一種p2p_botnet實時檢測方法及系統的製作方法

2023-09-21 09:20:20 1

專利名稱：一種p2p_botnet實時檢測方法及系統的製作方法
技術領域：
本技術屬於計算機安全領域，具體的說是在需要檢測的網絡內檢測和發現p2p botnet是否存在以及存在於哪些主機的方法和系統。本發明亦涉及網絡入侵檢測系統 (NIDS :Network Intrusion DetectionSystem)，所採用的方法可以與NIDS無縫集成。
背景技術：
殭屍網絡(botnet)是黑客出於某些惡意目的，傳播殭屍程序(bot)來控制許多主 機，並通過一對多的命令來控制殭屍程序所組成的網絡。殭屍網絡是從傳統惡意代碼包括 病毒、網絡蠕蟲、特洛伊木馬和後門工具的基礎上進化，並通過相互融合發展而成的目前最 為複雜的攻擊方式之一。由於為攻擊者提供了隱匿、靈活且高效的控制機制，殭屍網絡得到 極大的發展，從而成為網際網路最為嚴重的威脅之一。利用殭屍網絡，攻擊者可以方便的控制 大量主機對網際網路任意站點或者主機發起分布式拒絕服務攻擊(DD0S)，並發送大量垃圾郵 件，從受控主機上偷取敏感信息或進行點擊欺詐以牟取經濟利益。當前主要使用的殭屍網 絡命令與控制機制包括基於IRC協議的命令與控制機制，基於HTTP協議的命令與控制機 制，以及基於P2P協議的命令與控制機制這三大類。 IRC協議是Internet早期使用的一種網絡聊天協議，由於它提供了簡單、低延遲、 匿名的實時通信方式，因此在botnet發展初期，IRC協議很自然成為構建一對多命令與控 制信道的主流協議。目前大部分研究都針對IRC協議的殭屍網絡展開。HTTP協議則是近 年來除IRC協議外的另一種流行的殭屍網絡命令與控制協議，由於IRC協議已經是殭屍網 絡主流控制協議，研究機構更加關注監測IRC通信以檢測其中隱藏的殭屍網絡活動，使用 HTTP協議構建控制信道則可以讓殭屍網絡控制流量隱藏在大量的Web通信中，從而使得基 於HTTP協議的殭屍網絡活動更難以被檢測。 基於IRC和HTTP協議的控制機制都具有集中控制點，這使得這種基於客戶端_服 務器架構的殭屍網絡容易被跟蹤、檢測和反制，一旦防禦者獲得殭屍程序，他們就能很容易 地發現殭屍網絡控制器的位置，並使用監測和跟蹤手段掌握殭屍網絡的全局信息，通過關 閉這些集中的殭屍網絡控制器也能夠比較容易地消除殭屍網絡所帶來的威脅。為了讓殭屍 網絡更具韌性和隱蔽性， 一些新型殭屍程序(例如Peacomm、 Nugache、 Sinit等)開始使用 P2P協議構建其命令與控制機制。 目前，由於IRC協議是殭屍網絡的主流控制協議，所以大部分的相關研究工作都 是關注IRC殭屍網絡控制信道的檢測。基於P2P協議的殭屍網絡不具有集中式控制中心，並 且具有極強的隱蔽性和個性化，目前各類機構針對p2p新型殭屍網絡的檢測方法的研究剛 剛開始，對P2p殭屍網絡的研究還主要停留在初始階段。基於P2P協議的殭屍網絡由於具 有較強的分布性和隱蔽性，科研單位和安全機構還無法給出準確、高效、實時的檢測方法， 隨著新型p2p殭屍網絡近年來的不斷發展，構建相關有效的檢測方法將是一個重要的研究 課題。發明人研究的以p2p技術為核心的新型p2p botnet檢測方法與系統，具有準確、高 效、實時等特點，能夠防止待檢網絡更多主機感染p2p botnet，為快速響應新型p2p botnet
3攻擊提供相關基礎和應急策略。 現在對p2p botnet的檢測主要有兩類方法 —、基於主機的檢測方法。目前，各種殺病毒軟體將各種p2p botnet及其變種當作 木馬或者病毒處理，主要採用特徵碼匹配技術或者惡意行為分析來檢測各種殭屍程序。優 點是對於大規模流行botnet能夠相對及時發現並處理，缺點是對於智能變種botnet不能 發現並處理，不能對遠程控制主機進行報告和反制等，另外各種殺病毒軟體能力不同、終端 用戶需要安全殺病毒軟體、終端用戶安全意識淡薄都影響殭屍程序的檢測。
二、基於網絡的檢測方法。該種方法主要針對網絡流量數據進行分析，通過流量數 據的異常特徵來判斷網絡內主機是否感染p2p殭屍網絡。目前該種方法按照實時性也可分 為兩種一種是離線非實時檢測，即預先收集一段時間內的網絡流量數據，然後利用各種算 法對離線數據進行分析與檢測；另一種是在線實時檢測，即實時監控待檢網絡，接收相關流 量數據，對數據實時分析並檢測，然後報告疑似感染主機。實時檢測與非實時檢測相比，具 有高效、快速檢測、快速發現等特點，適合應用在安全等級較高的網絡。本發明即為一種實 時p2p botnet檢測方法與系統。 根據能檢索到的文獻記錄，目前針對p2p botnet的離線非實時檢測方法主要有
1， Gu等人採用IDS驅動的會話關聯方法實現了能夠檢測殭屍程序感染的 BotHunter系統。該系統基於證據鏈(evidence trail)關聯思想，將殭屍程序感染過程 視為一臺內網主機與外網一臺或多臺主機間的信息交互序列，包括目標掃描、破解攻擊、 二進位代碼注入與執行、命令與控制信道連接和對外掃描等步驟。BotH皿ter系統底層採 用Snort入侵檢測系統的特徵檢測方法以及兩個關注殭屍程序的異常檢測插件SLADE和 SCADE，以對殭屍程序感染的各個步驟進行檢測。BotH皿ter系統的優點在於首次提出了一 個關聯和刻畫殭屍程序整個感染過程的實時分析系統，並通過實際測試35個最近的殭屍 程序驗證了其有效性。BotH皿ter底層由於採用snort開源入侵檢測系統，所以無法迴避其 固有的一些缺點，例如誤報率和漏報率高等問題。 2，Gu等人又進一步研究實現了 BotMiner原型系統，提出了一種兩階段聚類方法， 能夠同時檢測IRC/HTTP/P2P三種類型殭屍網絡。BotMiner目前停留在原型階段，並且針對 殭屍網絡有某些固定的假設，無法保證方法針對botnet新變種的適應性。
3， Sang等人對P2P殭屍網絡特徵進行建模，然後利用Markov模型進行狀態轉換 與匹配，並將該方法應用到三種典型p2p botnet進行驗證。該方法的特徵建模並沒有考慮 殭屍網絡的主流特徵，例如發垃圾郵件，下載二進位代碼等。 根據能檢索到的文獻記錄，目前針對p2p botnet的在線實時檢測方法主要有
l，有學者提出利用CUSUM算法對p2p殭屍網絡進行檢測，檢測的特徵主要包括 ICMP錯誤率、SMTP協議包增長率、UDP包增長率。首先該方法的特徵建模並不完善，沒有考 慮p2p botnet的連接相似性、包大小、惡意掃描信息等特徵；其次該方法重點考慮了p2p僵 屍網絡初始階段的特徵，對其它階段的特徵沒有考慮。

發明內容
針對當前新型p2p botnet檢測現狀，本發明目的在於克服現有技術的不足，提供 了一種能夠在線實時準確檢測p2p botnet的方法與系統。
本發明的技術方案如下 —方面，提供了一種p2p_b0tnet實時檢測方法，所述方法包括
1)部署p2p botnet典型樣例到虛擬機網絡，利用協議分析技術，實時監控與接收 虛擬機網絡內通信數據，監控網絡內TCP和UDP協議通信數據，只處理通信數據的packet header ^ 2)據上述接收的通信數據，提取初始階段p2p殭屍網絡特徵，採用改進的分類方 法進行分類器訓練，產生殭屍網絡初始階段分類決策樹模型； 3)部署p2p殭屍網絡檢測系統到待檢網絡，利用協議分析技術，實時監控與接收 真實網絡內通信數據，監控網絡內TCP和UDP協議通信數據，只處理通信數據的packet header,同時進行p2p殭屍網絡特徵提取與預處理； 4)利用一種p2p_b0tnet實時檢測方法，對待檢網絡進行p2p殭屍網絡分析與檢 另一方面，提供了一種檢測p2p_botnet的系統，所述系統包括訓練子系統、檢測 子系統和中心控制子系統 1)所述訓練子系統包括網絡接收模塊、網絡數據流預處理模塊、分類訓練模塊，網 絡接收模塊負責監控和接收虛擬機網絡數據，數據流預處理模塊對初始階段p2p殭屍網絡 特徵進行預處理，分類訓練模塊是根據P2p殭屍程序初始化特徵集合採用改進的分類方法 來訓練分類決策樹； 2)所述檢測子系統包括初始化模塊、網絡接收模塊、網絡數據流預處理模塊和 綜合檢測模塊，初始化模塊用於初始化典型P2p botnet特徵、訓練好的分類決策樹、p2p botnet檢測分類方法以及與中心控制模塊保持數據同步；網絡接收模塊用於監控和接收 待檢網絡通信數據並且負責按照窗口時間以及協議類型進行數據接收；網絡數據流預處 理模塊用於對真實網絡中接收的數據進行預處理；綜合檢測模塊負責根據初始化的P2p botnet檢測分類方法進行綜合檢測，初始階段採用訓練好的分類決策樹，發呆階段和攻擊 階段主要採用改進的聚類方法，檢測的結果是所在網段內疑似感染p2p botnet的主機信息 以及其連接的外網對等控制主機信息； 3)所述中心控制子系統包括在線更新模塊、二次檢測模塊和統計報表模塊，在線 更新模塊負責根據需要更新最優分類決策樹，通知檢測子系統初始化模塊，接收檢測子系 統的檢測結果；二次檢測模塊負責對收集上來的各個網段檢測結果進行二次檢測，主要採 用二次聚類方法對整個網絡的檢測結果進行聚類分析，進一步判斷P2p botnet聚集情況、 規模等信息，然後給出主機疑似感染程度信息；報表統計模塊給出疑似主機的報表和統計 分析。 技術方案中涉及兩個關鍵技術，包括p2p botnet特徵抽取和p2p_b0tnet綜合實 時檢測方法 —、p2p botnet特徵抽取 p2p殭屍程序運行可以分為三個階段 參初始階段。P2p殭屍程序感染時可能會進行連接對等結點，下載二進位更新程序
等活動。 參發呆階段。網絡內感染p2p殭屍程序的主機啟動後只是連接到對等結點，進行簡單通信，並不做其它事情。 參攻擊階段。被感染主機接受控制者命令，進行DD0S攻擊或者發送大量垃圾郵 件。 總結上述各個階段，p2p殭屍程序有以下特點，其中一部分是p2p botnet獨有特 徵 參ICMP異常報文。某些主機感染p2p殭屍程序，在初始化時，殭屍程序會隨機的 向其他節點發送連接請求，這樣就導致了出現大量的"找不到目的地址"的異常的ICMP報 文錯誤。(初始階段) 參ARP異常請求。某些p2p殭屍程序內部存在多個固定連接IP，初始化時，殭屍程
序會向這些IP發送ARP請求，導致ARP協議報文突然增長。(初始階段) 參主機埠連接建立速率。大部分p2p殭屍程序會在初始化時短時間內連接很多
對等結點，如果這些連接建立成功，可以在主機埠檢測某段時間的主機間連接建立情況
來發現殭屍程序的行為特徵。(初始階段) 參下載帶寬/上載帶寬。大部分p2p殭屍程序連接對等控制端後，會進行一些固 有的行為，例如下載最新的殭屍程序更新，可以通過監聽它的埠 ，計算上載、下載帶寬來 進行檢測。(各個階段) 參包大小。網絡內感染同一 p2p殭屍網絡的若干主機表現的行為相似，因為這些 殭屍程序都是自動運行，不受使用者控制。無論這些主機之間通信，還是它們與外網控制主 機通信，可以假設這些主機產生了大量大小相似的通信包。(發呆階段或者攻擊階段)
參內外網相同連接。經過觀測，網絡內正常主機與感染p2p殭屍網絡的主機之間 的通信連接呈現聚集特徵。即假設網絡內部分主機感染同一p2p殭屍網絡，外網對等控制 結點為A、B、C，內網感染主機與ABC的連接呈現聚集特徵。對於網絡內主機感染不同的p2p 殭屍網絡，內網和外網都有對等控制結點的情況與上述假設類似。(發呆階段或者攻擊階 段) 參SMTP報文。某些殭屍程序會建立大量SMTP連接並發送大量SMTP報文，根據這 一特點可以檢測相應p2p殭屍程序。(攻擊階段) 上述特徵並沒有考慮部分p2p殭屍程序進行掃描的網絡特徵，原因是第一，掃描
特徵已有成熟的方法進行檢測；第二，掃描特徵不是p2p殭屍程序專有特徵。 經過觀測，p2p殭屍程序感染後必然會監聽本地主機的某一埠，所以只需要監聽
網絡內主機開放的埠即可，這樣可以大大節約系統開銷。 針對待檢網絡，建立特徵抽取機制，採用如下數據表結構，其中TableHost存儲主 機及其開放的埠 ， TablePort存儲在某一埠發送和接收的數據流數據，數據流塊長度為
500位元組。根據各網段數據繁忙程度採集數據的滑動窗口時間可以設為15、30、60分鐘不等。 TableHost (ID， HOST, PORT)
TablePort (ID， P0RT， DATA) 其中DATA不是原始的通信數據，而是經過處理的特徵向量數據D。 D =(巳，&，…， Fi，…，F》，Fi即為上述p2p botnet特徵，這些特徵利用數據歸約技術，使用直方圖分箱來 近似數據分布。舉例來說，殭屍程序發送垃圾郵件表現為發送大量SMTP報文，可以採用Fi
6來表示。Fi= {
，， [2f，2f+1]，…，[2n，①B，直方圖中每個分箱代表發送SMTP垃 圾報文的數量。 二、P2p—botnet綜合實時檢測方法 根據實際觀測，網絡內感染了p2p殭屍程序的主機大部分時間處於發呆階段，只 有部分時間處於初始階段和攻擊階段。基於p2p botnet三個階段特徵不同，發明人提出一 種綜合實時檢測方法。 輸入某網段內已經預處理的格式化網絡數據流，
輸出疑似被感染的主機信息
步驟如下 1)實際參數初始化，方法開始執行； 2)判斷數據集是否滿足殭屍網絡攻擊階段特徵，主要採用CUSUM算法判斷網段內 是否出現DD0S或者SMTP異常報文特徵，如果滿足攻擊階段特徵，則轉向4， 4返回後結合其 結果和出現攻擊特徵的主機進一步判斷並給出疑似被感染主機情況，繼續1 ;
3)如果數據滿足初始階段特徵，例如ICMP、ARP異常等，則使用訓練後的分類決策 樹進行判斷，給出疑似被感染主機，返回1繼續； 4)據需要將外網、內網的主機網絡連接信息格式化成數據集D = {&， d2，…， di，…，dj ，元素個數為n， &代表源/目的地址連接；
B任選k個數據作為初始聚類中心； B計算其它數據與上述k個數據的相似度，根據相似度大小把其它數據分配到k
個集合中； B計算每個新集合的聚類中心；
B不斷重複上述過程直到收斂結束；
■輸出疑似被感染主機信息。 註上述4結果只能給出可能的p2p botnet聚集信息，中心控制子系統進行二次 聚類分析，可以進一步判斷疑似主機。 初始階段的特徵可以通過採集已有p2p botnet特徵數據作為訓練集，然後通過訓 練集來訓練分類器。方法如下 輸入在虛擬機組成的網絡中部署各種p2p，採集初始化階段的特徵數據流F，其 中&= (Pi，…，P》，包含ICMP、ARP異常、短時連接建立率等相關初始化階段的特徵。
輸出分類器決策樹 主要採用改進的SPRINT算法，步驟如下
1)如果F滿足停止條件，則返回； 2)對於各個屬性Pi，找到一個值或者值集，產生最佳分裂；
3)比較各個屬性的最佳分裂，選擇最佳的將F分為巳和F2 ;
4)遞歸對Fi和F2產生決策樹； 註上述算法執行時採用純區間歸約和在訓練樣本集增加欄位的方法來提高 SPRINT的速度。 本發明與現有技術相比，具有以下優點 1)該方法可以在不影響待檢網絡性能情況下進行p2p botnet檢測，各個網段的
7檢測子系統只是收集網絡數據流，並不影響網絡性能； 2)該方法是一種通用方法，可以對未知p2p botnet進行檢測，未知p2p botnet可
以通過訓練系統進行特徵更新，生成新的更優的分類決策樹以應對未知p2p botnet ; 3)該方法是一種在線實時檢測方法，適合更高安全等級網絡的檢測工作，通過設
置滑動窗口時間，檢測子系統基本能做到在線實時的檢測網絡內疑似感染主機； 4)該方法檢測準確率高，誤報率低。選擇虛擬網絡檢測結果是準確率100% ，反覆
選擇真實網絡檢測結果是準確率為95. 8%。 5)該方法具有較好的擴充性和集成性，可以與NIDS產品無縫集成，應用與當前軟 件/硬體實現的各種NIDS產品之上。


圖1為本發明訓練子系統示意圖 圖2為本發明檢測子系統和中心控制子系統結構示意圖
圖3為本發明系統組成示意圖
具體實施例方式
有關本發明的技術內容及詳細說明，現配合

如下 如圖3所示，系統包括訓練子系統、檢測子系統(初始化模塊、網絡接收模塊、網絡 數據流預處理模塊、綜合檢測模塊)和中心控制子系統。
1.初始階段分類器訓練 如圖1所示，p2p botnet訓練子系統包括網絡接收模塊、網絡數據流預處理模塊、 分類訓練模塊。 P2p殭屍網絡感染初期會出現幾個典型特徵，例如ICMP和ARP異常報文、瞬時連接 建立增加等。針對上述特徵，首先建立虛擬機網絡環境，然後部署流行p2p殭屍程序，收集 典型初始化數據流並進行數據預處理。針對這些預處理後的數據流，利用前述分類器訓練 方法展開訓練，形成分類器決策樹。 很多研究者使用ns2建立仿真的入侵檢測、網絡蠕蟲等測試環境，模擬大規模結 點的網絡環境，捕獲相關數據進行研究。但是，上述仿真過程太過單一和理想化，p2p bot從 感染、加入botnet、二次注入到發垃圾郵件、DD0S攻擊是一個複雜的過程，ns2無法仿真上 述真實情況，且對實驗主機的性能要求比較高。因此，ns2不適合應用於新型p2p殭屍網絡 的模擬和實驗。最近幾年，虛擬機技術不斷發展並得到廣泛應用，其中VMware是這方面的 代表軟體。許多研究人員，尤其是安全研究人員開始應用虛擬機技術開展相關研究，包括木 馬病毒等觀測、入侵檢測、殭屍網絡研究等。首先，將虛擬機軟體安裝到物理主機上，然後在 物理主機內可以模擬多個作業系統，並將這些虛擬機連接到網絡上形成區域網。上述虛擬 機實驗環境能夠完全模擬真實作業系統和主機，外部主機或者訪問者基本不能察覺真實主 機和虛擬主機的差異。目前，虛擬機最大的問題就是性能問題，VMware具有複雜而龐大的 功能，但是在性能上並不佔有優勢，擬採用Sun公司開源虛擬機工具VirtualBox來搭建虛 擬機實驗環境，VirtualBox具備基本的虛擬機功能，最大的優勢是節省物理主機的資源。
經過試驗，一臺2G內存的主流配置PC機可以模擬五個網絡節點。目前，發明人已經利用10臺上述配置主機建立好相關虛擬環境，大概能模擬50 60個結點。隨著不斷優 化虛擬機技術和具體實驗，將能夠在一臺物理主機上部署更多的虛擬機。擬在20臺PC工 作站上建立能包含120個虛擬節點的新型p2p殭屍網絡實驗環境。該環境可以獨立反覆使 用，能靈活地配置每個節點和網絡拓撲拓撲，在感染p2p殭屍網絡後可獲取用於分析的網 絡數據和感染情況。 在上述50個結點的虛擬機網絡環境中，隨機挑選15個結點部署Peacomm、 Nugache、Sinit等殭屍程序或其變種，選擇其餘虛擬主機中任一臺作為訓練主機，安裝部署 p2p botnet訓練系統。其中網絡接收模塊收集虛擬網絡內通信數據流，然後網絡數據流預 處理模塊進行數據預處理工作，即將數據流根據需要檢測的特徵進行數據概要和格式化， 這個步驟主要通過直方圖技術來進行。分類訓練模塊根據預處理好的數據流進行分類訓 練，方法如下 輸入在虛擬機組成的網絡中部署各種p2p，採集初始化階段的特徵數據流F，其 中&= (Pi，…，P》，包含ICMP、ARP異常、短時連接建立率等相關初始化階段的特徵。
輸出分類器決策樹 主要採用改進的SPRINT算法，步驟如下
1)如果F滿足停止條件，則返回； 2)對於各個屬性Pi，找到一個值或者值集，產生最佳分裂；
3)比較各個屬性的最佳分裂，選擇最佳的將F分為巳和F2 ;
4)遞歸對Fi和F2產生決策樹； 註上述算法執行時採用純區間歸約和在訓練樣本集增加欄位的方法來提高 SPRINT的速度。 分類訓練模塊產生最優的分類決策樹，然後將決策樹保存在文件中，必要時可以 導出該文件到實際檢測子系統中。該分類決策樹在實驗的虛擬機網絡環境下檢測p2p殭屍 網絡的準確率是100%，對於新變種的p2p殭屍網絡也有極強的適應性。
2.檢測系統在實際網絡環境中的應用 如圖2所示，系統包括檢測子系統(初始化模塊、網絡接收模塊、數據流預處理模 塊、綜合檢測模塊)和中心控制子系統(在線更新模塊、二次檢測模塊和統計報表模塊)。 實際應用時，管理人員在待檢網絡的每個網段內部署檢測子系統，在任意一個網段內部署 中心控制子系統。 檢測子系統主要針對某一網段內疑似感染p2p botnet主機進行檢測，然後各個檢 測子系統統一將檢測結果傳給中心控制子系統，中心控制子系統可以進行二次檢測，然後 生成處理結果。具體步驟如下 初始化模塊負責初始化檢測子系統需要的初始參數以及相關模型，包括滑動窗口 時間、綜合檢測算法參數、網段信息等，另外初始化模塊與中心控制子系統建立通信連接， 接收訓練好的初始階段分類決策樹等數據。 網絡接收模塊負責網絡原始數據的採集。發明人利用libpc即捕獲函數庫實現了 網絡接收模塊，libpc即是一個數據包捕獲函數庫，它能高效和快速的捕獲和接收乙太網網 絡內原始數據流，用戶可以選擇是否保存原始數據流，系統支持文件或者mysql資料庫兩 種方式。
數據流預處理模塊在網絡接收模塊收集原始數據的同時，按照p2p botnet的特徵 對數據進行預處理工作。採用如下數據表結構，其中TableHost存儲主機及其開放的埠， TablePort存儲在某一埠發送和接收的數據流數據，數據流塊長度為500位元組。根據各網 段數據繁忙程度採集數據的滑動窗口時間可以設為15、30、60分鐘不等。
TableHost (ID， HOST, PORT)
TablePort (ID， PORT, DATA) 其中DATA不是原始的通信數據，而是經過處理的特徵向量數據D。 D =(巳，&，…， Fi，…，F》，Fi即為上述p2p botnet特徵，這些特徵利用數據歸約技術，使用直方圖分箱來 近似數據分布。舉例來說，殭屍程序發送垃圾郵件表現為發送大量SMTP報文，可以採用Fi 來表示。Fi= {
，…，[2f，2f+1]，…，[2n，①B，直方圖中每個分箱代表發送SMTP垃 圾報文的數量。根據窗口時間設置不同，網絡接收模塊和數據流預處理模塊處理完當前時 間段數據，將預處理數據保存後，繼續接收下一時間窗口數據。預處理後的格式化數據流分 配給綜合檢測模塊處理。 綜合檢測模塊根據資料庫中預處理後的格式化數據，採用綜合實時檢測方法進行 疑似主機檢測工作，疑似主機信息及其相關控制主機信息上報給中心控制子系統進行處 理。方法大致流程如下 輸入某網段內已經預處理的格式化網絡數據流，
輸出疑似被感染的主機信息
步驟如下 1)實際參數初始化，方法開始執行； 2)判斷數據集是否滿足殭屍網絡攻擊階段特徵，主要採用CUSUM算法判斷網段內 是否出現DDOS或者SMTP異常報文特徵，如果滿足攻擊階段特徵，則轉向4， 4返回後結合其 結果和出現攻擊特徵的主機進一步判斷並給出疑似被感染主機情況，繼續1 ;
3)如果數據滿足初始階段特徵，例如ICMP、ARP異常等，則使用訓練後的分類決策 樹進行判斷，給出疑似被感染主機，返回1繼續； 4)據需要將外網、內網的主機網絡連接信息格式化成數據集D二 {&， d2，…， di，…，dj ，元素個數為n， &代表源/目的地址連接；
B任選k個數據作為初始聚類中心； B計算其它數據與上述k個數據的相似度，根據相似度大小把其它數據分配到k
個集合中； B計算每個新集合的聚類中心；
B不斷重複上述過程直到收斂結束；
■輸出疑似被感染主機信息。 中心控制子系統包括在線更新模塊、二次檢測模塊、報表統計模塊三部分。其中在 線更新模塊主要負責根據需要更新最優分類決策樹，通知檢測子系統初始化模塊，接收檢 測子系統的檢測結果；二次檢測模塊主要負責對收集上來的各個網段檢測結果進行二次檢 測，主要採用二次聚類方法對整個網絡的檢測結果進行聚類分析，進一步判斷p2p botnet 聚集情況、規模等信息，然後給出主機疑似感染程度，包括正常、異常兩大類，其中異常包括 低、中、高三個等級；報表統計模塊給出疑似主機的報表和統計分析，其中數據還包括對等控制結點的信息，方便安全人員進一步對控制結點進行分析與處理。二次檢測流程如下
輸入各個網段疑似被感染主機信息，
輸出感染主機及報警分類
步驟如下 1)定時匯集各個網段疑似被感染主機信息，進行數據格式化，形成數據集D = {(^，4，…，di，…，cU，元素個數為n，di代表源/目的地址連接；
2)採用k-means算法進行第二次聚類分析； 3)如果疑似主機在檢測子系統中報警等級為高，則報警等級為高；否則，如果疑 似主機在兩次聚類分析中同時存在，則該主機報警等級為高；如果只在第二次聚類分析中 存在，則報警等級為中；如果只是檢測子系統報警疑似主機，則報警等級為低。
4)根據報警等級高低，提示進一步採取措施處理。 如圖2所示，如果只檢測某一網段內主機，則只需在該網段內部署檢測子系統和 中心控制子系統即可。 上述僅為本發明方法與系統的較佳實施例子，並非用來限定本發明的實施範圍。 即凡依本發明申請專利範圍所作的均等變化與修飾，皆為本發明專利範圍所涵蓋。
1權利要求
一種p2p_botnet實時檢測方法，其特徵在於，所述方法包括1)部署p2p botnet典型樣例到虛擬機網絡，利用協議分析技術，實時監控與接收虛擬機網絡內通信數據，監控網絡內TCP和UDP協議通信數據，只處理通信數據的packet header；2)據上述接收的通信數據，提取初始階段p2p殭屍網絡特徵，採用改進的分類方法進行分類器訓練，產生殭屍網絡初始階段分類決策樹模型；3)部署p2p殭屍網絡檢測系統到待檢網絡，利用協議分析技術，實時監控與接收真實網絡內通信數據，監控網絡內TCP和UDP協議通信數據，只處理通信數據的packet header，同時進行p2p殭屍網絡特徵提取與預處理；4)利用一種p2p_botnet實時檢測方法，對待檢網絡進行p2p殭屍網絡分析與檢測；
2. 如權利要求l所述的方法，其特徵在於將通信數據的packet header進行內存存儲， 然後進行數據的概要預處理和特徵提取，需要提取的特徵包括ICMP異常報文、ARP異常請 求、下載帶寬、上載帶寬、包大小、主機埠連接建立速率、SMTP異常報文、內外網相同連接。 主要採用直方圖技術來近似元素值的頻率分布。
3. 如權利要求l所述的方法，其特徵在於發明人將p2p殭屍網絡的活動分為三個階段， 包括初始階段、發呆階段和攻擊階段，利用不同階段p2p殭屍網絡的特點，採用一種綜合的 實時檢測方法進行檢測，主要解決了網絡中無限的數據流和概念漂移問題。
4. 一種檢測p2p_botnet的系統，其特徵在於，所述系統包括訓練子系統、檢測子系統 和中心控制子系統1) 所述訓練子系統包括網絡接收模塊、網絡數據流預處理模塊、分類訓練模塊，網絡接 收模塊負責監控和接收虛擬機網絡數據，數據流預處理模塊對初始階段p2p殭屍網絡特徵 進行預處理，分類訓練模塊是根據p2p殭屍程序初始化特徵集合採用改進的分類方法來訓 練分類決策樹；2) 所述檢測子系統包括初始化模塊、網絡接收模塊、網絡數據流預處理模塊和綜合檢 測模塊，初始化模塊用於初始化典型p2p botnet特徵、訓練好的分類決策樹、p2p botnet檢 測分類方法以及與中心控制模塊保持數據同步；網絡接收模塊用於監控和接收待檢網絡通 信數據並且負責按照窗口時間以及協議類型進行數據接收；網絡數據流預處理模塊用於對 真實網絡中接收的數據進行預處理；綜合檢測模塊負責根據初始化的p2p—botnet檢測分 類方法進行綜合檢測，初始階段採用訓練好的分類決策樹，發呆階段和攻擊階段主要採用 改進的聚類方法，檢測的結果是所在網段內疑似感染p2p botnet的主機信息以及其連接的 外網對等控制主機信息；3) 所述中心控制子系統包括在線更新模塊、二次檢測模塊和統計報表模塊，在線更新 模塊負責根據需要更新最優分類決策樹，通知檢測子系統初始化模塊，接收檢測子系統的 檢測結果；二次檢測模塊負責對收集上來的各個網段檢測結果進行二次檢測，主要採用二 次聚類方法對整個網絡的檢測結果進行聚類分析，進一步判斷P2p botnet聚集情況、規模 等信息，然後給出主機疑似感染程度信息；報表統計模塊給出疑似主機的報表和統計分析。
全文摘要
本發明公開了一種p2p殭屍網絡實時檢測方法與系統，屬於計算機安全領域。本發明的方法為首先利用典型p2p殭屍網絡特徵數據流訓練最優分類決策樹，然後在真實的網絡環境接收網絡數據並進行預處理，利用綜合實時檢測方法進行檢測，最後匯總報告疑似殭屍網絡主機。本發明的系統包括訓練子系統、檢測子系統(初始化模塊、網絡接收模塊、網絡數據流預處理模塊、綜合檢測模塊)和中心控制子系統。與現有技術相比，本發明可以對p2p殭屍網絡進行快速、在線、實時的通用檢測，準確性、實時性和溯源性更好。
文檔編號H04L29/08GK101753377SQ20091021813
公開日2010年6月23日 申請日期2009年12月29日 優先權日2009年12月29日
發明者馮鐵, 柴勝 申請人:吉林大學