CN113114677B - 一种僵尸网络检测方法及装置 - Google Patents

一种僵尸网络检测方法及装置 Download PDF

Info

Publication number
CN113114677B
CN113114677B CN202110394523.9A CN202110394523A CN113114677B CN 113114677 B CN113114677 B CN 113114677B CN 202110394523 A CN202110394523 A CN 202110394523A CN 113114677 B CN113114677 B CN 113114677B
Authority
CN
China
Prior art keywords
topological graph
community
community topological
graph
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110394523.9A
Other languages
English (en)
Other versions
CN113114677A (zh
Inventor
刘冰
马永征
李洪涛
杨学
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
China Internet Network Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Internet Network Information Center filed Critical China Internet Network Information Center
Priority to CN202110394523.9A priority Critical patent/CN113114677B/zh
Publication of CN113114677A publication Critical patent/CN113114677A/zh
Application granted granted Critical
Publication of CN113114677B publication Critical patent/CN113114677B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种僵尸网络检测方法及装置,获得网络通信流量拓扑图中的各个社团拓扑图;获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系;根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示;根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络,在检测过程中利用社团拓扑图中各节点的聚集程度和各节点之间的连接关系进行僵尸网络检测,从而无需依赖人工选取特征和网络协议特征,提高安全性且节省人工成本、提高检测效率。

Description

一种僵尸网络检测方法及装置
技术领域
本申请属于网络处理技术领域,尤其涉及一种僵尸网络检测方法及装置。
背景技术
僵尸网络是指一群可被攻击者远程控制的非合作终端,在僵尸网络中被感染的终端为僵尸主机,通过控制信道向僵尸主机发送控制命令来对僵尸主机进行一对多的操控,例如控制命令包括但不限于:分布式拒绝服务(即DDOS攻击)、垃圾邮件、钓鱼攻击、恶意软件分发、加密勒索等大规模攻击活动,以对僵尸主机和与僵尸主机位于同一僵尸网络中的其他终端进行远程攻击。
目前,针对僵尸网络检测可利用分类算法(如朴素贝叶斯、支持向量机、随机森林)或聚类算法(如DBSCAN、X-means),依据多种特征建立检测模型,通过检测模型识别僵尸网络。但是目前检测模型依赖人工选取特征进行训练和检测,如何选取合理特征是目前检测模型的一个难题且人工选取特征固定,固定特征也为攻击者提供了可乘之机,降低安全性。
发明内容
本申请提供一种僵尸网络检测方法及装置。
一方面,本申请提供一种僵尸网络检测方法,所述方法包括:
获得网络通信流量拓扑图中的各个社团拓扑图;
获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,所述社团拓扑图的特征矩阵用于表示所述社团拓扑图中各节点的集聚程度,所述社团拓扑图的邻接矩阵用于表示所述社团拓扑图中各节点之间的连接关系;
根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示;
根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络。
可选的,所述获得网络通信流量拓扑图中的各个社团拓扑图包括:
根据目标路径关系,对所述网络通信流量拓扑图进行聚类划分,得到所述网络通信流量拓扑图中的各个社团拓扑图,所述目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
可选的,所述获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵包括:
获得所述各个社团拓扑图中每个节点的聚集系数,所述节点的聚集系数用于表征所述社团拓扑图中的节点之间结集成团的程度;
根据所述各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;
根据所述各个社团拓扑图中节点之间的连接关系,得到所述各个社团拓扑图的邻接矩阵。
可选的,所述根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示,以及所述根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络,包括:
调用检测模型的特征提取层对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理,得到所述特征提取层输出的各个社团拓扑图中每层节点的嵌入表示;
调用所述检测模型的概率输出层对所述嵌入表示进行处理,得到所述概率输出层输出的所述各个社团拓扑图对应网络属于僵尸网络的概率,所述概率用于指示所述社团拓扑图对应网络是否属于僵尸网络;
其中,所述检测模型是基于历史网络通信流量拓扑图中各历史社团拓扑图的特征矩阵、各历史社团拓扑图的邻接矩阵和各历史社团拓扑图的真实标签,对所述特征提取层和所述概率输出层进行训练得到,所述历史社团拓扑图的标签用于指示所述历史社团拓扑图对应网络是否属于僵尸网络。
可选的,所述检测模型的训练过程包括:
获得所述各个历史社团拓扑图的特征矩阵和所述各个历史社团拓扑图的邻接矩阵;
将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到所述特征提取层中,以利用所述特征提取层中的各个子层依次对同一个历史社团拓扑图的特征矩阵和邻接矩阵进行处理,得到所述特征提取层的最后一层输出的历史社团拓扑图的嵌入表示,各个子层之间的传播关系满足
Figure BDA0003018038310000031
H(l+1)表示第(l+1)层的嵌入表示,W(l)为第l层的权重参数矩阵,σ为非线性激活函数,H(l)表示第l层的嵌入表示,
Figure BDA0003018038310000032
为根据同一个历史社团拓扑图的邻接矩阵归一化处理得到的矩阵;
将所述历史社团拓扑图的嵌入表示输入到所述概率输出层,得到所述概率输出层输出的所述历史社团拓扑图对应网络属于僵尸网络的概率;
根据所述历史社团拓扑图对应网络属于僵尸网络的概率,得到所述历史社团拓扑图的预测标签;
根据所述历史社团拓扑图的预测标签和真实标签,得到损失值,利用所述损失值对所述检测模型的模型参数进行调整直至得到的所有损失值中出现最小值,以所述最小值对应的检测模型对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理。
另一方面,本申请提供一种僵尸网络检测装置,所述装置包括:
第一获得单元,用于获得网络通信流量拓扑图中的各个社团拓扑图;
第二获得单元,用于获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,所述社团拓扑图的特征矩阵用于表示所述社团拓扑图中各节点的集聚程度,所述社团拓扑图的邻接矩阵用于表示所述社团拓扑图中各节点之间的连接关系;
第三获得单元,用于根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示;
确定单元,用于根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络。
可选的,所述第一获得单元,用于根据目标路径关系,对所述网络通信流量拓扑图进行聚类划分,得到所述网络通信流量拓扑图中的各个社团拓扑图,所述目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
可选的,所述第二获得单元,用于获得所述各个社团拓扑图中每个节点的聚集系数,所述节点的聚集系数用于表征所述社团拓扑图中的节点之间结集成团的程度;根据所述各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;根据所述各个社团拓扑图中节点之间的连接关系,得到所述各个社团拓扑图的邻接矩阵。
再一方面,本申请提供一种设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现上述僵尸网络检测方法。
再一方面,本申请提供一种计算机可读存储介质,当所述计算机可读存储介质中的指令由处理器执行时,使得处理器能够执行上述僵尸网络检测方法。
上述僵尸网络检测方法及装置,获得网络通信流量拓扑图中的各个社团拓扑图;获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系;根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示;根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络,实现以社团拓扑图为单位,对社团拓扑图对应网络是否属于僵尸网络进行检测,在进行检测过程中以社团拓扑图的特征矩阵和邻接矩阵为参照,以利用社团拓扑图中各节点的聚集程度和各节点之间的连接关系进行僵尸网络检测,从而在检测过程中无需依赖人工选取特征和网络协议特征,提高安全性且节省人工成本、提高检测效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种僵尸网络检测方法的流程图;
图2是本申请实施例提供的检测模型的训练过程的流程图;
图3是本申请实施例提供的一种僵尸网络检测装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参见图1,其示出了本申请实施例提供的一种僵尸网络检测方法的流程图,可以包括以下步骤:
101:获得网络通信流量拓扑图中的各个社团拓扑图。其中网络通信流量拓扑图可以是疑似含有僵尸网络的拓扑图,以对网络通信流量拓扑图进行僵尸网络检测。在对网络通信流量拓扑图进行僵尸网络检测过程中,以社团拓扑图为单位对网络通信流量拓扑图进行划分,从而以社团拓扑图为单位来检测该社团拓扑图中各节点组成的网络是否是僵尸网络,节点为组成网络通信流量拓扑图的终端、服务器等。
在本实施例中,获得各个社团拓扑图的目的是对网络通信流量拓扑图中关系紧密的节点进行聚类,关系紧密的节点被同时远程攻击的可能性越大,为此针对网络通信流量拓扑图来说,以社团拓扑图为单位进行僵尸网络检测,相对于以网络通信流量拓扑图为单位进行僵尸网络检测缩小排查范围。其中一种获得各个社团拓扑图的可行方式是:
根据目标路径关系,对网络通信流量拓扑图进行聚类划分,得到网络通信流量拓扑图中的各个社团拓扑图,目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
目标路径关系限定位于同一个社团拓扑图中一个节点到另一个节点经过的最大跳数,使得一个社团拓扑图中节点之间最多通过目标路径关系限定的最大跳数,排除节点之间通过跳数大于最大跳数的节点,使得位于同一社团拓扑图的节点之间能够彼此快速达到,且缩小社团拓扑图覆盖范围。在对网络通信流量拓扑进行聚类划分过程中,可将目标路径关系引入社团发现算法中,得到各个社团拓扑图。
102:获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系。
社团拓扑图的特征矩阵与节点的聚集程度相关,社团拓扑图的邻接矩阵与节点之间的连接关系相关,这些特征与网络流属性(如数据分组数量、数据分组平均字节)、时间(如相邻两条数据流平均间隔时间)、行为(如是否访问相同服务器)等人工选取特征和网络协议特征无关,相对于基于人工选取特征和网络协议特征进行僵尸网络检测来说,改变僵尸网络检测所参照的特征,且不同社团拓扑图中各节点的聚集程度和节点之间的连接关系也不同,使得社团拓扑图参照的特征是可变的,从而提高安全性。
在本实施例中,获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵的一种可行方式如下:
获得各个社团拓扑图中每个节点的聚集系数,节点的聚集系数用于表征社团拓扑图中的节点之间结集成团的程度;根据各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;根据各个社团拓扑图中节点之间的连接关系,得到各个社团拓扑图的邻接矩阵。每个节点的聚集系数的一种计算方式如下:
Figure BDA0003018038310000061
其中,ejk表示连接节点vi的邻居节点vj和邻居节点vk之间的边,Ni表示vi的邻居节点的集合,ki表示vi节点的邻居节点数量,E是社团拓扑图中所有边的集合,
Figure BDA0003018038310000062
表示节点vi在第0层的聚集系数,即初始状态得到特征矩阵时的聚集系数。
对于一个社团拓扑图来说,在得到每个节点的聚集系数之后,可通过这些节点的聚集系数组成一个矩阵,由同一个社团拓扑图中各节点的聚集系数组成的矩阵作为该社团拓扑图的特征矩阵。社团拓扑图的邻接矩阵是根据社团拓扑图中节点之间的连接关系获得,对于其获得过程本实施例不再详述。
103:根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示。在本实施例中,对同一社团拓扑图的特征矩阵和邻接矩阵进行卷积处理等,得到该社团拓扑图中每层节点的嵌入表示,以通过嵌入表示体现节点深层特征。
104:根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络。
如果确定社团拓扑图对应网络属于僵尸网络,可将僵尸网络中的节点作为疑似僵尸主机,供下游环节做进一步排查;如果确定社团拓扑图对应网络不属于僵尸网络,可标记该社团拓扑图中各节点为正常节点。
在本实施例中,确定各个社团拓扑图对应网络是否属于僵尸网络将僵尸网络检测转换成二分类问题,如根据社团拓扑图中每层节点的嵌入表示,得到社团拓扑图对应网络属于僵尸网络的概率,以根据概率确定是否属于僵尸网络。例如设置一个阈值,如果根据社团拓扑图中每层节点的嵌入表示得到的概率大于阈值,确定社团拓扑图对应网络属于僵尸网络,如果小于或等于阈值,确定社团拓扑图对应网络不属于僵尸网络。
上述僵尸网络检测方法,获得网络通信流量拓扑图中的各个社团拓扑图;获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系;根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示;根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络,实现以社团拓扑图为单位,对社团拓扑图对应网络是否属于僵尸网络进行检测,在进行检测过程中以社团拓扑图的特征矩阵和邻接矩阵为参照,以利用社团拓扑图中各节点的聚集程度和各节点之间的连接关系进行僵尸网络检测,从而在检测过程中无需依赖人工选取特征和网络协议特征,提高安全性且节省人工成本、提高检测效率。
在本实施例中,得到嵌入表示和概率的一种可行方式如下:
调用检测模型的特征提取层对各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵进行处理,得到特征提取层输出的各个社团拓扑图中每层节点的嵌入表示;调用检测模型的概率输出层对嵌入表示进行处理,得到概率输出层输出的各个社团拓扑图对应网络属于僵尸网络的概率,概率用于指示社团拓扑图对应网络是否属于僵尸网络。
其中,检测模型是基于历史网络通信流量拓扑图中各历史社团拓扑图的特征矩阵、各历史社团拓扑图的邻接矩阵和各历史社团拓扑图的真实标签,对特征提取层和概率输出层进行训练得到,历史社团拓扑图的标签用于指示历史社团拓扑图对应网络是否属于僵尸网络。
检测模型至少包括特征提取层和概率输出层,通过特征提取层得到嵌入表示,通过概率输出层得到属于僵尸网络的概率,这样对于一个网络通信流量拓扑图来说,获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵后,输入到检测模型中即可检测是否属于僵尸网络。
在本实施例中,检测模型的训练过程如图2所示,可以包括以下步骤:
201:获得各个历史社团拓扑图的特征矩阵和各个历史社团拓扑图的邻接矩阵。其中各个历史社团拓扑图是对历史网络通信流量拓扑图进行聚类分析得到,在获得历史社团拓扑图过程中也会引入目标路径关系进行聚类分析,如目标路径关系和社团发现算法(如Louvain算法、K-means算法等)进行聚类分析,得到历史社团拓扑图。将属于僵尸网络的历史社团拓扑图的真实标签标记为1,不属于僵尸网络的历史社团拓扑图的真实标签标记为0。
其中历史网络通信流量拓扑图可通过但不限于僵尸网络流量拓扑图和背景流量拓扑图进行混合而成,僵尸网络流量拓扑图取自若干个具有代表性的僵尸网络公开数据集,如从CHORD数据集、DE BRUIJN数据集等僵尸网络公开数据集中获得僵尸网络流量拓扑图;背景流量拓扑图取自全球主干网的公开流量数据,如采集CAIDA流量监视器从IP主干收集的近一年的所有流量数据作为背景流量拓扑图,将僵尸网络流量拓扑图汇入到背景流量拓扑图中,得到网络通信流量拓扑图。
历史社团拓扑图的特征矩阵用于表示历史社团拓扑图中各节点的集聚程度,历史社团拓扑图的邻接矩阵用于表示历史社团拓扑图中各节点之间的连接关系。获得历史社团拓扑图的特征矩阵和历史拓扑图的邻接矩阵的一种可行方式如下:
获得历史社团拓扑图中每个节点的聚集系数,节点的聚集系数用于表征历史社团拓扑图中的节点之间结集成团的程度;根据历史社团拓扑图中每个节点的聚集系数,得到历史社团拓扑图的特征矩阵;根据历史社团拓扑图中节点之间的连接关系,得到历史社团拓扑图的邻接矩阵,其过程请参见上述实施例中说明。
202:将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到特征提取层中,以利用特征提取层中的各个子层依次对同一个历史社团拓扑图的特征矩阵和邻接矩阵进行处理,得到特征提取层的最后一层输出的历史社团拓扑图的嵌入表示,各个子层之间的传播关系满足
Figure BDA0003018038310000091
H(l+1)表示第(l+1)层的嵌入表示,W(l)为第l层的权重参数矩阵,σ为非线性激活函数,H(l)表示第l层的嵌入表示,
Figure BDA0003018038310000092
为根据同一个历史社团拓扑图的邻接矩阵归一化处理得到的矩阵。如对于特征提取层的第0层,H(0)为特征矩阵和邻接矩阵组成的矩阵,W(0)为特征提取层的第0层的权重参数矩阵,那么特征提取层的第1层和第0层之间的传播关系为
Figure BDA0003018038310000093
以此类推,得到相邻两个子层之间的传输关系,从而得到特征提取层的第1层至最后一层的嵌入表示。
在将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到特征提取层中之前,可对邻接矩阵进行如下处理:
Figure BDA0003018038310000094
Figure BDA0003018038310000095
I为单位矩阵,A为邻接矩阵,D为
Figure BDA0003018038310000096
的度量矩阵,单位矩阵和度量矩阵可预先设置。
203:将历史社团拓扑图的嵌入表示输入到概率输出层,得到概率输出层输出的历史社团拓扑图对应网络属于僵尸网络的概率。
204:根据历史社团拓扑图对应网络属于僵尸网络的概率,得到历史社团拓扑图的预测标签。
205:根据历史社团拓扑图的预测标签和真实标签,得到损失值,利用损失值对检测模型的模型参数进行调整直至得到的所有损失值中出现最小值,以最小值对应的检测模型对各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵进行处理。
在本实施例中,将预测标签和真实标签通过交叉熵函数进行比较,以得到损失值,如通过但不限于
Figure BDA0003018038310000097
得到损失值L,
Figure BDA0003018038310000098
为预测标签,yi为真实标签。将损失值反向传播至检测模型,对检测模型的模型参数进行调整,以优化检测模型的模型参数并且不断更新检测模型的特征提取层获得的嵌入表示,得到最优的检测模型,即最小值对应的检测模型。
例如通过交叉熵函数作为损失函数计算损失值,利用损失值和梯度下降方法不断调整检测模型的模型参数,训练特征提取层和概率输出层,以得到每次调整检测模型的模型参数时概率输出层输出的概率,再计算损失值,以此反复训练,直到得到最优的检测模型,即得到的所有损失值出现一个最小值时的检测模型为最优的检测模型。利用该检测模型对网络通信流量拓扑图进行僵尸网络检测,将僵尸网络检测问题转换为图分类问题,高效准确识别出属于僵尸网络的社团拓扑图,供下游环节进一步排查,缩小检测范围。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
请参见图3,其示出了本申请实施例提供的一种僵尸网络检测装置的可选结构,可以包括:第一获得单元10、第二获得单元20、第三获得单元30和确定单元40。
第一获得单元10,用于获得网络通信流量拓扑图中的各个社团拓扑图。
在本实施例中,获得各个社团拓扑图的目的是对网络通信流量拓扑图中关系紧密的节点进行聚类,关系紧密的节点被同时远程攻击的可能性越大,为此针对网络通信流量拓扑图来说,以社团拓扑图为单位进行僵尸网络检测,相对于以网络通信流量拓扑图为单位进行僵尸网络检测缩小排查范围。一种方式是:第一获得单元10根据目标路径关系,对网络通信流量拓扑图进行聚类划分,得到网络通信流量拓扑图中的各个社团拓扑图,目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
第二获得单元20,用于获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系。
社团拓扑图的特征矩阵与节点的聚集程度相关,社团拓扑图的邻接矩阵与节点之间的连接关系相关,这些特征与网络流属性(如数据分组数量、数据分组平均字节)、时间(如相邻两条数据流平均间隔时间)、行为(如是否访问相同服务器)等人工选取特征和网络协议特征无关,相对于基于人工选取特征和网络协议特征进行僵尸网络检测来说,改变僵尸网络检测所参照的特征,且不同社团拓扑图中各节点的聚集程度和节点之间的连接关系也不同,使得社团拓扑图参照的特征是可变的,从而提高安全性。
其中,第二获得单元20获得特征矩阵和邻接矩阵的一种方式可以是:获得各个社团拓扑图中每个节点的聚集系数,节点的聚集系数用于表征社团拓扑图中的节点之间结集成团的程度;根据各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;根据各个社团拓扑图中节点之间的连接关系,得到各个社团拓扑图的邻接矩阵。
每个节点的聚集系数的一种计算方式如下:
Figure BDA0003018038310000111
其中,ejk表示连接节点vi的邻居节点vj和邻居节点vk之间的边,Ni表示vi的邻居节点的集合,ki表示vi节点的邻居节点数量,E是社团拓扑图中所有边的集合,
Figure BDA0003018038310000112
表示节点vi在第0层的聚集系数,即初始状态得到特征矩阵时的聚集系数。
对于一个社团拓扑图来说,在得到每个节点的聚集系数之后,可通过这些节点的聚集系数组成一个矩阵,由同一个社团拓扑图中各节点的聚集系数组成的矩阵作为该社团拓扑图的特征矩阵。社团拓扑图的邻接矩阵是根据社团拓扑图中节点之间的连接关系获得,对于其获得过程本实施例不再详述。
第三获得单元30,用于根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示。在本实施例中,对同一社团拓扑图的特征矩阵和邻接矩阵进行卷积处理等,得到该社团拓扑图中每层节点的嵌入表示,以通过嵌入表示体现节点深层特征。
确定单元40,用于根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络。
例如,确定单元40调用检测模型的特征提取层对各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵进行处理,得到特征提取层输出的各个社团拓扑图中每层节点的嵌入表示;调用检测模型的概率输出层对嵌入表示进行处理,得到概率输出层输出的各个社团拓扑图对应网络属于僵尸网络的概率,概率用于指示社团拓扑图对应网络是否属于僵尸网络;
其中,检测模型是基于历史网络通信流量拓扑图中各历史社团拓扑图的特征矩阵、各历史社团拓扑图的邻接矩阵和各历史社团拓扑图的真实标签,对特征提取层和概率输出层进行训练得到,历史社团拓扑图的标签用于指示历史社团拓扑图对应网络是否属于僵尸网络。
在本实施例中,僵尸网络检测装置还可以包括训练单元,用于得到检测模型,其中训练单元得到检测模型的过程如下:
1)获得各个历史社团拓扑图的特征矩阵和各个历史社团拓扑图的邻接矩阵;
2)将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到特征提取层中,以利用特征提取层中的各个子层依次对同一个历史社团拓扑图的特征矩阵和邻接矩阵进行处理,得到特征提取层的最后一层输出的历史社团拓扑图的嵌入表示,各个子层之间的传播关系满足
Figure BDA0003018038310000121
H(l+1)表示第(l+1)层的嵌入表示,W(l)为第l层的权重参数矩阵,σ为非线性激活函数,H(l)表示第l层的嵌入表示,
Figure BDA0003018038310000122
为根据同一个历史社团拓扑图的邻接矩阵归一化处理得到的矩阵;
3)将历史社团拓扑图的嵌入表示输入到概率输出层,得到概率输出层输出的历史社团拓扑图对应网络属于僵尸网络的概率;
4)根据历史社团拓扑图对应网络属于僵尸网络的概率,得到历史社团拓扑图的预测标签;
5)根据历史社团拓扑图的预测标签和真实标签,得到损失值,利用损失值对检测模型的模型参数进行调整直至得到的所有损失值中出现最小值,以最小值对应的检测模型对各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵进行处理。
上述僵尸网络检测装置,获得网络通信流量拓扑图中的各个社团拓扑图;获得各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,社团拓扑图的特征矩阵用于表示社团拓扑图中各节点的集聚程度,社团拓扑图的邻接矩阵用于表示社团拓扑图中各节点之间的连接关系;根据各个社团拓扑图的特征矩阵和各个社团拓扑图的邻接矩阵,得到各个社团拓扑图中每层节点的嵌入表示;根据各个社团拓扑图中每层节点的嵌入表示,确定各个社团拓扑图对应网络是否属于僵尸网络,实现以社团拓扑图为单位,对社团拓扑图对应网络是否属于僵尸网络进行检测,在进行检测过程中以社团拓扑图的特征矩阵和邻接矩阵为参照,以利用社团拓扑图中各节点的聚集程度和各节点之间的连接关系进行僵尸网络检测,从而在检测过程中无需依赖人工选取特征和网络协议特征,提高安全性且节省人工成本、提高检测效率。
本申请实施例还提供一种设备,包括:处理器和用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现上述僵尸网络检测方法。
本申请实施例还提供一种计算机可读存储介质,当计算机可读存储介质中的指令由处理器执行时,使得处理器能够执行上述僵尸网络检测方法。
需要说明的是,本说明书中的各个实施例可以采用递进的方式描述、本说明书中各实施例中记载的特征可以相互替换或者组合,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (8)

1.一种僵尸网络检测方法,其特征在于,所述方法包括:
获得网络通信流量拓扑图中的各个社团拓扑图;
获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,所述社团拓扑图的特征矩阵用于表示所述社团拓扑图中各节点的集聚程度,所述社团拓扑图的邻接矩阵用于表示所述社团拓扑图中各节点之间的连接关系;
根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示;
根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络;
所述获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵包括:
获得所述各个社团拓扑图中每个节点的聚集系数,所述节点的聚集系数用于表征所述社团拓扑图中的节点之间结集成团的程度;
根据所述各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;
根据所述各个社团拓扑图中节点之间的连接关系,得到所述各个社团拓扑图的邻接矩阵。
2.根据权利要求1所述的方法,其特征在于,所述获得网络通信流量拓扑图中的各个社团拓扑图包括:
根据目标路径关系,对所述网络通信流量拓扑图进行聚类划分,得到所述网络通信流量拓扑图中的各个社团拓扑图,所述目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示,以及所述根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络,包括:
调用检测模型的特征提取层对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理,得到所述特征提取层输出的各个社团拓扑图中每层节点的嵌入表示;
调用所述检测模型的概率输出层对所述嵌入表示进行处理,得到所述概率输出层输出的所述各个社团拓扑图对应网络属于僵尸网络的概率,所述概率用于指示所述社团拓扑图对应网络是否属于僵尸网络;
其中,所述检测模型是基于历史网络通信流量拓扑图中各历史社团拓扑图的特征矩阵、各历史社团拓扑图的邻接矩阵和各历史社团拓扑图的真实标签,对所述特征提取层和所述概率输出层进行训练得到,所述历史社团拓扑图的标签用于指示所述历史社团拓扑图对应网络是否属于僵尸网络。
4.根据权利要求3所述的方法,其特征在于,所述检测模型的训练过程包括:
获得所述各个历史社团拓扑图的特征矩阵和所述各个历史社团拓扑图的邻接矩阵;
将同一个历史社团拓扑图的特征矩阵和邻接矩阵输入到所述特征提取层中,以利用所述特征提取层中的各个子层依次对同一个历史社团拓扑图的特征矩阵和邻接矩阵进行处理,得到所述特征提取层的最后一层输出的历史社团拓扑图的嵌入表示,各个子层之间的传播关系满足
Figure FDA0003733424410000022
H(l+1)表示第(l+1)层的嵌入表示,W(l)为第l层的权重参数矩阵,σ为非线性激活函数,H(l)表示第l层的嵌入表示,
Figure FDA0003733424410000021
为根据同一个历史社团拓扑图的邻接矩阵归一化处理得到的矩阵;
将所述历史社团拓扑图的嵌入表示输入到所述概率输出层,得到所述概率输出层输出的所述历史社团拓扑图对应网络属于僵尸网络的概率;
根据所述历史社团拓扑图对应网络属于僵尸网络的概率,得到所述历史社团拓扑图的预测标签;
根据所述历史社团拓扑图的预测标签和真实标签,得到损失值,利用所述损失值对所述检测模型的模型参数进行调整直至得到的所有损失值中出现最小值,以所述最小值对应的检测模型对所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵进行处理。
5.一种僵尸网络检测装置,其特征在于,所述装置包括:
第一获得单元,用于获得网络通信流量拓扑图中的各个社团拓扑图;
第二获得单元,用于获得所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,所述社团拓扑图的特征矩阵用于表示所述社团拓扑图中各节点的集聚程度,所述社团拓扑图的邻接矩阵用于表示所述社团拓扑图中各节点之间的连接关系;
所述第二获得单元,具体用于获得所述各个社团拓扑图中每个节点的聚集系数,所述节点的聚集系数用于表征所述社团拓扑图中的节点之间结集成团的程度;根据所述各个社团拓扑图中每个节点的聚集系数,得到各个社团拓扑图的特征矩阵;根据所述各个社团拓扑图中节点之间的连接关系,得到所述各个社团拓扑图的邻接矩阵;
第三获得单元,用于根据所述各个社团拓扑图的特征矩阵和所述各个社团拓扑图的邻接矩阵,得到所述各个社团拓扑图中每层节点的嵌入表示;
确定单元,用于根据所述各个社团拓扑图中每层节点的嵌入表示,确定所述各个社团拓扑图对应网络是否属于僵尸网络。
6.根据权利要求5所述的装置,其特征在于,所述第一获得单元,用于根据目标路径关系,对所述网络通信流量拓扑图进行聚类划分,得到所述网络通信流量拓扑图中的各个社团拓扑图,所述目标路径关系用于指示从一个节点到另一个节点经过的最大跳数。
7.一种设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至4中任一项所述的僵尸网络检测方法。
8.一种计算机可读存储介质,其特征在于,当所述计算机可读存储介质中的指令由处理器执行时,使得处理器能够执行如权利要求1至4中任一项所述的僵尸网络检测方法。
CN202110394523.9A 2021-04-13 2021-04-13 一种僵尸网络检测方法及装置 Active CN113114677B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110394523.9A CN113114677B (zh) 2021-04-13 2021-04-13 一种僵尸网络检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110394523.9A CN113114677B (zh) 2021-04-13 2021-04-13 一种僵尸网络检测方法及装置

Publications (2)

Publication Number Publication Date
CN113114677A CN113114677A (zh) 2021-07-13
CN113114677B true CN113114677B (zh) 2022-09-27

Family

ID=76716446

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110394523.9A Active CN113114677B (zh) 2021-04-13 2021-04-13 一种僵尸网络检测方法及装置

Country Status (1)

Country Link
CN (1) CN113114677B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113780431A (zh) * 2021-09-15 2021-12-10 杭州英视信息科技有限公司 基于神经网络技术的网络流量信息分析方法及系统
CN114338147B (zh) * 2021-12-28 2023-08-11 中国银联股份有限公司 一种口令爆破攻击的检测方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414711A (zh) * 2013-08-05 2013-11-27 哈尔滨工业大学 基于信任的网络群体异常感知方法
CN103888541A (zh) * 2014-04-01 2014-06-25 中国矿业大学 一种融合拓扑势和谱聚类的社区发现方法及系统
CN110430224A (zh) * 2019-09-12 2019-11-08 贵州电网有限责任公司 一种基于随机块模型的通信网络异常行为检测方法
CN111371611A (zh) * 2020-02-28 2020-07-03 广州大学 一种基于深度学习的加权网络社区发现方法及装置
CN111476261A (zh) * 2019-12-16 2020-07-31 天津工业大学 一种社区增强的图卷积神经网络方法
CN112529168A (zh) * 2020-12-29 2021-03-19 中国人民解放军国防科技大学 一种基于gcn的属性多层网络表示学习方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104035978B (zh) * 2014-05-26 2017-06-30 南京泰锐斯通信科技有限公司 社团发现方法及系统
CN104618377B (zh) * 2015-02-04 2018-01-30 上海交通大学 基于NetFlow的僵尸网络检测系统与检测方法
US10462159B2 (en) * 2016-06-22 2019-10-29 Ntt Innovation Institute, Inc. Botnet detection system and method
CN108230174B (zh) * 2018-01-19 2021-01-29 隆中天 一种基于谱分析的工业互联网社团检测的方法
US10771488B2 (en) * 2018-04-10 2020-09-08 Cisco Technology, Inc. Spatio-temporal anomaly detection in computer networks using graph convolutional recurrent neural networks (GCRNNs)

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414711A (zh) * 2013-08-05 2013-11-27 哈尔滨工业大学 基于信任的网络群体异常感知方法
CN103888541A (zh) * 2014-04-01 2014-06-25 中国矿业大学 一种融合拓扑势和谱聚类的社区发现方法及系统
CN110430224A (zh) * 2019-09-12 2019-11-08 贵州电网有限责任公司 一种基于随机块模型的通信网络异常行为检测方法
CN111476261A (zh) * 2019-12-16 2020-07-31 天津工业大学 一种社区增强的图卷积神经网络方法
CN111371611A (zh) * 2020-02-28 2020-07-03 广州大学 一种基于深度学习的加权网络社区发现方法及装置
CN112529168A (zh) * 2020-12-29 2021-03-19 中国人民解放军国防科技大学 一种基于gcn的属性多层网络表示学习方法

Also Published As

Publication number Publication date
CN113114677A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
Zhou et al. Automating botnet detection with graph neural networks
Alauthman et al. An efficient reinforcement learning-based Botnet detection approach
Elbasiony et al. A hybrid network intrusion detection framework based on random forests and weighted k-means
Strayer et al. Botnet detection based on network behavior
Lu et al. Clustering botnet communication traffic based on n-gram feature selection
CN108632269B (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
Joseph et al. Cross-layer detection of sinking behavior in wireless ad hoc networks using SVM and FDA
Soe et al. Rule generation for signature based detection systems of cyber attacks in iot environments
US20150188941A1 (en) Method and system for predicting victim users and detecting fake user accounts in online social networks
CN113114677B (zh) 一种僵尸网络检测方法及装置
Eslahi et al. Periodicity classification of HTTP traffic to detect HTTP Botnets
Khedr et al. FMDADM: A multi-layer DDoS attack detection and mitigation framework using machine learning for stateful SDN-based IoT networks
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
US9559918B2 (en) Ground truth evaluation for voting optimization
Öke et al. A denial of service detector based on maximum likelihood detection and the random neural network
Rathore et al. Hadoop based real-time intrusion detection for high-speed networks
Blaise et al. Botfp: Fingerprints clustering for bot detection
Thanuja et al. Black hole detection using evolutionary algorithm for IDS/IPS in MANETs
Cherian et al. Secure SDN–IoT framework for DDoS attack detection using deep learning and counter based approach
Ma et al. DDoS detection for 6G Internet of Things: Spatial-temporal trust model and new architecture
Hostiadi et al. Hybrid model for bot group activity detection using similarity and correlation approaches based on network traffic flows analysis
Wang et al. Botnet detection using social graph analysis
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
Dao et al. JointNIDS: efficient joint traffic management for on-device network intrusion detection
Dao et al. Optimal network intrusion detection assignment in multi-level IoT systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant