本發明針對當前僵尸網絡嚴重威脅著互聯網的安全，以及目前主流的僵尸網絡檢測方法準確性較低的問題，提出了基于Hadoop平臺的MapReduce機制的貝葉斯算法的僵尸網絡檢測技術；該技術以主機對作為分析對象，提取主機對通信的流量特征，然后將這些特征作為貝葉斯分類算法的輸入，訓練生成貝葉斯分類器，用訓練好的貝葉斯分類器進行僵尸網絡的檢測。

技術領域

本發明屬于互聯網安全技術領域,也涉及貝葉斯算法來開發完成的。

背景技術

僵尸網絡是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網絡攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意取用，因此，不論是對網絡安全運行還是用戶數據安全的保護來說，僵尸網絡都是極具威脅的隱患；通過本技術可以及時的發現僵尸網絡，保證了用戶的電腦安全和信息安全。

發明內容

本技術設計如下

貝葉斯算法進行MapReduce設計的基本思路: 其中b表示僵尸網絡，n表示正常網絡，其中w1為TCP數據流、w2為時問問隔平均值、w3為時問問隔變化、w4為數據包字節數、w5為數據包個數平均值、w6為持續時問平均值，其中，計算正常網絡和僵尸網絡的先驗概率對應一個MapReduce計算過程，即MapReduce 1;對6個屬性列既要判斷是否為僵尸網絡又要判斷是否在闌值內，即每個屬性有4個判斷條件，因此需要求24個條件概率，計算這24個條件概率對應另一個MapReduce計算過程，即:MapReduce 2，貝葉斯檢測階段基于由26個概率構成的知識庫，根據進行分類并判斷是否為僵尸網絡，檢測階段對應一個MapReduce計算過程，即MapReduce 3；

1.MapReduce 1:Map 1接收到的是訓練數據被Hadoop處理形成的<Key, Value>對形式為<該行起始位置相對于文件起始位置的偏移量，文本文件中的一行信息>的信息，由于MapReducel是計算貝葉斯的先驗概率，只需用到Value的類標簽屬性，所以Map 1將每行Value數據按空格分隔成字符串數組，取出數組最后一項，即類標簽值，判斷類標簽值，若為0，輸出中問結果<Key 1, Value 1>對的形式為<”正常網絡”，1>;若為1，輸出中問結果<Key1, Value 1 >對的形式為<“僵尸網絡”，1>，并且MapReduce框架每執行一次map()說明處理一行數據，通過累加統計訓練數據總行數，以成員變量sum存儲，Map 1只是一個數據準備階段，使Reduce 1能在該準備數據上繼續處理，經過MapReduce1的處理，形成兩個以成員變量Sum_yes_p, Sum_ uo_p存儲的概率:正常網絡先驗概率和僵尸網絡先驗概率，構成知識庫的一部分，以供檢測階段使用；