[发明专利]一种基于云服务的实时僵尸网络检测方法

权利要求书

1.一种基于云服务的实时僵尸网络检测方法，其特征在于步骤如下：

步骤一、数据采集，通过数据采集系统采集硬件防火墙受到的攻击行为的原始数据，并上传至ElasticSearch云系统储存；

步骤二、数据分析，利用ElasticSearch云系统，使用DBSCAN算法对步骤一中上传至ElasticSearch云系统的数据进行处理，将处理结果中数据类别最多的一类数据定义为僵尸网络类别，僵尸网络类别的聚类数据称为模板数据，比对模板数据和原始数据，获得僵尸网络类别的源IP数组；

步骤三、提取僵尸网络类别的源IP数组中僵尸网络肉机的IP地址，制作黑名单储存于ElasticSearch云系统中；

步骤四、将ElasticSearch云系统中储存的黑名单分发到硬件防火墙和数据采集系统；

所述步骤一中，通过数据采集系统采集硬件防火墙受到的攻击行为的原始数据的过程中，基于时间序列进行抽样，形成采样样本，采样样本中每个样本的字段信息包括源IP地址，源PORT，目的IP地址，目的PORT，协议类型、采样时间、数据大小和数据包内容信息，其中除数据包内容信息外其他参数均为数值型，数据包内容信息为字符型数据；

对数据包内容信息进行DJBhash计算，得到DJBhash值；

对采样样本的每个样本的各个字段信息进行Simhash计算，得到内容Simhash值，记录Simhash值的二进制数字段为该样本的数据库ID，Simhash值中1出现的个数为该样本的类别标志；

将DJBhash值、Simhash值和样本的所有字段信息作为原始数据上传至ElasticSearch云系统。

2.如权利要求1所述一种基于云服务的实时僵尸网络检测方法，其特征在于：所述步骤三中，提取类别标识数字出现次数最多的三类样本的源IP地址，去重后制作成黑名单储存在ElasticSearch云系统中。

3.如权利要求2所述一种基于云服务的实时僵尸网络检测方法，其特征在于：在所述步骤二中，计算原始数据中每一个样本和其他所有样本之间的相似度，获得全部相似度的集合后，按相似度大小升序排列，取相似度大小位于前10％的所有数值的均值作为DBSCAN算法的密度半径，DBSCAN算法的样本阈值取采样样本中所含字段数加1。

4.如权利要求3所述一种基于云服务的实时僵尸网络检测方法，其特征在于：所述相似度用海明距离表示。

5.如权利要求1所述一种基于云服务的实时僵尸网络检测方法，其特征在于：所述步骤三中，每隔1小时制作一次黑名单。

6.如权利要求5所述一种基于云服务的实时僵尸网络检测方法，其特征在于：所述步骤四，定期分发更新黑名单，更新频率分为3个级别：1小时更新一次，12小时更新一次，24小时更新一次；当防火墙被DDos一天之内攻击次数不大于1次，24小时更新一次，当防火墙被DDos一天之内攻击次数为2～10次，12小时更新一次，当防火墙被DDos一天之内攻击次数大于10次，1小时更新一次。