本思想是采集網絡出口流量數據，對該流量數據進行預處理后，利用自相關函數對其進行描述，自相關函數取離散傅里葉變換得到各主機流量功率譜序列，計算主機對功率譜序列的優化動態時間彎曲距離（Dynamic?Time?Warping?Distance,簡稱DTW距離），將優化DTW距離小于閾值的主機對放入主機對集合，最后利用時空關聯算法計算主機對集合中的各主機對所處狀態的可信度，根據該值的大小判斷被檢測網絡中是否存在僵尸網絡，實現僵尸網絡的檢測。

具體實現步驟如下：

步驟一、網絡出口流量數據采集

基于libpcap/winpcap等工具軟件在企業網的出口處采集所有的網絡流量，作為檢測的原始數據，并根據不同的內網主機對采集到的網絡流量進行分類，最后將流量數據存入數據中心；

步驟二、采用黑名單和白名單技術對流量數據進行預處理

在對僵尸網絡的檢測過程中主要關注兩大類流量，一類是僵尸網絡的通信流量，包括IRC流量、HTTP流量和P2P流量；另一類是僵尸主機的攻擊流量，包括掃描流量、DDoS攻擊流量、電子郵件流量。

采用黑名單和白名單技術對流量數據預處理的具體步驟如下：

（1）將上述兩大類網絡流量加入黑名單；

（2）采用白名單技術將明顯不是檢測所關注的流量從黑名單中剔除，本發明針對不同的網絡流量設置了不同的白名單：

IRC流量：因IRC流量在現實環境中較少出現，出現就極有可能是僵尸網絡，所以沒有設置白名單；

HTTP流量：將典型門戶網站(Sohu，Sina，ifeng，163，QQ，中華網，土豆網，Yahoo)、搜索引擎(google，baidu)、論壇(CSDN，mop，tianya，人人網，開心網)、電子商務網站(淘寶，京東，各大團購網，當當網，亞馬遜)等的HTTP流量都設置成白名單；

P2P流量：利用網絡流（網絡流包括源IP、目的IP、源端口、目的端口和協議號）的特征進行過濾，如果在時間間距L內，網絡流流量除以P2P連接時間的值大于設定的閾值，則將該網絡流列入白名單；

掃描流量：借助其他的檢測工具，如借助開源的入侵檢測工具snort，檢測掃描流量是否要列為白名單；