[发明专利]同源僵尸网络判别方法

权利要求书

1.一种同源僵尸网络判别方法，包括：

步骤1)、根据僵尸网络数据计算僵尸网络的通讯量特征与通讯频率特征，得到相应的通讯量日周期曲线与通讯频率日周期曲线；

步骤2)、从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点，根据所述特征点分别生成通讯量标准化形状曲线以及通讯频率标准化形状曲线；

步骤3)、计算所要比较的僵尸网络对的通讯量标准化形状曲线间的第一欧式距离以及通讯频率标准化形状曲线的第二欧氏距离，根据所述第一欧式距离与所述第二欧式距离判断所要比较的僵尸网络对是否属于同源僵尸网络。

2.根据权利要求1所述的同源僵尸网络判别方法，其特征在于，在所述的步骤3)中，所述的根据所述第一欧式距离与所述第二欧式距离判断所要比较的僵尸网络对是否属于同源僵尸网络包括：

若所述第一欧式距离与所述第二欧式距离都大于第一阈值，则所要比较的僵尸网络对属于不同源的僵尸网络，否则，所要比较的僵尸网络对属于同源僵尸网络。

3.根据权利要求1或2所述的同源僵尸网络判别方法，其特征在于，还包括对步骤3)中认为是同源僵尸网络的僵尸网络对做进一步判别的步骤；所述步骤包括：

步骤4)、将所述通讯量日周期曲线和通讯频率日周期曲线连接生成通讯特征曲线；

步骤5)、计算所要比较的僵尸网络对的通讯特征曲线的DTW距离，若所述DTW距离大于第二阈值，则所要比较的僵尸网络对为不同源僵尸网络，否则属于同源僵尸网络。

4.根据权利要求1或2或3所述同源僵尸网络判别方法，其特征在于，所述的步骤2)包括：

步骤2-1)、从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点，得到关于特征点的集合{S[i₁]，S[i₂]，…，S[i_q]}，记x(S[i_j])、y(S[i_j])(1≤j≤q)分别为特征点S[i_j]的横、纵坐标，其中x(S[i_l)＜x(S[i_m])，(1≤l＜m≤q)；

步骤2-2)、将所述特征点集合中的所有q个特征点按大小顺序映射到区间[0，1]；

步骤2-3)、将集合{y(S[i_j])|1≤j≤q}按升序排列得到数组C，记g为集合{S[i₁]，S[i₂]，…，S[i_q]}到集合{i|i∈z⁺，i≤q}的映射，若y(S[i_j])＝C[k]，(1≤j≤q，1≤k≤q)，则g(S[i_j])＝k；

步骤2-4)、将所述特征点集合中的q个特征点通过变换得到标准形状曲线的特征点集合：

步骤2-5)、由所述标准形状曲线中的特征点拟合生成标准形状曲线。

5.根据权利要求4所述同源僵尸网络判别方法，其特征在于，在所述的步骤2-1)中，所述的从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点包括：

步骤2-1-1)、从所述通讯量日周期曲线与通讯频率日周期曲线中选择曲线的起始点和结束点作为特征点；

步骤2-1-2)、从所述通讯量日周期曲线与通讯频率日周期曲线中取出极值点，将所述极值点中横坐标间距离大于第三阈值的极值点作为特征点。

6.根据权利要求4所述同源僵尸网络判别方法，其特征在于，在所述的步骤2-1)中，所述的从所述通讯量日周期曲线与通讯频率日周期曲线中提取各自的特征点包括：

步骤2-2-1)、遍历所述的通讯量日周期曲线与通讯频率日周期曲线，找到其中的所有极值点，所述极值点包括极大值点与极小值点；

步骤2-2-2)、按时间属性的大小顺序，判断极值点与前一极值点间的距离是否大于阈值德尔塔，若大于，则该极值点为特征点，否则就不是；所述阈值德尔塔由实验确定。

7.根据权利要求3所述同源僵尸网络判别方法，其特征在于，在所述的步骤4)中，在连接所述通讯量曲线和通讯频率曲线前，按比例缩小其中一条曲线，以使得两者的数量级相同。

8.根据权利要求3所述同源僵尸网络判别方法，其特征在于，所述的步骤5)包括：

步骤5-1)、将长度为N的僵尸网络通讯特征曲线S₁，S₂，…，S_n转化为长度为f的序列：PAA(S₁)，…，PAA(S_f)；其中，f＝q-1，q为最优特征点的数量；

步骤5-2)、对于僵尸网络通讯特征曲线S₁，S₂，…，S_n中的曲线S_i，1≤i≤n，计算其上下界，分别记为

步骤5-3)、从僵尸网络通讯特征曲线S₁，S₂，…，S_n中找出S_j(i＜j≤n)，使得其中的ρ为曲线弯曲率；

步骤5-4)、计算LB_PAA(S_i，S_j)，若计算结果小于或等于所述的第二阈值，则计算DTW_ρ(S_i，S_j)，否则，所要比较的僵尸网络为不同源僵尸网络；

步骤5-5)、若DTW_ρ(S_i，S_j)小于或等于所述的第二阈值，则所要比较的僵尸网络对为不同源僵尸网络，否则属于同源僵尸网络。