CN202652243U - 基于节点的僵尸网络检测系统 - Google Patents

基于节点的僵尸网络检测系统 Download PDF

Info

Publication number
CN202652243U
CN202652243U CN 201220292800 CN201220292800U CN202652243U CN 202652243 U CN202652243 U CN 202652243U CN 201220292800 CN201220292800 CN 201220292800 CN 201220292800 U CN201220292800 U CN 201220292800U CN 202652243 U CN202652243 U CN 202652243U
Authority
CN
China
Prior art keywords
botnet
control server
node
system based
detecting system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 201220292800
Other languages
English (en)
Inventor
尹春勇
孙汝霞
杨磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Information Science and Technology
Original Assignee
Nanjing University of Information Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Information Science and Technology filed Critical Nanjing University of Information Science and Technology
Priority to CN 201220292800 priority Critical patent/CN202652243U/zh
Application granted granted Critical
Publication of CN202652243U publication Critical patent/CN202652243U/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本实用新型公开了一种基于节点的僵尸网络检测系统,属于计算机网络入侵检测领域。该系统包括网络数据边缘捕获器、中心捕获器、检测机和控制服务器,网络数据边缘捕获器和中心捕获器分别与控制服务器连接,控制服务器与检测机连接。该检测系统适合大规模实时性的僵尸检测,防御范围更广、效率更高。

Description

基于节点的僵尸网络检测系统
 技术领域:
本实用新型涉及一种基于节点的僵尸网络检测系统,属于计算机网络入侵检测领域。
背景技术:
僵尸网络是一种从传统恶意代码进化而来的新型攻击形式。低成本高效地僵尸网络通过发送垃圾邮件、拒绝服务攻击、窃取敏感信息等恶意活动已对正常的网络服务造成严重威胁。僵尸网络研究涉及防御或抑制、迁移、传播、检测、可视化等各个方面,而其中的僵尸网络检测是对其进行有效防御和反制的基本前提。现有多数检测算法均基于包或流方式。虽然这类算法在很多实际环境中取得了较高的准确率等性能,但导致了诸如检测率低、特征敏感、处理数据量大及无法识别未知僵尸等问题。
实用新型内容:
为了解决上述问题,本实用新型提供一种基于节点的僵尸网络检测系统,适合大规模实时性的僵尸检测,能够发现未知的新型僵尸,防御范围更广、效率更高。
本实用新型为解决其技术问题采用如下技术方案:
一种基于节点的僵尸网络检测系统,包括网络数据边缘捕获器、中心捕获器、检测机和控制服务器,网络数据边缘捕获器和中心捕获器分别与控制服务器连接,控制服务器与检测机连接。
本实用新型的有益效果如下:
1、通过协调采样周期和时间窗口,减少需处理的捕获数据量。
2、通过由检测率和准确度得到的综合因子改善评价指标。
3、通过节点的层面提高对僵尸的检测范围。
4、适合大规模实时性的僵尸检测,能够发现未知的新型僵尸,防御范围更广、效率更高。
附图说明:
图1为本实用新型的僵尸网络检测系统结构示意图。
图2为本实用新型的僵尸网络检测流程示意图。
具体实施方式
下面结合附图对本发明创造做进一步详细说明。
如图1所示,僵尸网络检测系统包括网络数据边缘捕获器、中心捕获器、检测机、控制服务器。网络数据边缘捕获器和中心捕获器分别与控制服务器连接,控制服务器与检测机连接。
如图2所示,为僵尸网络检测流程图,网络数据边缘捕获器和中心捕获器分别放置在核心交换机和中心路由器的位置上,网络数据边缘捕获器和中心捕获器负责根据规则进行信息的获取,获取后的单个节点数据完成后通过相关协议与控制服务器交互,由控制服务器完成后续的合并处理工作,最后处理后的数据交给检测机进行检测并生成报告结果。其中网络数据边缘捕获器与控制服务器,中心捕获器与控制服务器,控制服务器与检测机之间通过通信线路(有线线路或无线线路)相互连接。
采用节点的策略处理网络中的数据。节点对应一个IP地址,一个通信过程是节点间的相互交互,即一个通信过程有两个以上的流组成,而节点包含多个通信过程。以节点为检测对象,所表现的新特性主要有节点总的连接成功率,节点含有的通信个数,通信过程所使用的协议分布,节点的通信量等。
提取的节点特征包括:协议数、流的个数、发送包数、发送包与接受包数比、发送包平均长、发送包与接受包平均长度比等。
采用节点策略提取特征后,对数据进行训练学习,形成检测模型。在提取节点特征时,采用时间抽样方法提取需处理的网络数据,即隔一定的周期进行网络数据的采集,时间窗口控制在60秒-180秒之间。
生成检测报告时,对僵尸检测的效率采用综合因子指标进行评价,综合因子有检测率和精确率构成。 

Claims (1)

1.一种基于节点的僵尸网络检测系统,其特征在于包括网络数据边缘捕获器、中心捕获器、检测机和控制服务器,网络数据边缘捕获器和中心捕获器分别与控制服务器连接,控制服务器与检测机连接。
CN 201220292800 2012-06-21 2012-06-21 基于节点的僵尸网络检测系统 Expired - Fee Related CN202652243U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201220292800 CN202652243U (zh) 2012-06-21 2012-06-21 基于节点的僵尸网络检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201220292800 CN202652243U (zh) 2012-06-21 2012-06-21 基于节点的僵尸网络检测系统

Publications (1)

Publication Number Publication Date
CN202652243U true CN202652243U (zh) 2013-01-02

Family

ID=47421268

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201220292800 Expired - Fee Related CN202652243U (zh) 2012-06-21 2012-06-21 基于节点的僵尸网络检测系统

Country Status (1)

Country Link
CN (1) CN202652243U (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603521A (zh) * 2016-12-09 2017-04-26 北京安天电子设备有限公司 一种网络控制节点探测方法及系统
US20210092142A1 (en) * 2016-02-25 2021-03-25 Imperva, Inc. Techniques for targeted botnet protection
CN115329388A (zh) * 2022-10-17 2022-11-11 南京信息工程大学 一种面向联邦生成对抗网络的隐私增强方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092142A1 (en) * 2016-02-25 2021-03-25 Imperva, Inc. Techniques for targeted botnet protection
CN106603521A (zh) * 2016-12-09 2017-04-26 北京安天电子设备有限公司 一种网络控制节点探测方法及系统
CN115329388A (zh) * 2022-10-17 2022-11-11 南京信息工程大学 一种面向联邦生成对抗网络的隐私增强方法

Similar Documents

Publication Publication Date Title
CN109302378B (zh) 一种SDN网络DDoS攻击检测方法
CN105577679B (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN105245403B (zh) 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法
CN104580173B (zh) 一种sdn异常检测与阻截方法及系统
CN100384149C (zh) 突发性异常网络流量的检测与监控方法
CN101753377B (zh) 一种p2p_botnet实时检测方法及系统
CN104753946A (zh) 一种基于网络流量元数据的安全分析框架
CN109714322A (zh) 一种检测网络异常流量的方法及其系统
CN102571487B (zh) 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN108494746A (zh) 一种网络端口流量异常检测方法及系统
CN105847283A (zh) 一种基于信息熵方差分析的异常流量检测方法
CN105187437B (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN202652243U (zh) 基于节点的僵尸网络检测系统
CN107566192B (zh) 一种异常流量处理方法及网管设备
CN103152442A (zh) 一种僵尸网络域名的检测与处理方法及系统
CN104618377A (zh) 基于NetFlow的僵尸网络检测系统与检测方法
CN105871861B (zh) 一种自学习协议规则的入侵检测方法
CN107818132A (zh) 一种基于机器学习的网页代理发现方法
CN111031006A (zh) 一种基于网络流的智能电网通信异常检测方法
CN109413079A (zh) 一种高速网络下Fast-Flux僵尸网络检测方法和系统
CN115499185A (zh) 一种电力监控系统网络安全客体异常行为分析方法及系统
CN104021348B (zh) 一种隐匿p2p程序实时检测方法及系统
CN102437936B (zh) 基于双过滤机制的高速网络僵尸报文的检测方法
CN109450876A (zh) 一种基于多维度状态转移矩阵特征的DDos识别方法和系统

Legal Events

Date Code Title Description
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130102

Termination date: 20140621

EXPY Termination of patent right or utility model