CN105516164A - 基于分形与自适应融合的P2P botnet检测方法 - Google Patents

Abstract

基于分形与自适应融合的P2P？botnet检测方法，涉及计算机安全领域。解决现有P2P？botnet检测方法检测过程复杂且检测效率低等问题，本发明的方法为：构建单分形特性检测传感器和多分形特性检测传感器，它们分别利用大时间尺度下的自相似性和小时间尺度下的局部奇异性对网络流量特征进行刻画，利用Kalman滤波器检测上述特性是否存在异常。为获得更精确的数据融合结果，提出一种自适应数据融合方法，根据证据冲突程度不同自适应得选择DST、DSmT对上述检测传感器的检测结果进行融合以得到最终结果。本发明对P2P？botnet进行快速通用检测，准确性和实时性更好。

Description

基于分形与自适应融合的P2P botnet检测方法

技术领域

本发明涉及计算机安全领域，具体涉及基于分形与自适应数据融合的P2Pbotnet检测方法。

背景技术

僵尸网络(botnet)是一种恶意主机群，攻击者可以利用二次注入对bot节点的负载进行改变，从而非常便捷迅速地改变最终要发送攻击的种类，例如分布式拒绝服务攻击、网络钓鱼和垃圾邮件攻击等。当前新型P2Pbotnet采用P2P网络的分散式结构来构建其命令与控制机制(C&C,CommandandControl)，因为该结构没有控制中心，所以有效避免了单点失效，健壮性和可靠性更强。

目前，关于P2Pbotnet分析和检测方面的研究处于兴起阶段，经分析可知主要存在以下问题：

一、大多数检测方法主要从P2Pbotnet的某几个特有的、细致的特征入手进行检测，未对网络流量的宏观特征进行足够深入的分析和刻画。当出现某种新型P2Pbotnet，并且该botnet的网络结构、协议和攻击类型等与现有P2Pbotnet不同时，将会导致P2Pbotnet检测出现较大的漏报率；

二、大多数检测方法通过数据挖掘、机器学习等方法进行P2Pbotnet检测，这需要大量的历史数据、先验知识，并需要事先对分类器进行训练，检测效率不理想。

发明内容

本发明为解决现有P2Pbotnet检测方法检测过程复杂且检测效率低等问题，提供一种基于分形与自适应数据融合的P2Pbotnet检测方法。

基于分形与自适应数据融合的P2Pbotnet检测方法，具体实现步骤为：

步骤一、网络流量数据采集；将采集的结果作为检测的原始数据；

步骤二、采用分形理论构建单分形特性检测传感器和多分形特性检测传感器，所述单分形特性检测传感器对网络流量在大时间尺度下的自相似性参数中的Hurst指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量自相似性特征的异常，获得检测结果R_hurst；

多分形特性检测传感器对网络流量在小时间尺度下的局部奇异性的参数Holder指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量局部奇异性特征的异常，获得检测结果R_holder；

步骤三、采用自适应数据融合方法，根据步骤二中获得的两个检测结果R_hurst和R_holder，计算冲突因子C；并将所述冲突因子C与设定的阈值进行比较，如果冲突因子C≥T，则判定为强冲突证据，采用DSmT对强冲突证据进行融合；否则，判定为弱冲突证据，采用DST对弱冲突证据进行融合；

采用DST对弱冲突证据进行融合的具体过程为：

设定识别框架U上有两个相互独立的证据A和B，m₁(A)和m₂(B)分别为两个相互独立证据对应的基本概率赋值函数，两个相互独立证据的焦元分别为A₁,…,A_p和B₁,…,B_q，其中C为冲突因子，则采用DST进行融合，用下式表示为：

$m\left(V\right)=\left\{\begin{array}{cc}\frac{\underset{A_h\∩B_j=V}{\underset{A_h,B_j\∈2^U}{\mathrm{\Σ}}}{m}_1\left(A_h\right)m_2\left(B_j\right)}{1-C}& V\≠\mathrm{\φ}\\ 0& V=\mathrm{\φ}\end{array}\right.$

式中，h和j为正整数，且1≤h≤p,1≤j≤q；

采用DSmT对强冲突证据进行融合的具体过程为：

DSmT是基于Dedekind格子模型D^U建立的框架U的超幂集空间，设定框架U上有n个证据，U＝{θ₁,…,θ_n}，所述n＝2；

采用DSmT中的混合DSm模型进行融合(V∈D^U)，用下式表示为：

m(V)＝δ(V)[S₁(V)+S₂(V)+S₃(V)]

式中，

$S_1\left(V\right)=\underset{X_1...\∩X_r=V}{\underset{X_1,...,X_r\∈D^U}{\mathrm{\Σ}}}\underset{i=1}{\overset{r}{\Π}}{m}_i\left(X_i\right)$

式中，u(X_r)是组成X_r的所有元素θ_i的并集，m_i(X_i)为X_i对应的广义概率赋值函数，δ(V)为集合V的特征非空函数，S₁(V)表示基于自由DSm模型的r个相互独立证据的经典DSm组合规则，S₂(V)表示将所有相对和绝对的空集的信度质量传递给总的或相对的未知集，S₃(V)表示将相对于空集的信度质量之和传递给非空集，所述r和i的范围为：1≤r≤n,1≤i≤r；

步骤四、将步骤三中的融合结果作为最终检测的结果R，并将最终检测结果R与爆发阈值T_decision比较，当最终检测结果R≥T_decision时，检测到网络中存在P2Pbotnet。

本发明的有益效果：本发明所述的基于分形与自适应数据融合的P2Pbotnet检测方法：构建单分形特性检测传感器和多分形特性检测传感器，它们分别利用大时间尺度下的自相似性和小时间尺度下的局部奇异性对网络流量特征进行刻画，利用Kalman滤波器检测上述特性是否存在异常。为获得更精确的数据融合结果，提出了一种自适应数据融合方法，根据证据冲突程度不同自适应得选择DST、DSmT对上述检测传感器的检测结果进行融合以得到最终检测结果。

一、本发明主要关注P2Pbotnet的共有异常，从网络流量的内在特性出发，将网络流量看作信号进行处理，利用分形理论分析网络流量在不同时间尺度、不同视角下的特性，利用这些特性的异常来检测P2Pbotnet，因为这些特性不依赖于特定类型的P2Pbotnet，所以当出现与现有P2Pbotnet不同的新型botnet时仍能保证一定检测准确度；

二、本发明主要关注网络流量的内在特性，无须对数据包内容进行分析和检测，在P2Pbotnet对其数据包采用加密处理时仍可以对其进行检测；

三、本发明利用DST与DSmT自适应融合方法对检测结果进行有效数据融合，无需大量的历史数据、先验知识，并可以通过积累证据缩小假设集。

发明人研究的基于分形与自适应数据融合的P2Pbotnet检测方法，主要关注P2Pbotnet的共有异常，利用分形理论对网络流量的内在特性进行描述(该特性并不依赖于特定类型的P2Pbotnet)：大时间尺度下的自相似特性、小时间尺度下的局部奇异性，利用Kalman滤波器检测上述特性是否存在异常。本发明无须对数据包内容进行分析和检测，并且利用DST与DSmT自适应融合方法对检测结果进行数据融合，无需大量的历史数据、先验知识。与现有技术相比，本发明可以对P2Pbotnet进行快速通用检测，准确性和实时性更好。

附图说明

图1为本发明所述的基于分形与自适应数据融合的P2Pbotnet检测方法的流程图；

图2为本发明所述的基于分形与自适应数据融合的P2Pbotnet检测方法中自适应数据融合的示意图。

具体实施方式

具体实施方式一、结合图1和图2说明本实施方式，基于分形与自适应融合的P2Pbotnet检测方法，具体实现步骤为：

步骤一：网络流量数据采集。

利用Wireshark等工具采集网络流量，作为检测方法的原始输入数据。

步骤二：利用分形理论构建两个网络流量检测传感器，用于检测网络流量在不同时间尺度下的特性是否异常。

1)利用单分形特性检测传感器检测网络流量在大时间尺度下的自相似性是否存在异常：对Hurst指数进行估算，将其作为系统测量值输入到Kalman滤波器中，建立Kalman滤波器模型以检测网络流量自相似性特征的异常，得到检测结果。

2)利用多分形特性检测传感器检测网络流量在小时间尺度下的局部奇异性是否存在异常：对Holder指数进行估算，将其作为系统测量值输入到Kalman滤波器中，建立Kalman滤波器模型以检测网络流量局部奇异性特征的异常，得到检测结果。

步骤三：为获得更精确的数据融合结果，在分析现有方法的基础上提出了一种自适应数据融合方法。首先计算冲突因子以确定证据冲突程度，设定阈值，根据证据冲突程度的不同自适应得选择DST(Dempster-ShaferTheory)、DSmT(Dezert-SmarandacheTheory)对上述检测传感器的检测结果进行数据融合：对于弱冲突证据利用DST进行融合，对于强弱冲突证据利用DSmT进行融合。

步骤四：对最终检测结果进行判定。设定阈值，当最终检测结果不小于阈值时表示当前网络中存在P2Pbotnet。

具体实施方式二、结合图1和图2说明本实施方式，本实施方式为具体实施方式一所述的基于分形与自适应融合的P2Pbotnet检测方法的实施例：

步骤A、网络流量数据采集，采用Wireshark等工具采集网络流量，作为检测方法的原始输入数据，计算固定时间窗口内的网络流量，并对其进行归一化处理，得到流量F_k，假设当前为第k个时间窗口；

步骤B、构建两个网络流量检测传感器用于检测不同时间尺度下的特性是否异常。

一、利用单分形特性检测传感器检测网络流量在大时间尺度下的自相似性是否存在异常：利用重标极差(R/S，RescaledRange)方法估算当前时间窗口内的Hurst指数得到Hurst_k，将其作为系统测量值输入到Kalman滤波器中，建立Kalman滤波器模型以检测网络流量自相似性特征的异常，得到检测结果

二、利用多分形特性检测传感器检测网络流量在小时间尺度下的局部奇异性是否存在异常：估算当前时间窗口内的Holder指数得到Holder_k，将其作为系统测量值输入到Kalman滤波器中，建立Kalman滤波器模型以检测网络流量局部奇异性特征的异常，得到检测结果

所述Holder指数的计算方法如式(1)所示。对于某一随机过程X(k)，表示到k时刻为止网络中IP包的数目，将X(0),…,X(k)分配到若干子区间中，子区间的长度为d，则

${\mathrm{Holder}}_k=\underset{d\→0}{\lim }\frac{log\left(\right|X(k+\frac{d}{2})-X(k-\frac{d}{2})\left|\right)}{log\left(d\right)}---\left(1\right)$

不失一般性，将其等分为2^w个区间，则

$\begin{array}{c}{\mathrm{Holder}}_k=\underset{w\→\mathrm{\∞}}{\lim }\frac{log\left(\right|X\left(\frac{i+1}{2^w}\right)-X\left(\frac{i}{2^w}\right)\left|\right)}{log\left(\frac{1}{2^w}\right)}\\ =\underset{w\→\mathrm{\∞}}{\lim }\[-\frac{log\left(\right|X\left(\frac{i+1}{2^w}\right)-X\left(\frac{i}{2^w}\right)\left|\right)}{w}\],i=0,1,...,2^w-1\end{array}---\left(2\right)$

步骤C、为获得更精确的数据融合结果，在分析现有方法的基础上提出了一种自适应数据融合方法，结合图2，根据证据冲突程度的不同自适应得选择DST、DSmT对上述检测传感器的检测结果进行数据融合，得到最终检测结果：对于弱冲突证据利用DST进行融合，对于强冲突证据利用DSmT进行融合。

设识别框架U上有两个相互独立的证据，与之相应的基本信度赋值为m₁和m₂，则冲突因子C的计算方法见式(3)。

式中，h和j为正整数，且1≤h≤p,1≤j≤q。

基于DST自适应融合的具体实现步骤为：

1)根据式(3)计算冲突因子C，并设定阈值T。对于不同类型的证据，阈值应不同，甚至可能是多个变化的点或区间。为简化计算量，设定T＝0.7。

2)若C≥T(强冲突)，执行步骤4)，根据式(5)利用DSmT进行融合，否则，执行步骤3)，根据式(4)利用DST进行融合，得到融合后的第k个时间窗口的检测结果R_k；

3)利用DST进行融合；

设定识别框架U上有两个相互独立的证据A和B，m₁(A)和m₂(B)分别为两个相互独立证据对应的基本概率赋值函数，两个相互独立证据的焦元分别为A₁,…,A_p和B₁,…,B_q，则利用DST进行融合的过程见式(4)，其中C为冲突因子。对多个证据可通过两两组合的方式以得到最终融合结果。

$m\left(V\right)=\left\{\begin{array}{cc}\frac{\underset{A_h\∩B_j=V}{\underset{A_h,B_j\∈2^U}{\mathrm{\Σ}}}{m}_1\left(A_h\right)m_2\left(B_j\right)}{1-C}& V\≠\mathrm{\φ}\\ 0& V=\mathrm{\φ}\end{array}\right.---\left(4\right)$

4)利用DSmT进行融合；

DSmT是基于Dedekind格子模型D^U建立的框架U的超幂集空间，设定框架U上有n个证据，U＝{θ₁,…,θ_n}，所述n＝2，则采用DSmT中的混合DSm模型进行融合(V∈D^U)融合的过程见式(5)：

m(V)＝δ(V)[S₁(V)+S₂(V)+S₃(V)](5)

式中，

$S_1\left(V\right)=\underset{X_1...\∩X_r=V}{\underset{X_1,...,X_r\∈D^U}{\mathrm{\Σ}}}\underset{i=1}{\overset{r}{\Π}}{m}_i\left(X_i\right)---\left(7\right)$

式中，u(X_r)是组成X_r的所有元素θ_i的并集，m_i(X_i)为X_i对应的广义概率赋值函数，δ(V)为集合V的特征非空函数，S₁(V)表示基于自由DSm模型的r个相互独立证据的经典DSm组合规则，S₂(V)表示将所有相对和绝对的空集的信度质量传递给总的或相对的未知集，S₃(V)表示将相对于空集的信度质量之和传递给非空集，所述r和i的范围为：1≤r≤n,1≤i≤r。

步骤D、对k个时间窗口的检测结果R_k进行判定。

设判定P2Pbotnet的爆发阈值为T_decision，当R_k≥T_decision时表示P2Pbotnet爆发。

本实施方式中所述的爆发阈值可通过Kaufman算法视不同网络场景修改。

综上所述，以上仅为本发明的一种较佳实施例而已，并非对本发明做任何形式上的恶限制，并非用于限定本发明的保护范围。凡在本发明的技术本质范围之内，所作的任何修改、等同变化与修饰改进等，均仍属于本发明的保护范围之内。

Claims (4)

1.基于分形与自适应融合的P2Pbotnet检测方法，其特征是，该方法由以下步骤实现：

步骤一、网络流量数据采集；将采集的结果作为检测的原始数据；

步骤二、采用分形理论构建单分形特性检测传感器和多分形特性检测传感器，所述单分形特性检测传感器对网络流量在大时间尺度下的自相似性参数中的Hurst指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量自相似性特征的异常，获得检测结果R_hurst；

多分形特性检测传感器对网络流量在小时间尺度下的局部奇异性的参数Holder指数进行估算，将估算测量值输入至滤波器中，建立滤波器模型以检测网络流量局部奇异性特征的异常，获得检测结果R_holder；

步骤三、采用自适应数据融合方法，根据步骤二中获得的两个检测结果R_hurst和R_holder，计算冲突因子C；并将所述冲突因子C与设定的阈值T进行比较，如果冲突因子C≥T，则判定为强冲突证据，采用DSmT对强冲突证据进行融合；否则，判定为弱冲突证据，采用DST对弱冲突证据进行融合；

采用DST对弱冲突证据进行融合的具体过程为：

设定识别框架U上有两个相互独立的证据A和B，m₁(A)和m₂(B)分别为两个相互独立证据对应的基本概率赋值函数，两个相互独立证据的焦元分别为A₁,…,A_p和B₁,…,B_q，其中C为冲突因子，则采用DST进行融合，用下式表示为：

$m\left(V\right)=\left\{\begin{array}{cc}\frac{\underset{A_h\∩B_j=V}{\underset{A_h,B_j\∈2^U}{\Σ}}{m}_1\left(A_h\right)m_2\left(B_j\right)}{1-C}& V\≠\mathrm{\φ}\\ 0& V=\mathrm{\φ}\end{array}\right.$

式中，h和j为正整数，且1≤h≤p,1≤j≤q；

采用DSmT对强冲突证据进行融合的具体过程为：

DSmT是基于Dedekind格子模型D^U建立的框架U的超幂集空间，设定框架U上有n个证据，U＝{θ₁,…,θ_n}，所述n＝2；

采用DSmT中的混合DSm模型进行融合(V∈D^U)，用下式表示为：

m(V)＝δ(V)[S₁(V)+S₂(V)+S₃(V)]

式中，

$S_1\left(V\right)=\underset{X_1\mathrm{...}\∩X_r=V}{\underset{X_1,\mathrm{...},X_r\∈D^U}{\Σ}}\underset{i=1}{\overset{r}{\Π}}{m}_i\left(X_i\right)$

式中，u(X_r)是组成X_r的所有元素θ_i的并集，m_i(X_i)为X_i对应的广义概率赋值函数，δ(V)为集合V的特征非空函数，S₁(V)表示基于自由DSm模型的r个相互独立证据的经典DSm组合规则，S₂(V)表示将所有相对和绝对的空集的信度质量传递给总的或相对的未知集，S₃(V)表示将相对于空集的信度质量之和传递给非空集，所述r和i的范围为：1≤r≤n,1≤i≤r；

步骤四、将步骤三中的融合结果作为最终检测的结果R，并将最终检测结果R与爆发阈值T_decision比较，当最终检测结果R≥T_decision时，检测到网络中存在P2Pbotnet。

2.根据权利要求1所述的基于分形与自适应数据融合的P2Pbotnet检测方法其特征在于，Holder指数的计算方法具体为：

对于某一随机过程X(k)，所述X(k)表示到k时刻为止网络中IP包的数目，将X(0),…,X(k)分配到若干子区间中，子区间的长度为d，则k时刻Holder指数的计算方法用下式表示为：

${\mathrm{Holder}}_k=\underset{d\→0}{\lim }\frac{log\left(\right|X\left(k+\frac{d}{2}\right)-X\left(k-\frac{d}{2}\right)\left|\right)}{log\left(d\right)}.$

3.根据权利要求1所述的基于分形与自适应数据融合的P2Pbotnet检测方法，其特征在于，所述冲突因子C的计算公式为：

设定识别框架U上有两个相互独立的证据，与所述两个相互独立的证据对应的基本信度赋值为m₁和m₂，所述两个相互独立的证据对应的焦元为A₁,…,A_p和B₁,…,B_q，则冲突因子C的计算方法用下式表示为：

4.根据权利要求1所述的基于分形与自适应数据融合的P2Pbotnet检测方法，其特征在于，步骤一中，采用Wireshark工具采集网络流量。