[发明专利]一种僵尸网络的检测方法及装置

权利要求书

1.一种僵尸网络的检测方法，其特征在于，包括：

从网络上抓取第一待测网络数据包；

按照预先训练的随机森林条件熵模型，对所述第一待测网络数据包进行检验，滤掉由所述随机森林条件熵模型检测出的僵尸网络第一疑似数据包；

按照预先训练的四元组模型和二元组模型，对滤掉所述僵尸网络第一疑似数据包后剩余的第二待测网络数据包进行检测，得到僵尸网络第二疑似数据包；

按照以下方式训练所述四元组模型：

对网络流量进行采样获取第二网络数据包，将获取的第二网数据包分组后得到多个第二网络数据包组；

对每个第二网络数据包组，按照源IP地址、目标IP地址、目标端口和传输层协议提取设定维度的特征值，组成该第二网络数据包组的特征向量；

以各第二网络数据包组的特征向量作为输入端，以相应各第二网络数据包组的属性作为输出端，利用XGBoost算法进行训练后得到所述四元组模型，所述第二网络数据包组的属性包括异常和正常；

按照以下方式训练所述二元组模型：

对网络流量进行采样获取第三网络数据包，将获取的第三网数据包分组后得到多个第三网络数据包组；

对每个第三网络数据包组，按照源IP地址和源端口、目标IP地址和目标端口提取设定维度的特征值，组成该第三网络数据包组的特征向量；所述特征值包括从源IP地址和源端口到目标IP地址和目标端口以及从目标IP地址和目标端口到源IP地址和源端口的交互通信行为中提取的特征，所述特征包括基于源IP地址和源端口的二元组访问不同目标IP的行为次数以及基于目标IP地址和目标端口的二元组访问不同源IP地址的行为次数；

以各第三网络数据包组的特征向量作为输入端，以相应各第三网络数据包组的属性作为输出端，利用XGBoost算法进行训练后得到所述二元组模型，所述第三网络数据包组的属性为正常和异常。

2.根据权利要求1所述的方法，其特征在于，按照以下方式得到所述随机森林条件熵模型：

按照时间顺序对网络流量进行采样获取第一网络数据包，并按照预定个数，对依次采样得到的第一网络数据包进行分组，得到若干第一网络数据包组；

针对任一第一网络数据包组，确定该任一第一网络数据包组中所有第一网络数据包的源IP地址关于目的IP地址的条件熵、源IP地址关于目的端口的条件熵和目的端口关于目的IP地址的条件熵；

确定所述任一第一网络数据包组中的正常数据包与异常数据包的比值，根据所述比值与预设阈值确定所述任一第一网络数据包组的属性，所述属性包括异常和正常；

将各个第一网络数据包组中的源IP地址关于目的IP地址的条件熵、源IP地址关于目的端口的条件熵以及目的端口关于目的IP地址的条件熵组成的特征向量作为输入端，将各个第一网络数据包组的属性作为为输出端，对随机森林模型进行训练后得到所述随机森林条件熵模型。

3.根据权利要求1所述的方法，其特征在于，按照以下方式确定所述第二网络数据包组的属性：

依次提取所述第二网络数据包组中的第二网络数据包的源IP地址和目的IP地址；

按照预先建立的僵尸样本库，对提取的所述源IP地址和所述目的IP地址进行比对；

若确定存在至少一个源IP地址或目标IP地址与所述僵尸样本库中的任一IP地址相同，则确定所述第二网络数据包组的属性为异常，否则为正常。

4.根据权利要求1所述的方法，其特征在于，所述按照预先训练的随机森林条件熵模型，对所述第一待测网络数据包进行检验，滤掉由所述随机森林条件熵模型检测出的僵尸网络第一疑似数据包，包括：

按照第一设定个数，对所述第一待测网络数据包进行分组，得到若干个第一待测网络数据包组；

确定任一第一待测网络数据包组中源IP地址关于目的IP地址的条件熵、源IP地址关于目的端口的条件熵和目的端口关于目的IP地址的条件熵，并组成三维条件熵特征向量；

将任一所述第一待测网络数据包组的所述三维条件熵特征向量输入所述随机森林条件熵模型，确定该任一第一待测网络数据包组的属性是否异常；

若是，确定所述任一第一待测网络数据包组为所述僵尸网络第一疑似数据包，并将所述任一第一待测网络数据包组进行过滤。