CN102801719B - 基于主机流量功率谱相似性度量的僵尸网络检测方法 - Google Patents

Abstract

本发明公开了一种基于主机流量功率谱相似性度量的僵尸网络检测方法，属于网络通信安全领域。对采集到的网络出口流量数据进行预处理后，利用自相关函数对其进行描述，自相关函数取离散傅里叶变换得到各主机流量功率谱序列，计算主机对功率谱序列的优化DTW距离，将优化DTW距离小于阈值的主机对放入主机对集合，最后利用时空关联算法计算主机对集合中的各主机对所处状态的可信度，根据该值的大小判断被检测网络中是否存在僵尸网络，实现僵尸网络的检测。采用优化DTW距离描述主机对流量功率谱的相似性，避免了僵尸主机个体差异给检测效果带来的影响；时空关联法分析主机对所处状态的可信度，充分利用了主机流量在时间和空间上的相关性，提高检测效果。

Description

基于主机流量功率谱相似性度量的僵尸网络检测方法

技术领域

本发明涉及网络通信安全领域，尤其涉及一种基于主机流量功率谱相似性度量的僵尸网络检测方法。

背景技术

僵尸网络（botnet）是指攻击者出于恶意目的，传播僵尸程序控制大量主机，通过一对多的命令与控制信道（Command and Control,C&C）所组成的网络。僵尸网络为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，僵尸网络的控制者可以控制大量僵尸主机来实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络正步入快速发展期，对因特网安全造成了严重威胁。

国内外有代表性的对僵尸网络的检测策略主要有基于蜜罐密网技术的检测、基于终端信息的检测和基于流量的检测方法。但是这些研究通常都是用于检测IRC类型僵尸网络，对P2P类型的僵尸网络检测效果较差。

参考文献1（臧天宁等.基于通讯特征和D-S证据理论分析僵尸网络相似度.通信学报.2011,32(4):66-76）针对不同僵尸网络之间可能存在潜在的隐藏关系，通过提取时间域内僵尸网络内部通信的数据流数量、流中数据分组数量、主机通信量和数据分组负载等特征，并定义了特征相识度统计函数，利用改进的D-S证据理论建立了僵尸网络之间的相似性关系。在实际应用中该方法提取，由于僵尸网络主机的网络带宽、延时、用户习惯等原因，使得僵尸网络内部通信特征在时间域上并不一定呈现出严格的相似性，如果用该方法检测僵尸网络，容易导致检测失效。

参考文献2（金鑫等.基于通信特征曲线动态时间弯曲距离的IRC僵尸网络同源判别方法.计算机研究与发展.2012,49(3):481-490）针对IRC类型僵尸网络IRC服务器和bot连接的动态特性，提取僵尸网络的通信量特征曲线、通信频率特征曲线，采用改进的动态时间弯曲距离判别不同的僵尸网络是否同源。该方法的目的是识别使用不同IRC控制服务器的同源僵尸网络，只适用于IRC型僵尸网络，对新型的P2P僵尸网络效果较差。

发明内容

鉴于此，本发明提出一种基于主机流量功率谱相似性度量的僵尸网络检测方法，利用主机对功率谱序列的DTW距离对主机流量功率谱的相似性进行度量。本发明方法的基本思想是采集网络出口流量数据，对该流量数据进行预处理后，利用自相关函数对其进行描述，自相关函数取离散傅里叶变换得到各主机流量功率谱序列，计算主机对功率谱序列的优化动态时间弯曲距离（Dynamic Time Warping Distance,简称DTW距离），将优化DTW距离小于阈值的主机对放入主机对集合，最后利用时空关联算法计算主机对集合中的各主机对所处状态的可信度，根据该值的大小判断被检测网络中是否存在僵尸网络，实现僵尸网络的检测。

具体实现步骤如下：

步骤一、网络出口流量数据采集

基于libpcap/winpcap等工具软件在企业网的出口处采集所有的网络流量，作为检测的原始数据，并根据不同的内网主机对采集到的网络流量进行分类，最后将流量数据存入数据中心；

步骤二、采用黑名单和白名单技术对流量数据进行预处理

在对僵尸网络的检测过程中主要关注两大类流量，一类是僵尸网络的通信流量，包括IRC流量、HTTP流量和P2P流量；另一类是僵尸主机的攻击流量，包括扫描流量、DDoS攻击流量、电子邮件流量。

采用黑名单和白名单技术对流量数据预处理的具体步骤如下：

（1）将上述两大类网络流量加入黑名单；

（2）采用白名单技术将明显不是检测所关注的流量从黑名单中剔除，本发明针对不同的网络流量设置了不同的白名单：

IRC流量：因IRC流量在现实环境中较少出现，出现就极有可能是僵尸网络，所以没有设置白名单；

HTTP流量：将典型门户网站(Sohu，Sina，ifeng，163，QQ，中华网，土豆网，Yahoo)、搜索引擎(google，baidu)、论坛(CSDN，mop，tianya，人人网，开心网)、电子商务网站(淘宝，京东，各大团购网，当当网，亚马逊)等的HTTP流量都设置成白名单；

P2P流量：利用网络流（网络流包括源IP、目的IP、源端口、目的端口和协议号）的特征进行过滤，如果在时间间距L内，网络流流量除以P2P连接时间的值大于设定的阈值，则将该网络流列入白名单；

扫描流量：借助其他的检测工具，如借助开源的入侵检测工具snort，检测扫描流量是否要列为白名单；

DDoS攻击流量：现实中出现的有效DDoS攻击绝大部分采用SYN攻击方式，所以在数据采集过程中采用黑名单技术，采集所有的SYN请求流量；

电子邮件流量：如果出现了大于1M的附件，则将该电子邮件流量列入白名单。

（3）计算网络主机在固定时间长度内的通讯量，并对其进行归一化处理，得到网络主机的通讯量函数，即网络主机流量函数，记为x(t)，t＝1,2,…,N，其中，N为观测的时间步长；在时间间距为L时，网络主机流量的自相关函数定义为：

R_x(L)＝E[x(t)x(t+L)]

其中，E[·]表示取数学期望。

步骤三、通过离散傅里叶变换得到各主机流量功率谱序列

通过对主机流量的自相关函数取离散傅里叶变换来获得主机流量功率谱序列，表示为：

$\mathrm{\ψ}(R_x\left(L\right),k)={\mathrm{\Σ}}_{i=0}^{N-1}\left(R_x\left(L\right)e^{-j2\mathrm{\πki}/N}\right),k=\mathrm{1,2},...,N-1---\left(1\right)$

步骤四、主机对流量功率谱的相似性度量

提取步骤三中主机流量功率谱序列的特征点，得到特征点的数目q，并记录特征点的序号i_s；将长度为N的主机流量功率谱序列转换为长度为f的功率谱特征序列，并分别计算转换前后序列的查询上界和查询下界；计算主机对功率谱特征序列的优化DTW距离，若距离值小于设定的阈值，则将主机对加入主机对集合A_SB，以备下一步的检测。

所述的长度为N的主机流量功率谱序列是指主机流量功率谱序列包含N个元素。

主机对流量功率谱相似性度量的具体实现步骤为：

①提取主机流量功率谱序列的特征点

定义主机流量功率谱序列的特征点为：功率谱序列的起点、终点和横坐标间的距离大于阈值△的极值点；

特征点的序号记为i_s，1≤s≤q；i_s＝a表示功率谱序列中的第a个元素是该序列的特征点，根据特征点的定义易知i₁＝1，i_q＝N；

②将长度为N的n个主机流量功率谱序列，记为S₁(N),S₂(N),…,S_n(N)，转换为长度为f的功率谱特征序列并分别计算转换前后的查询上界序列和查询下界序列；

其中，f＝q-1；1≤j≤n，表示转换后第j个主机流量功率谱特征序列，该序列的第k个元素为1≤k≤f，S_j[i_k]表示转换前第j个主机流量功率谱序列S_j(N)的第i_k个元素，i_k为特征点序号，1≤i_k≤N；

计算功率谱序列S₁(N),S₂(N),…,S_n(N)的查询上界序列和查询下界序列，分别记为U₁(N),U₂(N),…,U_n(N)和L₁(N),L₂(N),…,L_n(N)，

$\left\{\begin{array}{c}{U}_l\left[i\right]=\underset{-\mathrm{\ρ}\≤r\≤\mathrm{\ρ}}{\max }{S}_l[i+r]\\ L_l\left[i\right]=\underset{-\mathrm{\ρ}\≤r\≤\mathrm{\ρ}}{\min }{S}_l[i+r]\end{array}\right.,1\≤l\≤n,1\≤i\≤N---\left(2\right)$

其中，表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最大值；表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最小值；

计算长度为f的功率谱特征序列的查询上界序列和查询下界序列

$\left\{\begin{array}{c}\stackrel{\‾}{U_l\left[i\right]}=\frac{1}{i_{k+1}-i_k+1}\left(U_l\right[i_k]+U_l[i_{k+1}\left]\right)\\ \stackrel{\‾}{L_i\left[i\right]}=\frac{1}{i_{k+1}-i_k+1}\left(L_l\right[i_k]+L_l[i_{k+1}\left]\right)\end{array}\right.,1\≤l\≤n,1\≤i\≤f---\left(3\right)$

③计算主机对功率谱特征序列的优化DTW距离

由于直接计算主机对功率谱特征序列的DTW距离，计算量很大，为了减小计算的复杂度，本发明对主机对功率谱特征序列DTW距离的计算进行了优化：

首先，计算主机对功率谱特征序列DTW距离的下界1≤i＜j≤n：

$\mathrm{LB}\_\mathrm{PAA}(\stackrel{\&OverBar;}{S_i\left(f\right)},\stackrel{\&OverBar;}{S_j\left(f\right)})=\left\{\begin{array}{cc}\sqrt[\mathrm{\&rho;}]{\underset{k=1}{\overset{f}{\mathrm{\&Sigma;}}}\frac{n}{f}{|\stackrel{\&OverBar;}{S_j\left[k\right]}-\stackrel{\&OverBar;}{U_i\left[k\right]}|}^{\mathrm{\&rho;}}},& \stackrel{\&OverBar;}{S_j\left[k\right]}>\stackrel{\&OverBar;}{U_i\left[k\right]}\\ \sqrt[\mathrm{\&rho;}]{\underset{k=1}{\overset{f}{\mathrm{\&Sigma;}}}\frac{n}{f}{|\stackrel{\&OverBar;}{S_j\left[k\right]}-\stackrel{\&OverBar;}{L_i\left[k\right]}|}^{\mathrm{\&rho;}}},& \stackrel{\&OverBar;}{S_j\left[k\right]}<\stackrel{\&OverBar;}{L_i\left[k\right]}\\ 0,& \stackrel{\&OverBar;}{L_i\left[k\right]}<\stackrel{\&OverBar;}{S_j\left[k\right]}<\stackrel{\&OverBar;}{U_i\left[k\right]}\end{array}\right.,1\&le;k\&le;f---\left(4\right)$

若小于阈值η₁，则递归计算主机对功率谱特征序列的优化DTW距离

${\mathrm{DTW}}_{\mathrm{\&rho;}}(\stackrel{\&OverBar;}{S_i\left(f\right)},\stackrel{\&OverBar;}{S_j\left(f\right)})=\sqrt[\mathrm{\&rho;}]{{|\stackrel{\&OverBar;}{S_i\left[1\right]}-\stackrel{\&OverBar;}{S_j\left[1\right]}|}^{\mathrm{\&rho;}}+\min (a,b,c)}---\left(5\right)$

其中，min(a,b,c)表示取a,b,c三者中的最小值，

$a=\mathrm{DTW}(\mathrm{rest}\left(\stackrel{\&OverBar;}{S_i\left(f\right)}\right),\mathrm{rest}\left(\stackrel{\&OverBar;}{S_j\left(f\right)}\right)),$ 表示序列和的DTW距离，

$b=\mathrm{DTW}(\stackrel{\&OverBar;}{S_i\left(f\right)},\mathrm{rest}\left(\stackrel{\&OverBar;}{S_j\left(f\right)}\right)),$ 表示序列和的DTW距离，

$c=\mathrm{DTW}(\mathrm{rest}\left(\stackrel{\&OverBar;}{S_i\left(f\right)}\right),\stackrel{\&OverBar;}{S_j\left(f\right)}),$ 表示序列和的DTW距离，

表示序列除去第一个元素后的子序列；

④若小于阈值η₂，则主机对为需要重点检测的主机对，放入集合A_SB中。

步骤五、时空关联分析

首先利用空间关联分析法分析主机对处于每种状态的可信度，即通过基本概率赋值函数bpa(·)将主机对的优化DTW距离转换为主机对所处状态的可信度；再利用时间关联分析法对主机对中存在僵尸主机的可信度进行修正，得到更精确的检测结果；最后判断待检测网络是否为僵尸网络。

所述的主机对所处状态包括主机对处于非工作状态、主机对中存在僵尸主机、主机对中不存在僵尸主机和不能确定主机对中是否存在僵尸主机。

（1）空间关联分析

采用D-S证据理论实现空间关联分析。

设辨识框架表示主机所处状态的集合，其中C表示主机是僵尸主机；表示主机不是僵尸主机；则主机对所处状态的集合，即辨识框架U的幂集合2^U为：

其中，表示主机对处于非工作状态；表示主机对所处的状态无法判断，即主机对中可能存在僵尸主机，也可能不存在僵尸主机。

幂集合2^U中各元素的基本概率赋值函数bpa(2^U)定义为：

$m\left(C\right)=0.8/(1+e^{-({\stackrel{\&OverBar;}{Y}}_t-1.5)})+0.0667---(6-1)$

$m(\&Not;C)=0.8/(1+e^{({\stackrel{\&OverBar;}{Y}}_t+1.5)})+0.0667---(6-2)$

$m\left(\tilde{U}\right)=1-m\left(C\right)-m(\&Not;C)---(6-3)$

其中，

${\stackrel{\&OverBar;}{Y}}_t=10\&times;\left(Y_t\right)/(\max \left(Y_t\right)-\min \left(Y_t\right))---\left(7\right)$

Y_t表示在当前t时刻，当前主机对流量功率谱特征序列的优化DTW距离。

（2）时间关联分析

为了提高僵尸网络的检测精度，本发明通过时间关联分析，即利用主机对流量功率谱优化DTW距离的时间相关性，对主机对中存在僵尸主机的可信度m(C)进行修正。如果当前时刻主机对流量功率谱优化DTW距离依然小于设定的阈值η₂，增大其可能是僵尸主机的概率；反之，减小其可能是僵尸主机的概率。

用原假设H₀表示前一时刻主机对不是僵尸主机，备择假设H₁表示前一时刻主机对是僵尸主机，则当H₁成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₁)；当H₀成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₀)。考虑到不同时刻，主机流量不会完全相同，因此功率谱序列也不会完全相同，所以只要主机对的DTW距离在某一范围内，我们就认为主机对的DTW距离与前一时刻的距离相等，即在实际操作中，用P_r(Y_t≤ε|H₀)、P_r(Y_t≤ε|H₁)分别代替P_r(Y_t|H₀)、P_r(Y_t|H₁)。

定义：P_r(Y_t≤ε|H₀)＝θ₀、P_r(Y_t≤ε|H₁)＝θ₁，

其中，θ₀和θ₁都是Y_t和ε的函数，定义为：

${\mathrm{\&theta;}}_0(Y_i,\mathrm{\&epsiv;})=\frac{1}{1+\exp ((Y_t-\mathrm{\&epsiv;})\&times;k)}$ （8）

${\mathrm{\&theta;}}_1(Y_i,\mathrm{\&epsiv;})=\frac{1}{1+\exp (-(Y_t-\mathrm{\&epsiv;})\&times;k)}$

式中，k为系统参数，ε为不采用时间相关性分析时系统的阈值。

那么，当前时刻主机对为僵尸主机的可信度的修正系数，即幂集合2^U的子集{C}的基本概率值修正系数为：

$K_s=\frac{P_r\left(Y_t\right|H_1)}{P_r\left(Y_t\right|H_0)}---\left(9\right)$

修正后，该主机对在当前时刻为僵尸主机的可信度为：

m'(C)＝m(C)×K_s                          （10）

步骤六、异常判断

根据时空关联分析法分别计算出集合A_SB中的n₁个主机对存在僵尸主机的可信度，用表示，则待检测网络为僵尸网络的可信度表示为：

$m_{\mathrm{web}}=m_1{\&CirclePlus;m}_2\&CirclePlus;...\&CirclePlus;m_{n_1}---\left(11\right)$

其中，表示正交和；

m_web定义为：

其中， 表示集合A_SB中的n₁个主机对都有僵尸主机存在，即待检测网络为僵尸网络；表示集合A_SB中的n₁个主机对均处于工作状态，且所处状态相同；m_i(C_i)表示在当前时刻第i个主机对中存在僵尸主机的可信度，即在当前时刻第i个主机对中存在僵尸主机的概率值为m_i(C_i)，由式（10）计算得到。

由式（12）得到待检测网络所处状态的可信度，判断待检测网络为僵尸网络的可信度是否大于给定的阈值，若是则认为待检测网络中存在僵尸网络；否则，认为待检测网络为安全网络。

有益效果

本发明方法采用黑白名单技术对流量数据进行预处理，能够避免普通流量对检测效果的影响，不需要对正常的网络流量进行建模，是一种非监督式的僵尸网络检测方法；

将时域内主机流量的自相关函数描述转换到频域内的功率谱描述，可以有效应对僵尸网络通信流量在时域上的不严格相似性；

采用优化DTW距离描述主机对流量功率谱的相似性，避免了僵尸主机个体差异给检测效果带来的影响，还可以有效减少计算量，提高检测的准确性；

时空关联法分析主机对所处状态的可信度，充分利用了僵尸网络主机流量在时间和空间上的相关性，提高检测效果。

本发明方法较现有方法检测准确率更高，误报率更低。

附图说明

图1为IRC僵尸网络关系图；

图2为本发明方法的流程图；

具体实施方式

本发明提出一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其基本思想是对采集到的网络出口流量数据进行预处理后，利用自相关函数对主机流量进行描述，自相关函数取离散傅里叶变换后得到各主机流量功率谱序列，计算主机对功率谱序列的优化DTW距离，将优化DTW距离小于阈值的主机对放入主机对集合，最后利用时空关联算法计算主机对集合中的各主机对所处状态的可信度，根据该值的大小判断被检测网络中是否存在僵尸网络，实现僵尸网络的检测。

下面结合附图及具体实施例对本发明方法做进一步详细说明。

一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其基本实施过程如图2所示，具体实现步骤为：

步骤一、网络出口流量数据采集

基于libpcap/winpcap等工具软件在企业网的出口处采集所有的网络流量，作为检测的原始数据，并根据不同的内网主机对采集到的网络流量进行分类，最后将流量数据存入数据中心；

步骤二、采用黑名单和白名单技术对流量数据进行预处理

在对僵尸网络的检测过程中主要关注两大类流量，一类是僵尸网络的通信流量，包括IRC流量、HTTP流量和P2P流量；另一类是僵尸主机的攻击流量，包括扫描流量、DDoS攻击流量、电子邮件流量。

采用黑名单和白名单技术对流量数据预处理的具体步骤如下：

（1）将上述两大类网络流量加入黑名单；

（2）采用白名单技术将明显不是检测所关注的流量从黑名单中剔除，本发明针对不同的网络流量设置了不同的白名单：

IRC流量：因IRC流量在现实环境中较少出现，出现就极有可能是僵尸网络，所以没有设置白名单；

HTTP流量：将典型门户网站(Sohu，Sina，ifeng，163，QQ，中华网，土豆网，Yahoo)、搜索引擎(google，baidu)、论坛(CSDN，mop，tianya，人人网，开心网)、电子商务网站(淘宝，京东，各大团购网，当当网，亚马逊)等的HTTP流量都设置成白名单；

P2P流量：利用网络流（网络流包括源IP、目的IP、源端口、目的端口和协议号）的特征进行过滤，如果在时间间距L内，网络流流量除以P2P连接时间的值大于设定的阈值，则将该网络流列入白名单；

扫描流量：借助其他的检测工具，如借助开源的入侵检测工具snort，检测扫描流量是否要列为白名单；

DDoS攻击流量：现实中出现的有效DDoS攻击绝大部分采用SYN攻击方式，所以在数据采集过程中采用黑名单技术，采集所有的SYN请求流量；

电子邮件流量：如果出现了大于1M的附件，则将该电子邮件流量列入白名单。

（3）计算网络主机在固定时间长度内的通讯量，并对其进行归一化处理，得到网络主机的通讯量函数，即网络主机流量函数，记为x(t)，t＝1,2,…,N，其中，N为观测的时间步长；在时间间距为L时，网络主机流量的自相关函数定义为：

R_x(L)＝E[x(t)x(t+L)]

其中，E[·]表示取数学期望。

步骤三、通过离散傅里叶变换得到各主机流量功率谱序列

通过对主机流量的自相关函数取离散傅里叶变换来获得主机流量功率谱序列，表示为：

$\mathrm{\&psi;}(R_x\left(L\right),k)={\mathrm{\&Sigma;}}_{i=0}^{N-1}\left(R_x\left(L\right)e^{-j2\mathrm{\&pi;ki}/N}\right),k=\mathrm{1,2},...,N-1---\left(1\right)$

步骤四、主机对流量功率谱的相似性度量

提取步骤三中主机流量功率谱序列的特征点，得到特征点的数目q，并记录特征点的序号i_s；将长度为N的主机流量功率谱序列转换为长度为f的功率谱特征序列，并分别计算转换前后序列的查询上界和查询下界；计算主机对功率谱特征序列的优化DTW距离，若距离值小于设定的阈值，则将主机对加入主机对集合A_SB，以备下一步的检测。

所述的长度为N的主机流量功率谱序列是指主机流量功率谱序列包含N个元素。

主机对流量功率谱相似性度量的具体实现步骤为：

①提取主机流量功率谱序列的特征点

定义主机流量功率谱序列的特征点为：功率谱序列的起点、终点和横坐标间的距离大于阈值△的极值点；

特征点的序号记为i_s，1≤s≤q；i_s＝a表示功率谱序列中的第a个元素是该序列的特征点，根据特征点的定义易知i₁＝1，i_q＝N；

②将长度为N的n个主机流量功率谱序列，记为S₁(N),S₂(N),…,S_n(N)，转换为长度为f的功率谱特征序列并分别计算转换前后的查询上界序列和查询下界序列；

其中，f＝q-1；1≤j≤n，表示转换后第j个主机流量功率谱特征序列，该序列的第k个元素为1≤k≤f，S_j[i_k]表示转换前第j个主机流量功率谱序列S_j(N)的第i_k个元素，i_k为特征点序号，1≤i_k≤N；

计算功率谱序列S₁(N),S₂(N),…,S_n(N)的查询上界序列和查询下界序列，分别记为U₁(N),U₂(N),…,U_n(N)和L₁(N),L₂(N),…,L_n(N)，

$\left\{\begin{array}{c}{U}_l\left[i\right]=\underset{-\mathrm{\&rho;}\&le;r\&le;\mathrm{\&rho;}}{\max }{S}_l[i+r]\\ L_l\left[i\right]=\underset{-\mathrm{\&rho;}\&le;r\&le;\mathrm{\&rho;}}{\min }{S}_l[i+r]\end{array}\right.,1\&le;l\&le;n,1\&le;i\&le;N---\left(2\right)$

其中，表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最大值；表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最小值；

计算长度为f的功率谱特征序列的查询上界序列和查询下界序列

$\left\{\begin{array}{c}\stackrel{\&OverBar;}{U_l\left[i\right]}=\frac{1}{i_{k+1}-i_k+1}\left(U_l\right[i_k]+U_l[i_{k+1}\left]\right)\\ \stackrel{\&OverBar;}{L_i\left[i\right]}=\frac{1}{i_{k+1}-i_k+1}\left(L_l\right[i_k]+L_l[i_{k+1}\left]\right)\end{array}\right.,1\&le;l\&le;n,1\&le;i\&le;f---\left(3\right)$

③计算主机对功率谱特征序列的优化DTW距离

由于直接计算主机对功率谱特征序列的DTW距离，计算量很大，为了减小计算的复杂度，本发明对主机对功率谱特征序列DTW距离的计算进行了优化：

首先，计算主机对功率谱特征序列DTW距离的下界1≤i＜j≤n：

$\mathrm{LB}\_\mathrm{PAA}(\stackrel{\&OverBar;}{S_i\left(f\right)},\stackrel{\&OverBar;}{S_j\left(f\right)})=\left\{\begin{array}{cc}\sqrt[\mathrm{\&rho;}]{\underset{k=1}{\overset{f}{\mathrm{\&Sigma;}}}\frac{n}{f}{|\stackrel{\&OverBar;}{S_j\left[k\right]}-\stackrel{\&OverBar;}{U_i\left[k\right]}|}^{\mathrm{\&rho;}}},& \stackrel{\&OverBar;}{S_j\left[k\right]}>\stackrel{\&OverBar;}{U_i\left[k\right]}\\ \sqrt[\mathrm{\&rho;}]{\underset{k=1}{\overset{f}{\mathrm{\&Sigma;}}}\frac{n}{f}{|\stackrel{\&OverBar;}{S_j\left[k\right]}-\stackrel{\&OverBar;}{L_i\left[k\right]}|}^{\mathrm{\&rho;}}},& \stackrel{\&OverBar;}{S_j\left[k\right]}<\stackrel{\&OverBar;}{L_i\left[k\right]}\\ 0,& \stackrel{\&OverBar;}{L_i\left[k\right]}<\stackrel{\&OverBar;}{S_j\left[k\right]}<\stackrel{\&OverBar;}{U_i\left[k\right]}\end{array}\right.,1\&le;k\&le;f---\left(4\right)$

若小于阈值η₁，则递归计算主机对功率谱特征序列的优化DTW距离

${\mathrm{DTW}}_{\mathrm{\&rho;}}(\stackrel{\&OverBar;}{S_i\left(f\right)},\stackrel{\&OverBar;}{S_j\left(f\right)})=\sqrt[\mathrm{\&rho;}]{{|\stackrel{\&OverBar;}{S_i\left[1\right]}-\stackrel{\&OverBar;}{S_j\left[1\right]}|}^{\mathrm{\&rho;}}+\min (a,b,c)}---\left(5\right)$

其中，min(a,b,c)表示取a,b,c三者中的最小值，

$a=\mathrm{DTW}(\mathrm{rest}\left(\stackrel{\&OverBar;}{S_i\left(f\right)}\right),\mathrm{rest}\left(\stackrel{\&OverBar;}{S_j\left(f\right)}\right)),$ 表示序列和的DTW距离，

$b=\mathrm{DTW}(\stackrel{\&OverBar;}{S_i\left(f\right)},\mathrm{rest}\left(\stackrel{\&OverBar;}{S_j\left(f\right)}\right)),$ 表示序列和的DTW距离，

$c=\mathrm{DTW}(\mathrm{rest}\left(\stackrel{\&OverBar;}{S_i\left(f\right)}\right),\stackrel{\&OverBar;}{S_j\left(f\right)}),$ 表示序列和的DTW距离，

表示序列除去第一个元素后的子序列；

④若小于阈值η₂，则主机对(S_i(N),S_j(N))为需要重点检测的主机对，放入集合A_SB中。

步骤五、时空关联分析

首先利用空间关联分析法分析主机对处于每种状态的可信度，即通过基本概率赋值函数bpa(·)将主机对的优化DTW距离转换为主机对所处状态的可信度；再利用时间关联分析法对主机对中存在僵尸主机的可信度进行修正，得到更精确的检测结果；最后判断待检测网络是否为僵尸网络。

所述的主机对所处状态包括主机对处于非工作状态、主机对中存在僵尸主机、主机对中不存在僵尸主机和不能确定主机对中是否存在僵尸主机。

（1）空间关联分析

采用D-S证据理论实现空间关联分析。

设辨识框架表示主机所处状态的集合，其中C表示主机是僵尸主机；表示主机不是僵尸主机；则主机对所处状态的集合，即辨识框架U的幂集合2^U为：

其中，表示主机对处于非工作状态；表示主机对所处的状态无法判断，即主机对中可能存在僵尸主机，也可能不存在僵尸主机。

幂集合2^U中各元素的基本概率赋值函数bpa(2^U)定义为：

$m\left(C\right)=0.8/(1+e^{-({\stackrel{\&OverBar;}{Y}}_t-1.5)})+0.0667---(6-1)$

$m(\&Not;C)=0.8/(1+e^{({\stackrel{\&OverBar;}{Y}}_t+1.5)})+0.0667---(6-2)$

$m\left(\tilde{U}\right)=1-m\left(C\right)-m(\&Not;C)---(6-3)$

其中，

${\stackrel{\&OverBar;}{Y}}_t=10\&times;\left(Y_t\right)/(\max \left(Y_t\right)-\min \left(Y_t\right))---\left(7\right)$

Y_t表示在当前t时刻，当前主机对流量功率谱特征序列的优化DTW距离。

（2）时间关联分析

为了提高僵尸网络的检测精度，本发明通过时间关联分析，即利用主机对流量功率谱优化DTW距离的时间相关性，对主机对中存在僵尸主机的可信度m(C)进行修正。如果当前时刻主机对流量功率谱优化DTW距离依然小于设定的阈值η₂，增大其可能是僵尸主机的概率；反之，减小其可能是僵尸主机的概率。

用原假设H₀表示前一时刻主机对不是僵尸主机，备择假设H₁表示前一时刻主机对是僵尸主机，则当H₁成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₁)；当H₀成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₀)。考虑到不同时刻，主机流量不会完全相同，因此功率谱序列也不会完全相同，所以只要主机对的DTW距离在某一范围内，我们就认为主机对的DTW距离与前一时刻的距离相等，即在实际操作中，用P_r(Y_t≤ε|H₀)、P_r(Y_t≤ε|H₁)分别代替P_r(Y_t|H₀)、P_r(Y_t|H₁)。

定义：P_r(Y_t≤ε|H₀)＝θ₀、P_r(Y_t≤ε|H₁)＝θ₁，

其中，θ₀和θ₁都是Y_t和ε的函数，定义为：

${\mathrm{\&theta;}}_0(Y_i,\mathrm{\&epsiv;})=\frac{1}{1+\exp ((Y_t-\mathrm{\&epsiv;})\&times;k)}$ （8）

${\mathrm{\&theta;}}_1(Y_i,\mathrm{\&epsiv;})=\frac{1}{1+\exp (-(Y_t-\mathrm{\&epsiv;})\&times;k)}$

式中，k为系统参数，ε为不采用时间相关性分析时系统的阈值。

那么，当前时刻主机对为僵尸主机的可信度的修正系数，即幂集合2^U的子集{C}的基本概率值修正系数为：

$K_s=\frac{P_r\left(Y_t\right|H_1)}{P_r\left(Y_t\right|H_0)}---\left(9\right)$

修正后，该主机对在当前时刻为僵尸主机的可信度为：

m'(C)＝m(C)×K_s                     （10）

步骤六、异常判断

根据时空关联分析法分别计算出集合A_SB中的n₁个主机对存在僵尸主机的可信度，用表示，则待检测网络为僵尸网络的可信度表示为：

$m_{\mathrm{web}}=m_1{\&CirclePlus;m}_2\&CirclePlus;...\&CirclePlus;m_{n_1}---\left(11\right)$

其中，表示正交和；

m_web定义为：

其中， 表示集合A_SB中的n₁个主机对都有僵尸主机存在，即待检测网络为僵尸网络；表示集合A_SB中的n₁个主机对均处于工作状态，且所处状态相同；m_i(C_i)表示在当前时刻第i个主机对中存在僵尸主机的可信度，即在当前时刻第i个主机对中存在僵尸主机的概率值为m_i(C_i)，由式（10）计算得到。

由式（12）得到待检测网络所处状态的可信度，判断待检测网络为僵尸网络的可信度是否大于给定的阈值，若是则认为待检测网络中存在僵尸网络；否则，认为待检测网络为安全网络。

综上所述，以上仅为本发明的一种较佳实例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其特征在于： 

该方法的具体实现步骤为： 

步骤一、网络出口流量数据采集 

基于libpcap/winpcap工具软件在企业网的出口处采集所有的网络流量，作为检测的原始数据，并根据不同的内网主机对采集到的网络流量进行分类，最后将流量数据存入数据中心； 

步骤二、对流量数据进行预处理后，计算网络主机在固定时间长度内的通讯量，并进行归一化处理，得到网络主机的通讯量函数，即网络主机流量函数，记为x(t)，t＝1,2,…,N，其中，N为观测的时间步长，在时间间距为L时，网络主机流量的自相关函数定义为： 

R_x(L)＝E[x(t)x(t+L)] 

其中，E[·]表示取数学期望； 

步骤三、通过离散傅里叶变换得到各主机流量功率谱序列 

通过对主机流量的自相关函数取离散傅里叶变换来获得主机流量功率谱序列，表示为： 

步骤四、主机对流量功率谱的相似性度量 

提取步骤三中主机流量功率谱序列的特征点，得到特征点的数目q，并记录特征点的序号i_s；将长度为N的主机流量功率谱序列转换为长度为f的功率谱特征序列，并分别计算转换前后序列的查询上界和查询下界；计算主机对功率谱特征序列的优化动态时间弯曲DTW距离，若距离值小于设定的阈值，则将主机对加入主机对集合A_SB，以备下一步的检测； 

所述的长度为N的主机流量功率谱序列是指主机流量功率谱序列包含N个元素； 

步骤五、时空关联分析 

首先利用空间关联分析法分析主机对处于每种状态的可信度，即通过基本概率赋值函数bpa(·)将主机对的优化DTW距离转换为主机对所处状态的可信 度；再利用时间关联分析法对主机对中存在僵尸主机的可信度进行修正，得到更精确的检测结果；最后判断待检测网络是否为僵尸网络； 

所述的主机对所处状态包括主机对处于非工作状态、主机对中存在僵尸主机、主机对中不存在僵尸主机和不能确定主机对中是否存在僵尸主机； 

(1)空间关联分析 

采用D-S证据理论实现空间关联分析，设辨识框架表示主机所处状态的集合，其中C表示主机是僵尸主机；表示主机不是僵尸主机；则主机对所处状态的集合，即辨识框架U的幂集合2^U为： 

其中，表示主机对处于非工作状态；表示主机对所处的状态无法判断，即主机对中可能存在僵尸主机，也可能不存在僵尸主机； 

幂集合2^U中各元素的基本概率赋值函数bpa(2^U)定义为： 

其中，

Y_t表示在当前t时刻，当前主机对流量功率谱特征序列的优化DTW距离； 

通过基本概率赋值函数bpa(·)将各主机对流量功率谱特征序列的优化DTW距离转换为主机对所处状态的可信度； 

(2)时间关联分析 

用原假设H₀表示前一时刻主机对不是僵尸主机，备择假设H₁表示前一时刻主机对是僵尸主机，则当H₁成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₁)；当H₀成立时，该主机对流量功率谱的DTW距离为当前时刻的DTW距离的概率为P_r(Y_t|H₀)；用P_r(Y_t≤ε|H₀)、P_r(Y_t≤ε|H₁)分别代替P_r(Y_t|H₀)、P_r(Y_t|H₁)； 

定义：P_r(Y_t≤ε|H₀)＝θ₀、P_r(Y_t≤ε|H₁)＝θ₁， 

其中，θ₀和θ₁都是Y_t和ε的函数，定义为： 

式中，k为系统参数，ε为不采用时间相关性分析时系统的阈值； 

当前时刻主机对为僵尸主机的可信度的修正系数，即幂集合2^U的子集{C}的基本概率值修正系数为： 

修正后，该主机对在当前时刻为僵尸主机的可信度为： 

m′(C)＝m(C)×K_s   (10) 

步骤六、异常判断 

根据时空关联分析法分别计算出集合A_SB中n₁个主机对存在僵尸主机的可信度，用m₁,m₂,…,表示，则待检测网络为僵尸网络的可信度表示为： 

其中，表示正交和； 

m_web定义为： 

其中， 表示集合A_SB中的n₁个主机对都有僵尸主机存在，即待检测网络为僵尸网络；表示集合A_SB中的n₁个主机对均处于工作状态，且所处状态相同；m_i(C_i)表示在当前时刻第i个主机对中存在僵尸主机的可信度，即在当前时刻第i个主机对中存在僵尸主机的概率值 为m_i(C_i)，由式(10)计算得到； 

由式(12)得到待检测网络所处状态的可信度，判断待检测网络为僵尸网络的可信度是否大于给定的阈值，若是则认为待检测网络中存在僵尸网络；否则，认为待检测网络为安全网络。 

2.根据权利要求1所述的一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其特征在于： 

所述的数据流量是指在对僵尸网络检测过程中主要关注的两大类流量，一类是僵尸网络的通信流量，包括IRC流量、HTTP流量和P2P流量；另一类是僵尸主机的攻击流量，包括扫描流量、DDoS攻击流量、电子邮件流量； 

步骤二中采用黑名单和白名单技术对数据流量进行预处理的具体步骤为： 

(1)将上述两大类网络流量加入黑名单； 

(2)采用白名单技术将明显不是检测所关注的流量从黑名单中剔除，针对不同的网络流量设置了不同的白名单： 

IRC流量：因IRC流量在现实环境中较少出现，出现就极有可能是僵尸网络，所以没有设置白名单； 

HTTP流量：将典型门户网站、搜索引擎、论坛和电子商务网站的HTTP流量都设置成白名单； 

P2P流量：利用网络流，包括源IP、目的IP、源端口、目的端口和协议号的特征进行过滤，如果在时间间距L内，网络流流量除以P2P连接时间的值大于设定的阈值，则将该网络流列入白名单； 

扫描流量：借助其他的检测工具检测扫描流量是否要列为白名单； 

DDoS攻击流量：现实中出现的有效DDoS攻击绝大部分采用SYN攻击方式，所以在数据采集过程中采用黑名单技术，采集所有的SYN请求流量； 

电子邮件流量：如果出现了大于1M的附件，则将该电子邮件流量列入白名单； 

所述的典型门户网站包括Sohu、Sina、ifeng、163、QQ、中华网、土豆网 和Yahoo；搜索引擎包括google和baidu；论坛包括CSDN、mop、tianya、人人网和开心网；电子商务网站包括淘宝、京东、各大团购网、当当网和亚马逊。 

3.根据权利要求1所述的一种基于主机流量功率谱相似性度量的僵尸网络检测方法，其特征在于： 

采用主机对流量功率谱的优化DTW距离对主机对流量的相似性进行度量，具体实现步骤为： 

①提取主机流量功率谱序列的特征点 

定义主机流量功率谱序列的特征点为：功率谱序列的起点、终点和横坐标间的距离大于阈值Δ的极值点； 

特征点的序号记为i_s，1≤s≤q；i_s＝a表示功率谱序列中的第a个元素是该序列的特征点，根据特征点的定义易知i₁＝1，i_q＝N；q表示功率谱序列的特征点数目； 

②将长度为N的n个主机流量功率谱序列，记为S₁(N),S₂(N),…,S_n(N)，转换为长度为f的功率谱特征序列并分别计算转换前后的查询上界序列和查询下界序列； 

其中，f＝q-1；1≤j≤n，表示转换后第j个主机流量功率谱特征序列，该序列的第k个元素1≤k≤f，S_j[i_k]表示转换前第j个主机流量功率谱序列S_j(N)的第i_k个元素，i_k为特征点序号，1≤i_k≤N； 

计算功率谱序列S₁(N),S₂(N),…,S_n(N)的查询上界序列和查询下界序列，分别记为U₁(N),U₂(N),…,U_n(N)和L₁(N),L₂(N),…,L_n(N)， 

其中，表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最大值；表示以S_l[i]为中心，以弯曲率ρ为半径的第l个主机流量功率谱的最小值； 

计算长度为f的功率谱特征序列的查询上界序列和查询下界序列

③计算主机对功率谱特征序列的优化DTW距离 

首先，计算主机对功率谱特征序列DTW距离的下界1≤i＜j≤n： 

若小于阈值η₁，则递归计算主机对功率谱特征序列的优化DTW距离

其中，min(a,b,c)表示取a,b,c三者中的最小值， 

表示序列和rest的DTW距离， 

表示序列和的DTW距离， 

表示序列和的DTW距离， 

表示序列除去第一个元素后的子序列； 

④若 小于阈值η₂，则主机对(S_i(N),S_j(N))为需要重点检测的主机对，放入集合A_SB中。