[发明专利]基于周期性通讯行为分析的P2P僵尸网络检测方法、系统

权利要求书

1.基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，包括：

获取局域网内所有主机的网络流量并根据采集的网络流量识别出与P2P相关的网络流量；

针对识别出的与P2P相关的网络流量，识别出数据流在线时间接近于底层操作系统运行时间的数据流，将上述数据流进行周期性通讯行为检测识别出有周期性的数据流，所述有周期性的数据流所属的网络即为P2P僵尸网络；

所述识别出与P2P相关的网络流量时，具体为：

将网络流量按照五元组进行分类，五元组相同的归入同一个流；

过滤与DNS相关的数据流；

对于每个分组，根据每条数据流的时间戳对数据流进行分段；

对于每个时间段，计算数据流的目的IP地址所属的不同自治域号的个数；

删除不同自治域号的个数小于阈值的时间段内的所有数据流；

剩余的数据流被认为是P2P相关的网络流量；

所述进行周期性通讯行为检测识别出有周期性的数据流时，具体为：

对于在线时长满足识别出数据流在线时间接近于底层操作系统运行时间的数据流对应的数据流组，根据其数据流的目的IP地址对数据流进行分组；

对于每个目的IP地址对应的所有数据流，提取它们的时间戳，并根据从小到大的顺序组成访问序列；

对于每个目的IP地址对应的访问序列，计算其一阶差分序列；

所述访问序列X＝{x1,x2,x3,x4,x5,x6}，X的一阶差分序列为：X’＝{x2-x1,x3-x2,x4-x3,x5-x4,x6-x5}；要判断X是否具有周期性，就判断X’序列是否稳定，即波动性是否不大；变异系数用来表示一个序列的波动性；一阶差分序列的变异系数越小，一阶差分序列趋于稳定，则原序列更具有周期性；

对于每个目的IP地址对应的一阶差分序列，计算其序列的大小以及变异系数，若序列大小小于阈值或变异系数大于阈值，则删除该目的IP地址对应的所有数据流；

剩余的数据流被认为是有周期性的数据流。

2.如权利要求1所述的基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，产生上述有周期性的数据流的主机为P2P僵尸机。

3.如权利要求1所述的基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，所述五元组具体指：源IP地址、目的IP地址、源端口、目的端口、协议号。

4.如权利要求1所述的基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，过滤与DNS相关的数据流时，将数据流中目的端口号为53或者目的IP地址出现在DNS相应数据中的数据流删除。

5.如权利要求1所述的基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，识别出数据流在线时间接近于底层操作系统运行时间的数据流时：

计算每台主机的运行时间；

计算每个数据流组的在线时间：计算根据每台主机产生的数据流进行分组中输出的每个数据流组所包含的时间段的个数作为该数据流组的在线时间；

对于每个数据流组，用其在线时间除以所属主机的运行时间得到的商值作为该数据流组的在线率，若在线率小于阈值，则删除该数据流组包含的所有数据流；

对于剩下的数据流组，用其发送字节数除以发送包个数得到商值，若商值大于阈值，则删除该数据流组包含的所有数据流。

6.如权利要求5所述的基于周期性通讯行为分析的P2P僵尸网络检测方法，其特征是，确定每台主机的运行时间时：

对于每台主机，取其产生的每条数据流的时间戳，用时间戳的最大值减去最小值；

将上述时间戳的差值以设定时间为界限划分成若干个时间段；

计算有数据流分布的时间段的个数为该主机的运行时间。

7.基于周期性通讯行为分析的P2P僵尸网络检测系统，所述检测系统包括执行权利要求1-6任一所述的基于周期性通讯行为分析的P2P僵尸网络检测方法中各步骤的模块。