CN113271303A - 一种基于行为相似性分析的僵尸网络检测方法及系统 - Google Patents
一种基于行为相似性分析的僵尸网络检测方法及系统 Download PDFInfo
- Publication number
- CN113271303A CN113271303A CN202110522030.9A CN202110522030A CN113271303A CN 113271303 A CN113271303 A CN 113271303A CN 202110522030 A CN202110522030 A CN 202110522030A CN 113271303 A CN113271303 A CN 113271303A
- Authority
- CN
- China
- Prior art keywords
- host
- module
- network flow
- analysis
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是有关于一种基于行为相似性分析的僵尸网络检测方法,本发明通过在网络出口节点监测采集网络中的流量数据,基于大数据技术对采集的流量数据分别进行网络流量分析和主机行为分析,通过群体行为相似性交叉关联计算方法,从而可计算出属于同一僵尸网络的一组主机节点。实现上述方法的系统包括网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台。本发明能实时检测,确保检测效果的准确性,且检测简单、检测效率高,检测快速、测范围广,时效性好。
Description
技术领域
本发明涉及一种网络安全管理领域的僵尸网络检测技术,特别是涉及一种基于行为相似性分析的僵尸网络检测方法及系统。
背景技术
目前常用的僵尸网络检测技术主要是通过检测网络流量或者检测主机节点行为是否存在异常来进行判断,依据其实现原理大致可划分为以下四种:
(1)基于网络流量内容的检测技术
该检测技术需通过人工方式对网络流量内容特征进行分析,形成一个已知僵尸网络特征库,然后与网络流量内容进行匹配,从而判断网络中是否存在已知的僵尸网络。
(2)基于网络流量行为的检测技术
该检测技术基于僵尸网络在通信过程中具有一定的时间关联性和群体行为相似性这一特征,通过对网络流量中的异常行为进行分析来检测僵尸网络。
(3)基于时空关联性的检测技术
该检测技术利用攻击者对网络主机节点控制从事一些恶意行为,其在时间和空间上都存在一定的关联性,并结合该时空区间内的异常事件日志进行关联分析来检测僵尸网络。
(4)基于日志相关性的检测技术
针对上面几种常用的僵尸网络检测技术,虽然这些检测方法比较成熟,但依然存在一些问题和不足。
基于网络流量内容的检测技术仅能检测已知却具有明显特征的僵尸网络,对未知、变形或具有多种形态的僵尸网络无法检测。
基于网络流量行为的检测技术由于网络流量的多样性、复杂性及其数据量的庞大,导致该技术很难做到实时检测以及检测效果的准确性。
基于时空关联性的检测技术的检测范围有限,只能检测某些特定通信类型协议的僵尸网络。
基于日志相关性的检测技术是一种离线检测方法,时效性比较差。
除了上述常用的四种僵尸网络检测技术外,也有一些其他的检测手段,但也同样存在一些技术缺陷,例如基于DNS协议的检测技术,只能通过DNS信息进行检测,检测的效率比较差;基于蜜罐蜜网的检测技术,部署非常复杂,且只能对一种或一类僵尸网络进行检测。
该检测技术根据网络主机节点产生的日志文件中调用API信息的时间相关性来判断是否存在僵尸网络。
有鉴于上述现有的僵尸网络检测技术存在的缺陷,本发明人经过不断的研究、设计,并经反复试作及改进后,终于创设出确具实用价值的本发明。
发明内容
本发明的主要目的在于,克服现有的僵尸网络检测技术存在通用性不足的缺陷,而提供一种新的一种基于行为相似性分析的僵尸网络检测方法及系统,所要解决的技术问题是使其通用型性枪,非常适于实用。
本发明的另一目的在于,克服现有的僵尸网络检测技术存在的缺陷,而提供一种新型结构的一种基于行为相似性分析的僵尸网络检测方法及系统,所要解决的技术问题是使其能实时检测,确保检测效果的准确性,从而更加适于实用。
本发明的还一目的在于,克服现有的僵尸网络检测技术存在的缺陷,而提供一种新的一种基于行为相似性分析的僵尸网络检测方法及系统,所要解决的技术问题是使其检测范围大,时效性好,从而更加适于实用。
本发明的再一目的在于,克服现有的僵尸网络检测技术存在的缺陷,而提供一种种基于行为相似性分析的僵尸网络检测方法及系统,所要解决的技术问题是使其检测简单,检测效率高,从而更加适于实用,且具有产业上的利用价值。
本发明的构思是鉴于攻击者通过控制僵尸网络中的主机节点发起网络恶意行为攻击时,被其控的网络中的所有主机节点都会表现出群体相似的网络流量和执行相同的攻击行为这一特点,通过在网络出口节点监测采集网络中的流量数据,基于大数据技术对采集的流量数据分别进行网络流量分析和主机行为分析,通过群体行为相似性交叉关联计算方法,从而可计算出属于同一僵尸网络的一组主机节点。
本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种基于行为相似性分析的僵尸网络检测方法,包括以下步骤:
步骤1:在被监测的网络出口节点部署网络流量监测采集设备,通过流量镜像技术,将出口节点的流量引接到网络流量监测采集设备;
步骤2:网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流;
步骤3:将采集的网络通信数据流按预设的数据包文件生成规则,生成相应的数据包文件并进行落盘存储;
步骤4:对每个落盘存储的数据包文件进行解析处理,提取每个协议数据报文中的五元组信息即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容,并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析。
步骤5:基于分组存储的网络流量和主机行为,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。
本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。
进一步,步骤4所述的网络流量分析主要是通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表。
进一步,步骤4所述的主机行为分析主要通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表;并将这些分析结果在大数据平台进行存储。
进一步,聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下:
步骤4-11:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组;
步骤4-12:针对每一个分组,筛选出协议数据报文内容长度一致的四元组信息即源IP地址、源端口、目的IP地址、目的端口,并将这些四元组信息做去重处理,形成一个非重复的四元组信息集合;
步骤4-13:将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理,形成一个非重复的四元组信息并集;
步骤4-14:从步骤4-13所形成的非重复四元组信息并集中,提取所有的源IP地址、源端口之后做去重处理,从而形成一个只有源IP地址、源端口的新集合。
步骤4-15:从步骤4-14形成的新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机,并将该IP地址列表在大数据平台进行存储。
进一步,聚类分析出具有相似活动行为的主机的方法具体步骤如下:
步骤4-21:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组;
步骤4-22:针对每一个分组,分别基于目的IP地址、目的端口、协议号做去重处理,形成一个非重复的五元组信息,即源IP地址、目的IP地址、协议号、源端口、目的端口集合;
步骤4-23:将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后,形成一个非重复的五元组信息并集;
步骤4-24:针对步骤4-23所形成的非重复五元组信息并集,分别基于源端口、目的IP地址、目的端口、协议号做去重处理,从而形成一个新的五元组信息集合;
步骤4-25:从步骤4-24形成的五元组新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似活动行为的主机,并将该IP地址列表在大数据平台进行存储。
进一步,步骤5所述的群体行为相似性交叉关联计算方法,具体步骤如下:
步骤5-1:通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并,形成一个非重复的IP地址列表;
步骤5-2:基于步骤1形成的IP地址列表,从大数据平台中筛选出跟这些主机IP地址关联的五元组信息,即源IP地址、目的IP地址、协议号、源端口、目的端口,并形成集合;
步骤5-3:针对步骤2所形成的五元组信息集合,分别基于源端口、目的端口做去重处理,从而形成一个新的五元组信息集合;
步骤5-4:从步骤3形成的五元组新集合中提取源IP地址列表,该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点,并将该IP地址列表在大数据平台进行存储。
本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的为实现一种基于行为相似性分析的僵尸网络检测方法的系统,主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成,其中:
网络流量采集模块:基于综合配置管理模块定义的流量采集规则,通过流量镜像技术,负责采集被监测网络出口的网络流量数据;
数据包生成与解析处理模块:基于综合配置管理模块定义的数据包文件生成规则,将网络流量采集模块采集的流量数据生成相应的数据包文件,并通过网络流量存储模块进行落盘存储;同时对每个数据包文件进行解析处理,提取每个协议数据报文中的五元组信息,即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容,通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析。
网络流量存储模块:负责将生成的数据包文件进行落盘存储,将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储;
大数据存储平台:负责整个系统运行过程中所涉及的业务数据的存储处理,包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据;
网络流量分析模块:基于大数据平台存储的网络流量数据,通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表;
主机行为分析模块:基于大数据平台存储的网络流量数据,通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表;
群体行为相似性关联计算模块:基于网络流量分析模块和主机行为分析模块输出的结果,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点;
综合配置管理模块:负责整个系统运行过程中各类配置规则的管理,包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则;
系统运行状态监控模块:基于设定的系统运行状态监控指标,对整个系统运行过程进行综合监控,确保某个模块出现问题时,能够及时告警,方便对系统故障进行快速解决。
本发明与现有技术相比具有明显的优点和有益效果。其至少具有下列优点:
1、本发明能实时检测,确保检测效果的准确性。
2本发明检测范围广,时效性好。
3、本发明检测简单,检测效率高,检测快速、从而更加适于实用,且具有产业上的利用价值。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明基本业务逻辑框架图。
图2是本发明聚类分析出具有相似网络流量特征的主机的方法实现业务逻辑框架图。
图3是本发明聚类分析出具有相似活动行为的主机的方法实现业务逻辑框架图。
图4是本发明群体行为相似性交叉关联计算方法实现逻辑框架图。
图5是本发明系统关键组成部分逻辑关系结构图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于行为相似性分析的僵尸网络检测方法及系统,其具体实施方式、方法、步骤、结构、特征及其功效,详细说明如后。
请参阅图1、图2、图3、图4所示,本发明较佳实施例的一种基于行为相似性分析的僵尸网络检测方法,如图1所示,其主要包括以下步骤:
步骤1:在被监测的网络出口节点部署网络流量监测采集设备,通过流量镜像技术,将出口节点的流量引接到网络流量监测采集设备;
步骤2:网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流;
步骤3:将采集的网络通信数据流按预设的数据包文件生成规则,生成相应的数据包文件并进行落盘存储;
步骤4:对每个落盘存储的数据包文件进行解析处理,提取每个协议数据报文中的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)和协议数据报文内容,并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析;
步骤5:网络流量分析主要是通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表;主机行为分析主要通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表;并将这些分析结果在大数据平台进行存储;
步骤6:基于分组存储的网络流量和主机行为,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。
特别的,为了提升网络流量监测采集设备对被监测网络内部与外部网络通信的数据流的采集效率,基于本检测方法所构建的系统支持对采集规则的自定义功能,比如在设定的某个时间段内只采集DNS协议数据流和TCP协议数据流。
特别的,为了方便管理采集的网络通信数据流,基于本检测方法所构建的系统支持自定义数据包文件生成规则,并生成相应的数据包文件进行落盘存储,比如数据包文件生成规则为:网络流量监测监测设备编号_年月日_时分_数据包文件顺序号。
参阅图2所示,聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下:
步骤1:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组;
步骤2:针对每一个分组,筛选出协议数据报文内容长度一致的四元组信息(即源IP地址、源端口、目的IP地址、目的端口),并将这些四元组信息做去重处理,形成一个非重复的四元组信息集合;
步骤3:将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理,形成一个非重复的四元组信息并集;
步骤4:从步骤3所形成的非重复四元组信息并集中,提取所有的源IP地址、源端口之后做去重处理,从而形成一个只有源IP地址、源端口的新集合;
步骤5:从步骤4形成的新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机,并将该IP地址列表在大数据平台进行存储。
特别的,通过上述方法聚类出的具有相似网络流量特征的主机IP地址列表,由于聚类操作所涉及的数据源和聚类方法都可能存在一定的误差,因此得到的聚类结果会存在一定的误测或漏测的可能性。为提高本方法检测结果的准确性,还需要将此结果同主机行为分析聚类出的结果进行交叉关联计算。
参阅图3所示,聚类分析出具有相似活动行为的主机的方法的具体步骤如下:
步骤1:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组;
步骤2:针对每一个分组,分别基于目的IP地址、目的端口、协议号做去重处理,形成一个非重复的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)集合;
步骤3:将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后,形成一个非重复的五元组信息并集;
步骤4:针对步骤3所形成的非重复五元组信息并集,分别基于源端口、目的IP地址、目的端口、协议号做去重处理,从而形成一个新的五元组信息集合;
步骤5:从步骤4形成的五元组新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似活动行为的主机,并将该IP地址列表在大数据平台进行存储。
参阅图4所示,群体行为相似性交叉关联计算方法的就步骤如下:
步骤1:通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并,形成一个非重复的IP地址列表;
步骤2:基于步骤1形成的IP地址列表,从大数据平台中筛选出跟这些主机IP地址关联的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口),并形成集合;
步骤3:针对步骤2所形成的五元组信息集合,分别基于源端口、目的端口做去重处理,从而形成一个新的五元组信息集合;
步骤4:从步骤3形成的五元组新集合中提取源IP地址列表,该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点,并将该IP地址列表在大数据平台进行存储。
请参阅图5所示,本发明较佳实施例的一种基于行为相似性分析的僵尸网络检测方法的系统,其主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成所组成,其中:
网络流量采集模块:基于综合配置管理模块定义的流量采集规则,通过流量镜像技术,负责采集被监测网络出口的网络流量数据。
数据包生成与解析处理模块:基于综合配置管理模块定义的数据包文件生成规则,将网络流量采集模块采集的流量数据生成相应的数据包文件,并通过网络流量存储模块进行落盘存储;同时对每个数据包文件进行解析处理,提取每个协议数据报文中的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)和协议数据报文内容,通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析。
网络流量存储模块:负责将生成的数据包文件进行落盘存储,将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储。
大数据存储平台:负责整个系统运行过程中所涉及的业务数据的存储处理,包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据等等。
网络流量分析模块:基于大数据平台存储的网络流量数据,通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表。
主机行为分析模块:基于大数据平台存储的网络流量数据,通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表。
群体行为相似性关联计算模块:基于网络流量分析模块和主机行为分析模块输出的结果,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。
综合配置管理模块:负责整个系统运行过程中各类配置规则的管理,包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则等。
系统运行状态监控模块:基于设定的系统运行状态监控指标,对整个系统运行过程进行综合监控,确保某个模块出现问题时,能够及时告警,方便对系统故障进行快速解决。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (7)
1.一种基于行为相似性分析的僵尸网络检测方法,其特征在于:其包括以下步骤:
步骤1:在被监测的网络出口节点部署网络流量监测采集设备,通过流量镜像技术,将出口节点的流量引接到网络流量监测采集设备;
步骤2:网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流;
步骤3:将采集的网络通信数据流按预设的数据包文件生成规则,生成相应的数据包文件并进行落盘存储;
步骤4:对每个落盘存储的数据包文件进行解析处理,提取每个协议数据报文中的五元组信息即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容,并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析;
步骤5:基于分组存储的网络流量和主机行为,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。
2.根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法,其特征在于:步骤4所述的网络流量分析主要是通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表。
3.根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法,其特征在于:步骤4所述的主机行为分析主要通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表;并将这些分析结果在大数据平台进行存储。
4.根据权利要求2所述的一种基于行为相似性分析的僵尸网络检测方法,其特征在于:聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下:
步骤4-11:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组;
步骤4-12:针对每一个分组,筛选出协议数据报文内容长度一致的四元组信息即源IP地址、源端口、目的IP地址、目的端口,并将这些四元组信息做去重处理,形成一个非重复的四元组信息集合;
步骤4-13:将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理,形成一个非重复的四元组信息并集;
步骤4-14:从步骤4-13所形成的非重复四元组信息并集中,提取所有的源IP地址、源端口之后做去重处理,从而形成一个只有源IP地址、源端口的新集合。
步骤4-15:从步骤4-14形成的新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机,并将该IP地址列表在大数据平台进行存储。
5.根据权利要求3所述的一种基于行为相似性分析的僵尸网络检测方法,其特征在于:聚类分析出具有相似活动行为的主机的方法具体步骤如下:
步骤4-21:设定一个时间段,将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组;
步骤4-22:针对每一个分组,分别基于目的IP地址、目的端口、协议号做去重处理,形成一个非重复的五元组信息,即源IP地址、目的IP地址、协议号、源端口、目的端口集合;
步骤4-23:将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后,形成一个非重复的五元组信息并集;
步骤4-24:针对步骤4-23所形成的非重复五元组信息并集,分别基于源端口、目的IP地址、目的端口、协议号做去重处理,从而形成一个新的五元组信息集合;
步骤4-25:从步骤4-24形成的五元组新集合中提取源IP地址列表,该IP地址列表即为本方法聚类出的具有相似活动行为的主机,并将该IP地址列表在大数据平台进行存储。
6.根据根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法,其特征在于:步骤5所述的群体行为相似性交叉关联计算方法,具体步骤如下:
步骤5-1:通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并,形成一个非重复的IP地址列表;
步骤5-2:基于步骤1形成的IP地址列表,从大数据平台中筛选出跟这些主机IP地址关联的五元组信息,即源IP地址、目的IP地址、协议号、源端口、目的端口,并形成集合;
步骤5-3:针对步骤2所形成的五元组信息集合,分别基于源端口、目的端口做去重处理,从而形成一个新的五元组信息集合;
步骤5-4:从步骤3形成的五元组新集合中提取源IP地址列表,该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点,并将该IP地址列表在大数据平台进行存储。
7.为实现一种基于行为相似性分析的僵尸网络检测方法的系统,其特征在于主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成,其中:
网络流量采集模块:基于综合配置管理模块定义的流量采集规则,通过流量镜像技术,负责采集被监测网络出口的网络流量数据;
数据包生成与解析处理模块:基于综合配置管理模块定义的数据包文件生成规则,将网络流量采集模块采集的流量数据生成相应的数据包文件,并通过网络流量存储模块进行落盘存储;同时对每个数据包文件进行解析处理,提取每个协议数据报文中的五元组信息,即源I P地址、目的I P地址、协议号、源端口、目的端口和协议数据报文内容,通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析;
网络流量存储模块:负责将生成的数据包文件进行落盘存储,将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储;
大数据存储平台:负责整个系统运行过程中所涉及的业务数据的存储处理,包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据;
网络流量分析模块:基于大数据平台存储的网络流量数据,通过提取网络流量特征信息,聚类分析出具有相似网络流量特征的主机IP地址列表;
主机行为分析模块:基于大数据平台存储的网络流量数据,通过分析每个主机发送的网络数据流,发现该主机存在的可疑网络活动,聚类分析出具有相似活动行为的主机IP地址列表;
群体行为相似性关联计算模块:基于网络流量分析模块和主机行为分析模块输出的结果,通过采用群体行为相似性交叉关联计算方法,可计算出具有行为相似性且属于同一僵尸网络的一组主机节点;
综合配置管理模块:负责整个系统运行过程中各类配置规则的管理,包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则;
系统运行状态监控模块:基于设定的系统运行状态监控指标,对整个系统运行过程进行综合监控,确保某个模块出现问题时,能够及时告警,方便对系统故障进行快速解决。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110522030.9A CN113271303A (zh) | 2021-05-13 | 2021-05-13 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110522030.9A CN113271303A (zh) | 2021-05-13 | 2021-05-13 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113271303A true CN113271303A (zh) | 2021-08-17 |
Family
ID=77230601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110522030.9A Pending CN113271303A (zh) | 2021-05-13 | 2021-05-13 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113271303A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553583A (zh) * | 2022-03-01 | 2022-05-27 | 恒安嘉新(北京)科技股份公司 | 一种网络安全分析系统、方法、设备与存储介质 |
CN115001827A (zh) * | 2022-06-02 | 2022-09-02 | 电子科技大学 | 一种云端结合IoT僵尸网络检测原型系统及方法 |
CN115225369A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种僵尸网络的检测方法、装置及设备 |
CN116886380A (zh) * | 2023-07-24 | 2023-10-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
KR20110070182A (ko) * | 2009-12-18 | 2011-06-24 | 한국인터넷진흥원 | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 |
CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
CN105516096A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
CN109150859A (zh) * | 2018-08-02 | 2019-01-04 | 北京北信源信息安全技术有限公司 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
CN111327632A (zh) * | 2020-03-06 | 2020-06-23 | 深信服科技股份有限公司 | 一种僵尸主机检测方法、系统、设备及存储介质 |
-
2021
- 2021-05-13 CN CN202110522030.9A patent/CN113271303A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110070182A (ko) * | 2009-12-18 | 2011-06-24 | 한국인터넷진흥원 | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 |
CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
CN105516096A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
CN109150859A (zh) * | 2018-08-02 | 2019-01-04 | 北京北信源信息安全技术有限公司 | 一种基于网络流量流向相似性的僵尸网络检测方法 |
CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
CN111327632A (zh) * | 2020-03-06 | 2020-06-23 | 深信服科技股份有限公司 | 一种僵尸主机检测方法、系统、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
席瑞: "《基于相似性分析的僵尸网络检测研究与实现》", 31 March 2016 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553583A (zh) * | 2022-03-01 | 2022-05-27 | 恒安嘉新(北京)科技股份公司 | 一种网络安全分析系统、方法、设备与存储介质 |
CN114553583B (zh) * | 2022-03-01 | 2024-01-30 | 恒安嘉新(北京)科技股份公司 | 一种网络安全分析系统、方法、设备与存储介质 |
CN115001827A (zh) * | 2022-06-02 | 2022-09-02 | 电子科技大学 | 一种云端结合IoT僵尸网络检测原型系统及方法 |
CN115225369A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种僵尸网络的检测方法、装置及设备 |
CN116886380A (zh) * | 2023-07-24 | 2023-10-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
CN116886380B (zh) * | 2023-07-24 | 2024-02-13 | 北京中科网芯科技有限公司 | 僵尸网络的检测方法及其系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113271303A (zh) | 一种基于行为相似性分析的僵尸网络检测方法及系统 | |
US10404732B2 (en) | System and method for automated network monitoring and detection of network anomalies | |
US9584533B2 (en) | Performance enhancements for finding top traffic patterns | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
CN111600898A (zh) | 基于规则引擎的安全告警生成方法、装置及系统 | |
CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN111614627A (zh) | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 | |
CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
US20100050084A1 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
Karimi et al. | Distributed network traffic feature extraction for a real-time IDS | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
CN111935063A (zh) | 一种终端设备异常网络访问行为监测系统及方法 | |
CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
CN115134250A (zh) | 一种网络攻击溯源取证方法 | |
Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
CN117395076A (zh) | 基于大数据的网络感知异常检测系统与方法 | |
TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及系统 | |
Haseeb et al. | Iot attacks: Features identification and clustering | |
Liu et al. | Next generation internet traffic monitoring system based on netflow | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210817 |
|
WD01 | Invention patent application deemed withdrawn after publication |