[發明專利]一種基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制在審
| 申請號: | 201810727095.5 | 申請日: | 2018-07-05 |
| 公開(公告)號: | CN108989303A | 公開(公告)日: | 2018-12-11 |
| 發明(設計)人: | 郭曉軍 | 申請(專利權)人: | 西藏民族大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京中索知識產權代理有限公司 11640 | 代理人: | 宋濤 |
| 地址: | 712082*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 命令控制信息 評價指標 選舉 網絡 信息地址 信息分發 信息獲取 信息階段 再次利用 證據理論 再利用 分發 隱蔽 查找 告知 共享 融合 通信 | ||
1.一種基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,包括BTL選舉階段、BTL獲取C&C信息階段及C&C信息分發階段,在BTL選舉階段,每個Bot將自己的評價指標數值通過LLMNR協議告知其它Bot,再利用D-S證據理論融合這些評價指標數值以選舉最優Bot作為BTL;然后BTL查找C&C信息地址并與之取得通信,并利用PULL或PUSH模式以較為隱蔽的方式從C&C信息獲取最新命令控制信息;最后,BTL再次利用LLMNR協議將所獲取的命令控制信息分發給本地網絡的其它Bot。
2.如權利要求1所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,所述BTL選舉階段具體包括如下步驟:
S1、各Bot利用LLMNR協議的Query包在本地網內通告自己的開機時間比g(j)與CPU使用率h(j)兩個指標值,其他Bot收到該Query包后記錄下兩個指標及源IP地址;
S2、各Bot根據收到所有Bot的兩個指標值,利用D-S證據理論計算出BTL集合θ1;
S3、采用集合θ1中IP地址最大者對應的Bot作為BTL。
S4、當BTL失效時,重新進行BTL選舉過程。
3.如權利要求2所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,所述步驟S1中選擇Bot開機時間比與CPU使用率作為該Bot能否成為BTL的評價指標;在Bot開機時間比相同的情況下,CPU使用率越小,說明該Bot可使用的硬件資源越充足,所以應選擇CPU使用率小的Bot作為BTL;在CPU使用率相同的情況下,Bot開機時間比越大,說明該Bot正常工作時間越穩定,所以應選擇Bot開機時間比越大的Bot作為BTL。
4.如權利要求3所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,用Bot開機時間比g(j)來衡量第j個Bot的開機時間,定義為:
其中,t(j)表示Bot j的累積開機時間,Ω為觀察的時間窗口長度。
5.如權利要求3所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,所述CPU利用率定義為在觀察時間長度為Ω內的CPU利用率平均值,記為h(j)。
6.如權利要求2所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,所述步驟S2具體包括如下步驟:
設辨別框架Θ={θ1,θ2,θ3},θ1為BTL集合,θ2模糊Bot集合,θ3為普通Bot集合,且滿足然后對Bot開機時間比g(j)與CPU使用率h(j)分別建立隸屬度函數,隸屬度函數衡量了當前Bot屬于θ1、θ2或θ3的可能性大小,在歸一化后即可得到信度分配函數BPAF(Basic Probability Assignment Function),只要將Bot的兩個特征值帶入BPAF即可求得支持該Bot屬于各集合的基本信度。
7.如權利要求1所述的基于LLMNR協議的本地網絡同類Bot間命令控制信息分享機制,其特征在于,所述BTL獲取C&C信息階段,BTL利用嵌入在惡意代碼中的博客地址構造算法產生出含有C&C信息的博客鏈接,最后BTL通過該鏈接訪問該博客,并恢復出隱藏于該博客博文HTML代碼中的C&C信息,從而BTL完成獲取C&C信息的過程。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西藏民族大學,未經西藏民族大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810727095.5/1.html,轉載請聲明來源鉆瓜專利網。
