CN113271303A - 一种基于行为相似性分析的僵尸网络检测方法及系统 - Google Patents

Abstract

本发明是有关于一种基于行为相似性分析的僵尸网络检测方法，本发明通过在网络出口节点监测采集网络中的流量数据，基于大数据技术对采集的流量数据分别进行网络流量分析和主机行为分析，通过群体行为相似性交叉关联计算方法，从而可计算出属于同一僵尸网络的一组主机节点。实现上述方法的系统包括网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台。本发明能实时检测，确保检测效果的准确性，且检测简单、检测效率高，检测快速、测范围广，时效性好。

Description

一种基于行为相似性分析的僵尸网络检测方法及系统

技术领域

本发明涉及一种网络安全管理领域的僵尸网络检测技术，特别是涉及一种基于行为相似性分析的僵尸网络检测方法及系统。

背景技术

目前常用的僵尸网络检测技术主要是通过检测网络流量或者检测主机节点行为是否存在异常来进行判断，依据其实现原理大致可划分为以下四种：

(1)基于网络流量内容的检测技术

该检测技术需通过人工方式对网络流量内容特征进行分析，形成一个已知僵尸网络特征库，然后与网络流量内容进行匹配，从而判断网络中是否存在已知的僵尸网络。

(2)基于网络流量行为的检测技术

该检测技术基于僵尸网络在通信过程中具有一定的时间关联性和群体行为相似性这一特征，通过对网络流量中的异常行为进行分析来检测僵尸网络。

(3)基于时空关联性的检测技术

该检测技术利用攻击者对网络主机节点控制从事一些恶意行为，其在时间和空间上都存在一定的关联性，并结合该时空区间内的异常事件日志进行关联分析来检测僵尸网络。

(4)基于日志相关性的检测技术

针对上面几种常用的僵尸网络检测技术，虽然这些检测方法比较成熟，但依然存在一些问题和不足。

基于网络流量内容的检测技术仅能检测已知却具有明显特征的僵尸网络，对未知、变形或具有多种形态的僵尸网络无法检测。

基于网络流量行为的检测技术由于网络流量的多样性、复杂性及其数据量的庞大，导致该技术很难做到实时检测以及检测效果的准确性。

基于时空关联性的检测技术的检测范围有限，只能检测某些特定通信类型协议的僵尸网络。

基于日志相关性的检测技术是一种离线检测方法，时效性比较差。

除了上述常用的四种僵尸网络检测技术外，也有一些其他的检测手段，但也同样存在一些技术缺陷，例如基于DNS协议的检测技术，只能通过DNS信息进行检测，检测的效率比较差；基于蜜罐蜜网的检测技术，部署非常复杂，且只能对一种或一类僵尸网络进行检测。

该检测技术根据网络主机节点产生的日志文件中调用API信息的时间相关性来判断是否存在僵尸网络。

有鉴于上述现有的僵尸网络检测技术存在的缺陷，本发明人经过不断的研究、设计,并经反复试作及改进后，终于创设出确具实用价值的本发明。

发明内容

本发明的主要目的在于，克服现有的僵尸网络检测技术存在通用性不足的缺陷，而提供一种新的一种基于行为相似性分析的僵尸网络检测方法及系统，所要解决的技术问题是使其通用型性枪，非常适于实用。

本发明的另一目的在于，克服现有的僵尸网络检测技术存在的缺陷，而提供一种新型结构的一种基于行为相似性分析的僵尸网络检测方法及系统，所要解决的技术问题是使其能实时检测，确保检测效果的准确性，从而更加适于实用。

本发明的还一目的在于，克服现有的僵尸网络检测技术存在的缺陷，而提供一种新的一种基于行为相似性分析的僵尸网络检测方法及系统，所要解决的技术问题是使其检测范围大，时效性好，从而更加适于实用。

本发明的再一目的在于，克服现有的僵尸网络检测技术存在的缺陷，而提供一种种基于行为相似性分析的僵尸网络检测方法及系统，所要解决的技术问题是使其检测简单，检测效率高，从而更加适于实用，且具有产业上的利用价值。

本发明的构思是鉴于攻击者通过控制僵尸网络中的主机节点发起网络恶意行为攻击时，被其控的网络中的所有主机节点都会表现出群体相似的网络流量和执行相同的攻击行为这一特点，通过在网络出口节点监测采集网络中的流量数据，基于大数据技术对采集的流量数据分别进行网络流量分析和主机行为分析，通过群体行为相似性交叉关联计算方法，从而可计算出属于同一僵尸网络的一组主机节点。

本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种基于行为相似性分析的僵尸网络检测方法，包括以下步骤：

步骤1：在被监测的网络出口节点部署网络流量监测采集设备，通过流量镜像技术，将出口节点的流量引接到网络流量监测采集设备；

步骤2：网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流；

步骤3：将采集的网络通信数据流按预设的数据包文件生成规则，生成相应的数据包文件并进行落盘存储；

步骤4：对每个落盘存储的数据包文件进行解析处理，提取每个协议数据报文中的五元组信息即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容，并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析。

步骤5：基于分组存储的网络流量和主机行为，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。

本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。

进一步，步骤4所述的网络流量分析主要是通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表。

进一步，步骤4所述的主机行为分析主要通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表；并将这些分析结果在大数据平台进行存储。

进一步，聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下：

步骤4-11：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组；

步骤4-12：针对每一个分组，筛选出协议数据报文内容长度一致的四元组信息即源IP地址、源端口、目的IP地址、目的端口，并将这些四元组信息做去重处理，形成一个非重复的四元组信息集合；

步骤4-13：将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理，形成一个非重复的四元组信息并集；

步骤4-14：从步骤4-13所形成的非重复四元组信息并集中，提取所有的源IP地址、源端口之后做去重处理，从而形成一个只有源IP地址、源端口的新集合。

步骤4-15：从步骤4-14形成的新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机，并将该IP地址列表在大数据平台进行存储。

进一步，聚类分析出具有相似活动行为的主机的方法具体步骤如下：

步骤4-21：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组；

步骤4-22：针对每一个分组，分别基于目的IP地址、目的端口、协议号做去重处理，形成一个非重复的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口集合；

步骤4-23：将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后，形成一个非重复的五元组信息并集；

步骤4-24：针对步骤4-23所形成的非重复五元组信息并集，分别基于源端口、目的IP地址、目的端口、协议号做去重处理，从而形成一个新的五元组信息集合；

步骤4-25：从步骤4-24形成的五元组新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似活动行为的主机，并将该IP地址列表在大数据平台进行存储。

进一步，步骤5所述的群体行为相似性交叉关联计算方法，具体步骤如下：

步骤5-1：通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并，形成一个非重复的IP地址列表；

步骤5-2：基于步骤1形成的IP地址列表，从大数据平台中筛选出跟这些主机IP地址关联的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口，并形成集合；

步骤5-3：针对步骤2所形成的五元组信息集合，分别基于源端口、目的端口做去重处理，从而形成一个新的五元组信息集合；

步骤5-4：从步骤3形成的五元组新集合中提取源IP地址列表，该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点，并将该IP地址列表在大数据平台进行存储。

本发明的目的及解决其技术问题还采用以下技术方案来实现。依据本发明提出的为实现一种基于行为相似性分析的僵尸网络检测方法的系统，主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成，其中：

网络流量采集模块：基于综合配置管理模块定义的流量采集规则，通过流量镜像技术，负责采集被监测网络出口的网络流量数据；

数据包生成与解析处理模块：基于综合配置管理模块定义的数据包文件生成规则，将网络流量采集模块采集的流量数据生成相应的数据包文件，并通过网络流量存储模块进行落盘存储；同时对每个数据包文件进行解析处理，提取每个协议数据报文中的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容，通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析。

网络流量存储模块：负责将生成的数据包文件进行落盘存储，将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储；

大数据存储平台：负责整个系统运行过程中所涉及的业务数据的存储处理，包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据；

网络流量分析模块：基于大数据平台存储的网络流量数据，通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表；

主机行为分析模块：基于大数据平台存储的网络流量数据，通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表；

群体行为相似性关联计算模块：基于网络流量分析模块和主机行为分析模块输出的结果，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点；

综合配置管理模块：负责整个系统运行过程中各类配置规则的管理，包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则；

系统运行状态监控模块：基于设定的系统运行状态监控指标，对整个系统运行过程进行综合监控，确保某个模块出现问题时，能够及时告警，方便对系统故障进行快速解决。

本发明与现有技术相比具有明显的优点和有益效果。其至少具有下列优点：

1、本发明能实时检测，确保检测效果的准确性。

2本发明检测范围广，时效性好。

3、本发明检测简单，检测效率高，检测快速、从而更加适于实用，且具有产业上的利用价值。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。

附图说明

图1是本发明基本业务逻辑框架图。

图2是本发明聚类分析出具有相似网络流量特征的主机的方法实现业务逻辑框架图。

图3是本发明聚类分析出具有相似活动行为的主机的方法实现业务逻辑框架图。

图4是本发明群体行为相似性交叉关联计算方法实现逻辑框架图。

图5是本发明系统关键组成部分逻辑关系结构图。

具体实施方式

为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的一种基于行为相似性分析的僵尸网络检测方法及系统，其具体实施方式、方法、步骤、结构、特征及其功效，详细说明如后。

请参阅图1、图2、图3、图4所示，本发明较佳实施例的一种基于行为相似性分析的僵尸网络检测方法，如图1所示，其主要包括以下步骤：

步骤1：在被监测的网络出口节点部署网络流量监测采集设备，通过流量镜像技术，将出口节点的流量引接到网络流量监测采集设备；

步骤2：网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流；

步骤3：将采集的网络通信数据流按预设的数据包文件生成规则，生成相应的数据包文件并进行落盘存储；

步骤4：对每个落盘存储的数据包文件进行解析处理，提取每个协议数据报文中的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)和协议数据报文内容，并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析；

步骤5：网络流量分析主要是通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表；主机行为分析主要通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表；并将这些分析结果在大数据平台进行存储；

步骤6：基于分组存储的网络流量和主机行为，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。

特别的，为了提升网络流量监测采集设备对被监测网络内部与外部网络通信的数据流的采集效率，基于本检测方法所构建的系统支持对采集规则的自定义功能，比如在设定的某个时间段内只采集DNS协议数据流和TCP协议数据流。

特别的，为了方便管理采集的网络通信数据流，基于本检测方法所构建的系统支持自定义数据包文件生成规则，并生成相应的数据包文件进行落盘存储，比如数据包文件生成规则为：网络流量监测监测设备编号_年月日_时分_数据包文件顺序号。

参阅图2所示，聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下：

步骤1：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组；

步骤2：针对每一个分组，筛选出协议数据报文内容长度一致的四元组信息(即源IP地址、源端口、目的IP地址、目的端口)，并将这些四元组信息做去重处理，形成一个非重复的四元组信息集合；

步骤3：将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理，形成一个非重复的四元组信息并集；

步骤4：从步骤3所形成的非重复四元组信息并集中，提取所有的源IP地址、源端口之后做去重处理，从而形成一个只有源IP地址、源端口的新集合；

步骤5：从步骤4形成的新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机，并将该IP地址列表在大数据平台进行存储。

特别的，通过上述方法聚类出的具有相似网络流量特征的主机IP地址列表，由于聚类操作所涉及的数据源和聚类方法都可能存在一定的误差，因此得到的聚类结果会存在一定的误测或漏测的可能性。为提高本方法检测结果的准确性，还需要将此结果同主机行为分析聚类出的结果进行交叉关联计算。

参阅图3所示，聚类分析出具有相似活动行为的主机的方法的具体步骤如下：

步骤1：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组；

步骤2：针对每一个分组，分别基于目的IP地址、目的端口、协议号做去重处理，形成一个非重复的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)集合；

步骤3：将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后，形成一个非重复的五元组信息并集；

步骤4：针对步骤3所形成的非重复五元组信息并集，分别基于源端口、目的IP地址、目的端口、协议号做去重处理，从而形成一个新的五元组信息集合；

步骤5：从步骤4形成的五元组新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似活动行为的主机，并将该IP地址列表在大数据平台进行存储。

参阅图4所示，群体行为相似性交叉关联计算方法的就步骤如下：

步骤1：通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并，形成一个非重复的IP地址列表；

步骤2：基于步骤1形成的IP地址列表，从大数据平台中筛选出跟这些主机IP地址关联的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)，并形成集合；

步骤3：针对步骤2所形成的五元组信息集合，分别基于源端口、目的端口做去重处理，从而形成一个新的五元组信息集合；

步骤4：从步骤3形成的五元组新集合中提取源IP地址列表，该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点，并将该IP地址列表在大数据平台进行存储。

请参阅图5所示，本发明较佳实施例的一种基于行为相似性分析的僵尸网络检测方法的系统，其主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成所组成，其中：

网络流量采集模块：基于综合配置管理模块定义的流量采集规则，通过流量镜像技术，负责采集被监测网络出口的网络流量数据。

数据包生成与解析处理模块：基于综合配置管理模块定义的数据包文件生成规则，将网络流量采集模块采集的流量数据生成相应的数据包文件，并通过网络流量存储模块进行落盘存储；同时对每个数据包文件进行解析处理，提取每个协议数据报文中的五元组信息(即源IP地址、目的IP地址、协议号、源端口、目的端口)和协议数据报文内容，通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析。

网络流量存储模块：负责将生成的数据包文件进行落盘存储，将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储。

大数据存储平台：负责整个系统运行过程中所涉及的业务数据的存储处理，包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据等等。

网络流量分析模块：基于大数据平台存储的网络流量数据，通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表。

主机行为分析模块：基于大数据平台存储的网络流量数据，通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表。

群体行为相似性关联计算模块：基于网络流量分析模块和主机行为分析模块输出的结果，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。

综合配置管理模块：负责整个系统运行过程中各类配置规则的管理，包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则等。

系统运行状态监控模块：基于设定的系统运行状态监控指标，对整个系统运行过程进行综合监控，确保某个模块出现问题时，能够及时告警，方便对系统故障进行快速解决。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims (7)

1.一种基于行为相似性分析的僵尸网络检测方法，其特征在于：其包括以下步骤：

步骤1：在被监测的网络出口节点部署网络流量监测采集设备，通过流量镜像技术，将出口节点的流量引接到网络流量监测采集设备；

步骤2：网络流量监测采集设备按预设的采集规则采集被监测网络内部与外部网络通信的数据流；

步骤3：将采集的网络通信数据流按预设的数据包文件生成规则，生成相应的数据包文件并进行落盘存储；

步骤4：对每个落盘存储的数据包文件进行解析处理，提取每个协议数据报文中的五元组信息即源IP地址、目的IP地址、协议号、源端口、目的端口和协议数据报文内容，并基于大数据处理技术加载到大数据平台存储做进一步的网络流量分析和主机行为分析；

步骤5：基于分组存储的网络流量和主机行为，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点。

2.根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法，其特征在于：步骤4所述的网络流量分析主要是通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表。

3.根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法，其特征在于：步骤4所述的主机行为分析主要通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表；并将这些分析结果在大数据平台进行存储。

4.根据权利要求2所述的一种基于行为相似性分析的僵尸网络检测方法，其特征在于：聚类分析出具有相似网络流量特征的主机的方法的主要步骤如下：

步骤4-11：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的协议号进行分组；

步骤4-12：针对每一个分组，筛选出协议数据报文内容长度一致的四元组信息即源IP地址、源端口、目的IP地址、目的端口，并将这些四元组信息做去重处理，形成一个非重复的四元组信息集合；

步骤4-13：将所有基于不同协议号进行分组所形成的每一个非重复四元组信息集合统一合并在一起后做去重处理，形成一个非重复的四元组信息并集；

步骤4-14：从步骤4-13所形成的非重复四元组信息并集中，提取所有的源IP地址、源端口之后做去重处理，从而形成一个只有源IP地址、源端口的新集合。

步骤4-15：从步骤4-14形成的新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似网络流量特征的主机，并将该IP地址列表在大数据平台进行存储。

5.根据权利要求3所述的一种基于行为相似性分析的僵尸网络检测方法，其特征在于：聚类分析出具有相似活动行为的主机的方法具体步骤如下：

步骤4-21：设定一个时间段，将该时间段内所有采集并加载到大数据平台的数据报文基于不同的源IP地址进行分组；

步骤4-22：针对每一个分组，分别基于目的IP地址、目的端口、协议号做去重处理，形成一个非重复的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口集合；

步骤4-23：将所有基于不同的源IP地址进行分组所形成的每一个非重复五元组信息集合统一合并在一起后，形成一个非重复的五元组信息并集；

步骤4-24：针对步骤4-23所形成的非重复五元组信息并集，分别基于源端口、目的IP地址、目的端口、协议号做去重处理，从而形成一个新的五元组信息集合；

步骤4-25：从步骤4-24形成的五元组新集合中提取源IP地址列表，该IP地址列表即为本方法聚类出的具有相似活动行为的主机，并将该IP地址列表在大数据平台进行存储。

6.根据根据权利要求1所述的一种基于行为相似性分析的僵尸网络检测方法，其特征在于：步骤5所述的群体行为相似性交叉关联计算方法，具体步骤如下：

步骤5-1：通过网络流量分析和主机行为分析聚类出的具有相似网络流量特征的主机IP地址列表和具有相似活动行为的主机IP地址列表进行去重合并，形成一个非重复的IP地址列表；

步骤5-2：基于步骤1形成的IP地址列表，从大数据平台中筛选出跟这些主机IP地址关联的五元组信息，即源IP地址、目的IP地址、协议号、源端口、目的端口，并形成集合；

步骤5-3：针对步骤2所形成的五元组信息集合，分别基于源端口、目的端口做去重处理，从而形成一个新的五元组信息集合；

步骤5-4：从步骤3形成的五元组新集合中提取源IP地址列表，该IP地址列表即为具有行为相似性且属于同一僵尸网络的一组主机节点，并将该IP地址列表在大数据平台进行存储。

7.为实现一种基于行为相似性分析的僵尸网络检测方法的系统，其特征在于主要由网络流量采集模块、数据包生成与解析处理模块、网络流量存储模块、网络流量分析模块、主机行为分析模块、群体行为相似性关联计算模块、综合配置管理模块、系统运行状态监控模块及大数据存储平台等组成，其中：

网络流量采集模块：基于综合配置管理模块定义的流量采集规则，通过流量镜像技术，负责采集被监测网络出口的网络流量数据；

数据包生成与解析处理模块：基于综合配置管理模块定义的数据包文件生成规则，将网络流量采集模块采集的流量数据生成相应的数据包文件，并通过网络流量存储模块进行落盘存储；同时对每个数据包文件进行解析处理，提取每个协议数据报文中的五元组信息，即源I P地址、目的I P地址、协议号、源端口、目的端口和协议数据报文内容，通过网络流量存储模块加载到大数据平台存储做进一步的网络流量分析和主机行为分析；

网络流量存储模块：负责将生成的数据包文件进行落盘存储，将解析的五元组信息和协议数据报文内容加载到大数据平台进行存储；

大数据存储平台：负责整个系统运行过程中所涉及的业务数据的存储处理，包括五元组信息、协议数据报文内容、各类聚类分析结果、各类配置规则、系统运行状态监控数据；

网络流量分析模块：基于大数据平台存储的网络流量数据，通过提取网络流量特征信息，聚类分析出具有相似网络流量特征的主机IP地址列表；

主机行为分析模块：基于大数据平台存储的网络流量数据，通过分析每个主机发送的网络数据流，发现该主机存在的可疑网络活动，聚类分析出具有相似活动行为的主机IP地址列表；

群体行为相似性关联计算模块：基于网络流量分析模块和主机行为分析模块输出的结果，通过采用群体行为相似性交叉关联计算方法，可计算出具有行为相似性且属于同一僵尸网络的一组主机节点；

综合配置管理模块：负责整个系统运行过程中各类配置规则的管理，包括流量采集规则、数据包文件生成规则、分析模型参数设置规则、系统运行状态关键指标的采集与监测规则；

系统运行状态监控模块：基于设定的系统运行状态监控指标，对整个系统运行过程进行综合监控，确保某个模块出现问题时，能够及时告警，方便对系统故障进行快速解决。

Images