[发明专利]一种基于流量分析的P2P僵尸网络检测系统及方法

说明书

本发明公开了一种基于流量分析的P2P僵尸网络检测系统，属于计算机网络安全领域，包括网络流量接收模块从不同监测点获取网络流量，通信结构图构建模块，检测算法模块从通信结构图中利用社区发现算法发现P2P结构，采用决策树和贝叶斯网络两种机器学习方法结合检测P2P僵尸网络，跟踪与其它节点的通信对僵尸网络进行扩展，数据库模块存储相关数据。本发明还公开了基于流量分析的P2P僵尸网络检测方法。本发明未将端口作为特征以防止端口随机化造成的检测失效，基于流量分析进行P2P僵尸网络检测，通过过滤良性网络流量提高检测效率，使用包长度为特征减少数据处理量，能高效识别P2P僵尸网络通信，为入侵检测系统提供支撑。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于流量分析的P2P僵尸网络检测系统及方法。

背景技术

僵尸网络(Botnet)是互联网上受到攻击者控制的大量主机，利用CC(Commandand Control)信道控制和对存在于僵尸网络当中的主机发布命令。僵尸网络通常被用于发起分布式拒绝服务(Distributed Denial-of-Service，DDoS)攻击、发送垃圾邮件、比特币采矿等攻击。

P2P(Peer-to-Peer)对等网络，又称为端对端技术，其每个节点都具有同等的能力，通常不依赖一个中心节点。P2P网络的分散性特点使得它们难以被发现，分布式的特性也能极好地应对单点故障。在21世纪初用户开始拥有越来越强大的服务器、存储空间和带宽，P2P结构的互联网占有份额急剧上升，由于P2P模式一直受到隐私、盗版等问题的困扰，之后所占的互联网份额之后有所下降。

P2P僵尸网络种类繁多，但是最底层都是由对等的僵尸主机节点构成的P2P结构网络。攻击者可以通过设置超级代理节点发布命令给他所控制的僵尸主机，也可以通过不对称加密的方式对命令进行加密从而引导僵尸网络继续攻击。

最初的僵尸网络检测工作是利用端口以及签名的方法，检测特定端口的流量包信息，这种检测方式一旦遇到加密的僵尸网络或者对于通信端口采取随机化的僵尸网络就无法生效。

之后的一些检测方式采用图形聚类技术来检测P2P流量，但是没有对良性P2P流量进行分析，存在的问题是检测消耗的计算资源大，检测效率低，此外这种方法也存在图形可能无法扩展的问题。

因此，本领域的技术人员致力于开发一种不依赖于通信端口检测，基于流量分析的P2P僵尸网络检测系统，区分良性和恶性P2P流量，提高检测效率。此外，在系统挖掘的僵尸网络基础上进一步跟踪以保证系统获取的僵尸网络结构得以扩展。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是区分良性和恶性P2P流量，提高检测效率。此外，在系统挖掘的僵尸网络基础上进一步跟踪以保证系统获取的僵尸网络结构得以扩展。

为实现上述目的，本发明提供了一种基于流量分析的P2P僵尸网络检测系统，包括网络流量接收模块、通信结构图构建模块、检测算法模块、数据库模块，其中：

网络流量接收模块：从分布在不同监测点的程序获取网络流量，根据过滤规则过滤掉良性的网络流量，将不确定的流量记录在数据库模块中；

通信结构图构建模块：读取不确定的流量记录，构建通信结构图；

检测算法模块：对生成的通信结构图进行分析探究，判断通信结构图中的节点所属IP地址是否为僵尸网络主机；

数据库模块：存放网络流量接收模块、通信结构图构建模块、检测算法模块的计算结果。

进一步地，过滤规则包含公认良性网络地址。

进一步地，过滤规则包含本系统检测出来的良性P2P网络地址。