CN104618377B - 基于NetFlow的僵尸网络检测系统与检测方法 - Google Patents

Abstract

本发明提供一种基于NetFlow的僵尸网络检测系统包括：数据采集模块、预处理模块、节点评估模块、拓扑发现模块以及相关性分析模块，节点评估模块通过分析函数F_bot(v_i)得到数据流i对应的疑似僵尸网络概率Pbot_i；相关性分析模块绘制与分析以疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果大于设定阈值，目标网络为僵尸网络。本发明还提供一种僵尸网络检测方法。本发明结合了NetFlow流量分析的高效性，采用分析算法，计算得到每个节点与整个网络拓扑结构的威胁系数，结合目标网络具体的拓扑结构，对网络拓扑复杂、迁移性强、隐蔽性高、危害性大的僵尸网络进行准确的甄别。

Description

基于NetFlow的僵尸网络检测系统与检测方法

技术领域

本发明涉及计算机网络安全领域的僵尸网络检测方法，尤其涉及一种基于NetFlow的僵尸网络综合检测系统与检测方法。

背景技术

计算机网络是当今社会最为重要的信息设施，随着计算机网络的高速发展，网络安全问题逐渐引起人们的广泛关注。僵尸网络(Botnet)是指攻击者(BotOwner)制造并传播僵尸程序以控制大量节点(通常所说的僵尸机或肉鸡)，利用命令和控制(Command andControl，C&C)通道组织成的网络，僵尸网络经常被用于发起分布式拒绝服务(DistributedDenial-of-Service，DDoS)攻击、发送垃圾邮件、传播或托管恶意代码和钓鱼网站，或者实施身份信息与商业机密窃取等攻击。

近年来，僵尸网络已对计算机网络安全和社会经济构成了极大的威胁，成为网络安全领域的重要问题，僵尸网络攻击相关的网络刑事案件也频频出现于各种媒体之上。

总体看来，现今的僵尸网络普遍具有更新快、规模扩大迅速的特点，有些僵尸网络甚至通过产生大量的垃圾流量以绕过检测机制，传统的基于异常行为的僵尸网络检测技术，在大数据环境下，难以保证准确与快速。

现有的基于网络通信监测的僵尸网络检测技术和方法，大多是基于僵尸网络C&C通信常用的IRC和HTTP协议的分析，以及对僵尸网络感染节点的攻击等异常行为的检测，并不能快速、准确地检测僵尸网络。

本领域的技术人员致力于开发一种僵尸网络检测系统与检测方法，

发明内容

有鉴于现有的僵尸网络检测系统和检测方法的缺陷，本发明提供了一种基于NetFlow的僵尸网络检测系统，能够快速、准确地检测僵尸网络，以保证网络安全。

本发明还提供了一种基于NetFlow的僵尸网络检测方法。

NetFlow是一种数据交换方式，NetFlow技术主要源于流技术的提出，是Flow技术的典型代表。其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

基于Netflow的以上特性，因此NetFlow技术在实际网络中得到广泛应用。主要应用在流量监控、流量计费、用户监控、网络规划和安全分析及监控等方面。

本发明提供了一种基于NetFlow的僵尸网络检测系统与检测方法，利用NetFlow在异常流量分析中的高效、快速、便捷的优势，实现在网络拓扑结构复杂、平均负载较高的环境中对高隐蔽性、高危害性的僵尸网络的检测和跟踪，在保证准确性的前提下，大幅度提高速度与效率。

本发明提供一种基于NetFlow的僵尸网络检测系统包括：

数据采集模块，设置于目标网络的一个或多个节点，用于采集节点的NetFlow数据流；

预处理模块，用于对数据采集模块采集的NetFlow数据流进行预处理；

节点评估模块，用于通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i；

拓扑发现模块，用于分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

相关性分析模块，用于绘制与分析以疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果概率大于设定阈值，目标网络为僵尸网络；

数据采集模块、预处理模块、节点评估模块、拓扑发现模块与相关性分析模块连接。

进一步地，节点为网关节点或路由器节点。

进一步地，基于NetFlow的僵尸网络检测方法包括如下步骤：

(1)设置于目标网络的多个节点的数据采集模块，采集节点的NetFlow数据流；

(2)预处理模块对数据采集模块采集的NetFlow数据流进行预处理；

(3)节点评估模块通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i；

(4)拓扑发现模块分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

(5)相关性分析模块绘制与分析以疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果概率大于设定阈值，目标网络为僵尸网络。

进一步地，步骤(2)中的预处理包括标准化，标准化包括以下步骤：

(21)将数据流定义为标准向量格式：

v_i＝(S_IP，S_port，DIP，D_port，ProtocalType，ByteSize，PacketNum)

其中S_IP为源IP地址、S_port为源端口、D_IP为目的IP地址、D_port为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。

进一步地，步骤(2)中的预处理包括过滤，过滤包括以下步骤：

(22)根据黑名单和/或白名单，过滤确凿的僵尸节点与无威胁节点；

(23)根据NetFlow数据包大小，过滤大数据报文的节点。

进一步地，步骤(3)中通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i的方法包括以下步骤：

(31)设置规则集合Rule[M]，并计算每一条规则的权重，其中w[rule_j]为第j条规则的权重，M为规则集合中的规则数；

(32)计算每一条规则在整个规则集合中所占的比例权重，第j条规则的比例权重为第j条规则的权重与所有规则权重和之比：

(33)分析函数F_bot(v_i)为对于第i个数据流，所有满足的规则的比例权重之和：

F_bot(v_i)＝Σ_jWeight[rule_j]；

(34)计算第i个数据流对应的疑似僵尸网络概率Pbot_i：

Pbot_i＝F_bot(v_i)。

进一步地，步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(311)采用自动打标签式设置规则集合，通过分析已发现的典型僵尸网络中NetFlow的流量，统计出所有流量的特征矩阵，从特征矩阵中选取概率最大的N个规则特征作为匹配规则；

(312)计算第j条规则权重的公式为：

w[rule_j]＝P(bot/rule_j)，

其中w[rule_j]为第j条规则的权重，P(bot/rule_j)，为匹配第j个规则的先验概率，即在满足第j个规则rule_j的情况下疑似僵尸网络概率。

进一步地，步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(313)采用手工打标签式设置规则集合；

(314)为第j个规则指定一个威胁等级系数d[rule_j]，d[rule_j]的值为1至5的序列，则权重w[rule_j]等于d[rule_j]，默认为1：

w[rule_i]＝d[rule_i]or1。

进一步地，步骤(5)绘制与分析以疑似僵尸网络概率Pbot为权重的数据流通信图，计算目标网络为僵尸网络的概率的方法包括以下步骤：

(51)将(3)中计算得到的每个数据流的疑似僵尸网络概率Pbot值作为权值，赋给(4)中的数据流通信图中对应的数据流，形成以数据流为边的有向含权图；

(52)根据有向含权图，得到流量概率矩阵[P_mm]，其中P_mm标识节点m与节点n之间的流量为僵尸网络通信流量的概率；

(53)计算目标网络为僵尸网络的概率P。

进一步地，步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤：

(531)设置敏感因子α，节点m的威胁系数d_m为：

其中N为节点总数；敏感因子α代表对异常威胁值的敏感度检测，α值设置的越大，表示高于平均水平的异常威胁值的权重越高；

(532)设置敏感因子β，目标网络为僵尸网络的概率P为：

其中N为节点总数；敏感因子β代表对异常威胁值的敏感度检测，β值设置的越大，表示高于平均水平的异常威胁值的权重越高。

β的取值范围在1-10之间，默认值取2。

与现有技术相比，本发明提供的基于NetFlow的僵尸网络检测系统与检测方法具有以下有益效果：利用NetFlow在异常流量分析中的高效、快速、便捷的优势，实现在网络拓扑结构复杂、平均负载较高的环境中对高隐蔽性、高危害性的僵尸网络的检测和跟踪，在保证准确性的前提下，大幅度提高速度与效率。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一个实施例的基于NetFlow的僵尸网络检测系统结构示意图；

图2是图1所示的基于NetFlow的僵尸网络检测系统的NetFlow数据流图；

图3是图1所示的基于NetFlow的僵尸网络检测系统的数据流通信图；

图4是图1所示的基于NetFlow的僵尸网络检测系统的疑似僵尸网络概率Pbot_i为权重的数据流通信图。

具体实施方式

如图1所示，本发明的一个实施例的基于NetFlow的僵尸网络检测系统包括：

数据采集模块，设置于目标网络的关键路由器节点，用于采集节点的NetFlow数据流；

预处理模块，用于对数据采集模块采集的NetFlow数据流进行预处理；

节点评估模块，用于通过分析函数F_bot(v_i)得到数据流i对应的疑似僵尸网络概率Pbot_i；

拓扑发现模块，用于分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

相关性分析模块，用于绘制与分析以疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算目标网络为僵尸网络的概率；

数据采集模块、预处理模块、节点评估模块、拓扑发现模块与相关性分析模块连接。

设置数据采集模块的节点为网关节点或路由器节点。

采用本实施例的基于NetFlow的僵尸网络检测系统，进行僵尸网络检测的方法包括如下步骤：

(1)设置于目标网络的多个节点的数据采集模块，采集节点的NetFlow数据流；

(2)预处理模块对数据采集模块采集的NetFlow数据流进行预处理；

(3)节点评估模块通过分析函数F_bot(v_i)得到数据流i对应的疑似僵尸网络概率Pbot_i；

(4)拓扑发现模块分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

(5)相关性分析模块绘制与分析以疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算目标网络为僵尸网络的概率，如果概率大于设定阈值，目标网络为僵尸网络。

步骤(2)中的预处理包括过滤与标准化。

过滤包括以下步骤：

(22)根据黑名单和/或白名单，过滤确凿的僵尸节点与无威胁节点；

(23)根据NetFlow数据包大小，过滤大数据报文的节点。

根据统计经验值，60个数据包以上的netflow为数据流，可滤除。

标准化包括以下步骤：

(21)将数据流定义为标准向量格式：

v_i＝(S_IP，S_port，DIP，D_port，ProtocalType，ByteSize，PacketNum)

其中S_IP为源IP地址、S_port为源端口、D_IP为目的IP地址、D_port为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。

步骤(3)中通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i的方法包括以下步骤：

(31)设置规则集合Rule[M]，并计算每一条规则的权重，其中w[rule_j]为第j条规则的权重，M为规则集合中的规则数；

(32)计算每一条规则在整个规则集合中所占的比例权重，其值为第j条规则的权重与所有规则权重和之比：

(33)分析函数F_bot(v_i)为对于第i个数据流，所有满足的规则的比例权重之和：

F_Bot(v_i)＝Σ_jWeight[rule_j]；

(34)计算第i个数据流对应的疑似僵尸网络概率Pbot_i：

Pbot_i＝F_bot(v_i)。

图2示出了图1所示的基于NetFlow的僵尸网络检测系统的NetFlow数据流图，显示了第i个数据流两端节点m-节点n的疑似僵尸网络流量概率，Pmn＝Pbot_i。

步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(311)采用自动打标签式设置规则集合，通过分析已发现的典型僵尸网络中NetFlow的流量，统计出所有流量的特征矩阵，从特征矩阵中选取概率最大的M个规则特征作为匹配规则；

(312)计算每一条规则权重的公式为：

w[rule_j]＝P(bot/rule_j)，

其中w[rule_j]为第j条规则的权重，P(bot/rule_j)为匹配第j个规则的先验概率，即在满足第j个规则rule_j的情况下疑似僵尸网络概率。

在另一个实施例中也可以采用自动打标签式设置规则集合，步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(313)采用手工打标签式设置规则集合，基于以下规则：

1.TCP失败连接数(SYN无ACK应答)的比例较高；(适用于TCP协议)

2.数据包总数过少(一般小于3个数据包)的NetFlow比例较高；(适用于IP协议)

3.平均数据包较大(一般大于60个数据包)的NetFlow比例较低；(适用于IP协议)

4.目的IP的源端口的平均数较多

5.全部NetFlow中独一无二的IP地址比例较多

6.NetFlow中连接某一特别目的端口的小于1024的数据包较多

(314)为第j个规则指定一个威胁等级系数d[rule_j]，d[rule_j]的值为1至5的序列，则权重w[rule_j]等于d[rule_j]，默认为1：

w[rule_j]＝d[rule_j]or1。

步骤(4)拓扑发现模块分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图，如果本实施例的基于NetFlow的僵尸网络检测系统包括单个检测节点，NetFlow数据流是检测节点本地检测到的所有数据流；如果本实施例的基于NetFlow的僵尸网络检测系统包括多个检测节点，即协同检测系统，可以通过订阅分发的方式获取其他检测节点搜集到的数据流。

步骤(5)绘制与分析以疑似僵尸网络概率Pbot为权重的数据流通信图，计算目标网络为僵尸网络的概率的方法包括以下步骤：

(51)将(3)中计算得到的每个数据流的疑似僵尸网络概率Pbot值作为权值，赋给(4)中的数据流通信图中对应的数据流，形成以数据流为边的有向含权图；

(52)根据有向含权图，得到流量概率矩阵[P_mm]，其中P_mm标识节点m与节点n之间的流量为僵尸网络通信流量的概率；

(53)计算目标网络为僵尸网络的概率P。

步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤：

(531)设置敏感因子α，节点m的威胁系数d_m为：

其中N为节点总数；敏感因子α代表对异常威胁值的敏感度检测，α值设置的越大，表示高于平均水平的异常威胁值的权重越高；

α的取值范围在1-10之间，默认值取2。

(532)设置敏感因子β，目标网络为僵尸网络的概率P为：

其中N为节点总数；敏感因子β代表对异常威胁值的敏感度检测，β值设置的越大，表示高于平均水平的异常威胁值的权重越高。

β的取值范围在1-10之间，默认值取2。

图3、图4是图1所示的基于NetFlow的僵尸网络检测系统的节点-节点的NetFlow数据流图，以下通过与均值函数对比说明本发明中分析函数F_bot(v_i)的合理性与有效性：

分析函数的设置需要考虑到以下两种实际情况：

1与节点相连的威胁流量数量越多，节点威胁指数越高；

2与节点相连的所有威胁流量中，威胁相对较大的流量应当占更多比重。

根据第一种情况，图3中与节点1相连威胁流量为1个，即节点1-节点2的数据流，而图4中与节点1相连威胁流量为4个，显然相对于图3的威胁性，图4的威胁性更大。

如果采用均值函数，图3中与节点1相连威胁流量为节点1-节点2的数据流，威胁指数为0.81；而图4中威胁指数为4个威胁流量的均值0.63，威胁指数为0.63。这样图3的威胁指数大于图4的威胁指数，与“图3的威胁性低于图4的威胁性”的事实不符。

计算出的威胁指数：分别为0.81与0.63，与事实不符合。

通过本发明，判断图3是否为僵尸网络：

1.从图3中可得：流量概率矩阵

2.设置敏感因子α，敏感因子α设为2，节点m的威胁系数d_m为：则节点1的威胁系数

3.设置敏感因子β，敏感因子β设为2，疑似僵尸网络概率

4.设置阀值为1，则可以判定图3不是僵尸网络。

再次通过本发明，判断图4是否为僵尸网络：

1.从图3中可得：流量概率矩阵

2.设置敏感因子α，敏感因子α设为2，节点m的威胁系数d_m为：则节点1的威胁系数

3.设置敏感因子β，敏感因子β设为2，疑似僵尸网络概率

4.设置阀值为1，则可以判定图4不是僵尸网络。

与事实符合，证明分析函数F_bot(v_i)的合理性与有效性。

根据第二种情况，仅考虑图4中节点之间的流量，在全部四个点对点通信中，三个数据流的疑似僵尸网络概率较高，因此图4中节点1的威胁指数应该相对较高，均值函数与分析函数F_bot(v_i)

其中敏感因子α设为2，得到的结果分别为0.63与1.50，分析函数F_bot(v_i)相对更加准确，再次证明分析函数F_bot(v_i)的合理性与有效性。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (9)

1.一种基于NetFlow的僵尸网络检测系统，其特征在于，所述基于NetFlow的僵尸网络检测系统包括：

数据采集模块，设置于目标网络的一个或多个节点，用于采集所述节点的NetFlow数据流；

预处理模块，用于对所述数据采集模块采集的所述NetFlow数据流进行预处理；

节点评估模块，用于通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i，具体如下：

设置规则集合Rule[M]，并计算每一条规则的权重，其中w[rule_j]为第j条规则的权重，w[rule_k]为第k条规则的权重，M为规则集合中的规则数；

计算每一条规则在整个规则集合中所占的比例权重，第j条规则的比例权重为第j条规则的权重与所有规则权重和之比：

<mrow> <mi>W</mi> <mi>e</mi> <mi>i</mi> <mi>g</mi> <mi>h</mi> <mi>t</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>j</mi> </msub> <mo>&amp;rsqb;</mo> <mo>=</mo> <mfrac> <mrow> <mi>w</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>j</mi> </msub> <mo>&amp;rsqb;</mo> </mrow> <mrow> <msub> <mi>&amp;Sigma;</mi> <mi>k</mi> </msub> <mi>w</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>k</mi> </msub> <mo>&amp;rsqb;</mo> </mrow> </mfrac> <mo>,</mo> <mi>k</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>,</mo> <mo>...</mo> <mo>,</mo> <mi>M</mi> <mo>;</mo> </mrow>

分析函数F_bot(v_i)为对于第i个数据流，所有满足的规则的比例权重之和：

F_bot(v_i)＝∑_jWeight[rule_j]；

计算第i个数据流对应的疑似僵尸网络概率Pbot_i：

Pbot_i＝F_bot(v_i)；

拓扑发现模块，用于分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

相关性分析模块，用于绘制与分析以所述疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算所述目标网络为僵尸网络的概率，如果所述概率大于设定阈值，所述目标网络为僵尸网络；

所述数据采集模块、所述预处理模块、所述节点评估模块、所述拓扑发现模块与所述相关性分析模块连接。

2.如权利要求1所述的基于NetFlow的僵尸网络检测系统，其特征在于，所述节点为关键路由器节点。

3.一种基于NetFlow的僵尸网络检测方法，其特征在于，所述基于NetFlow的僵尸网络检测方法包括如下步骤：

(1)设置于目标网络的多个节点的数据采集模块，采集所述节点的NetFlow数据流；

(2)预处理模块对所述数据采集模块采集的所述NetFlow数据流进行预处理；

(3)节点评估模块通过分析函数F_bot(v_i)得到第i个数据流对应的疑似僵尸网络概率Pbot_i；

包括以下步骤：

(31)设置规则集合Rule[M]，并计算每一条规则的权重，其中w[rule_j]为第j条规则的权重，w[rule_k]为第k条规则的权重，M为规则集合中的规则数；

(32)计算每一条规则在整个规则集合中所占的比例权重，第j条规则的比例权重为第j条规则的权重与所有规则权重和之比：

<mrow> <mi>W</mi> <mi>e</mi> <mi>i</mi> <mi>g</mi> <mi>h</mi> <mi>t</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>j</mi> </msub> <mo>&amp;rsqb;</mo> <mo>=</mo> <mfrac> <mrow> <mi>w</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>j</mi> </msub> <mo>&amp;rsqb;</mo> </mrow> <mrow> <msub> <mi>&amp;Sigma;</mi> <mi>k</mi> </msub> <mi>w</mi> <mo>&amp;lsqb;</mo> <msub> <mi>rule</mi> <mi>k</mi> </msub> <mo>&amp;rsqb;</mo> </mrow> </mfrac> <mo>,</mo> <mi>k</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>,</mo> <mo>...</mo> <mo>,</mo> <mi>M</mi> <mo>;</mo> </mrow>

(33)分析函数F_bot(v_i)为对于第i个数据流，所有满足的规则的比例权重之和：

F_bot(v_i)＝∑_jWeight[rule_j]；

(34)计算第i个数据流对应的疑似僵尸网络概率Pbot_i：

Pbot_i＝F_bot(v_i)；

(4)拓扑发现模块分析预处理后的NetFlow数据流，获得数据流向量，并绘制所有数据流向量组成的数据流通信图；

(5)相关性分析模块绘制与分析以所述疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算所述目标网络为僵尸网络的概率，如果所述概率大于设定阈值，所述目标网络为僵尸网络。

4.如权利要求3所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(2)中的预处理包括标准化，所述标准化包括以下步骤：

(21)将数据流定义为标准向量格式：

v_i＝(S_IP，S_port，D_IP，D_Port，ProtocalType，ByteSize，PacketNum)

其中S_IP为源IP地址、S_port为源端口、D_IP为目的IP地址、D_Port为目的端口、ProtocalType为协议类型、ByteSize为数据流大小、PacketNum为数据包数量。

5.如权利要求4所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(2)中的预处理包括过滤，所述过滤包括以下步骤：

(22)根据黑名单和/或白名单，过滤确凿的僵尸节点与无威胁节点；

(23)根据NetFlow数据包大小，过滤大数据报文的节点。

6.如权利要求3所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(311)采用自动打标签式设置规则集合，通过分析已发现的典型僵尸网络中NetFlow的流量，统计出所有流量的特征矩阵，从所述特征矩阵中选取概率最大的N个规则特征作为匹配规则；

(312)计算第j条规则权重的公式为：

w[rule_j]＝P(bot/rule_j)，

其中w[rule_j]为第j条规则的权重，P(bot/rule_j)为匹配第j个规则的先验概率。

7.如权利要求3所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(31)中设置规则集合Rule[M]，并计算每一条规则的权重的方法包括以下步骤：

(313)采用手工打标签式设置规则集合；

(314)为第j条规则指定一个威胁等级系数d[rule_j]，d[rule_j]的值为1至5的序列，则权重w[rule_j]等于d[rule_j]，默认为1：

w[rule_j]＝d[rule_j]or1。

8.如权利要求3所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(5)绘制与分析以所述疑似僵尸网络概率Pbot_i为权重的数据流通信图，计算所述目标网络为僵尸网络的概率的方法包括以下步骤：

(51)将(3)中计算得到的第i个数据流的所述疑似僵尸网络概率Pbot_i值作为权值，对(4)中的数据流通信图中对应的数据流进行赋值，形成以数据流为边的有向含权图；

(52)根据所述有向含权图，得到流量概率矩阵[P_mn]，其中P_mn标识节点m与节点n之间的流量为疑似僵尸网络概率；

(53)计算目标网络为僵尸网络的概率P。

9.如权利要求8所述的基于NetFlow的僵尸网络检测方法，其特征在于，步骤(53)计算目标网络为僵尸网络的概率P的方法包括以下步骤：

(531)设置敏感因子α，节点m的威胁系数d_m为：

<mrow> <msub> <mi>d</mi> <mi>m</mi> </msub> <mo>=</mo> <mfrac> <mrow> <msub> <mi>&amp;Sigma;</mi> <mi>n</mi> </msub> <msup> <mrow> <mo>(</mo> <msub> <mi>p</mi> <mrow> <mi>m</mi> <mi>n</mi> </mrow> </msub> <mo>)</mo> </mrow> <mrow> <mn>1</mn> <mo>/</mo> <mi>&amp;alpha;</mi> </mrow> </msup> </mrow> <msup> <mrow> <mo>(</mo> <mi>N</mi> <mo>-</mo> <mn>1</mn> <mo>)</mo> </mrow> <mrow> <mn>1</mn> <mo>/</mo> <mi>&amp;alpha;</mi> </mrow> </msup> </mfrac> <mo>,</mo> </mrow>

其中N为节点总数，所述敏感因子α代表对异常威胁值的敏感度检测，α值越大，表示高于平均水平的异常威胁值的权重越高；

(532)设置敏感因子β，目标网络为僵尸网络的概率P为：

<mrow> <mi>P</mi> <mo>=</mo> <mfrac> <mrow> <msub> <mi>&amp;Sigma;</mi> <mi>m</mi> </msub> <msup> <mrow> <mo>(</mo> <msub> <mi>d</mi> <mi>m</mi> </msub> <mo>)</mo> </mrow> <mrow> <mn>1</mn> <mo>/</mo> <mi>&amp;beta;</mi> </mrow> </msup> </mrow> <msup> <mi>N</mi> <mrow> <mn>1</mn> <mo>/</mo> <mi>&amp;beta;</mi> </mrow> </msup> </mfrac> <mo>,</mo> </mrow>

其中N为节点总数，所述敏感因子β代表对异常威胁值的敏感度检测，β值越大，表示高于平均水平的异常威胁值的权重越高。