[发明专利]一种僵尸网络的检测方法及装置

说明书

本申请实施例提供了一种僵尸网络的检测方法及装置，其中，该方法包括从网络上抓取第一待测网络数据包；按照预先训练的随机森林条件熵模型，对所述第一待测网络数据包进行检验，滤掉由所述随机森林条件熵模型检测出的僵尸网络第一疑似数据包；按照预先训练的四元组模型和二元组模型，对滤掉所述僵尸网络第一疑似数据包后剩余的第二待测网络数据包进行检测，得到僵尸网络第二疑似数据包。本申请实施例提高了对多样化的僵尸网络的检测效果。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种僵尸网络的检测方法及装置。

背景技术

随着对互联网的依赖逐渐增大，也呈现出以往所未曾预料的网络安全问题，僵尸程序作为新兴的恶意工具，常通过网络进行恶意扫描、分布式拒绝服务攻击和点击欺诈等。僵尸网络是由攻击者通过各种途径传播僵尸程序，感染大量主机，并对其通过命令和控制信道方式进行恶意活动所组长的网络，控制命令信道可以是IRC服务器、WEB服务器、P2P网络中的部分主机或者DNS服务器，僵尸网络已经成为网络恐怖主义的一个重要工具，对全球网络构成严重威胁。

现有技术中，僵尸网络的检测方法是通过先捕获件僵尸程序样本，根据捕获的僵尸程序样本判断待评价的网络是否为僵尸网络，但是由于僵尸网络应用的协议不断变化，而对于僵尸程序样本的获取要等到僵尸网络爆发后进行，以前的僵尸程序样本可能对新的僵尸程序已经失效，无法识别新兴的僵尸程序。

综上，现有的僵尸网络攻击手段多样化时，对于同时发生的僵尸网络攻击，现有技术无法取得好的检测效果。

发明内容

有鉴于此，本申请的目的在于提供一种僵尸网络的检测方法及装置，以提高对多样化的僵尸网络的检测效果。

第一方面，本申请实施例提供了一种僵尸网络的检测方法，包括：

从网络上抓取第一待测网络数据包；

按照预先训练的随机森林条件熵模型，对所述第一待测网络数据包进行检验，滤掉由所述随机森林条件熵模型检测出的僵尸网络第一疑似数据包；

按照预先训练的四元组模型和二元组模型，对滤掉所述僵尸网络第一疑似数据包后剩余的第二待测网络数据包进行检测，得到僵尸网络第二疑似数据包。

结合第一方面，本申请实施例提供了第一方面的第一种可能的实施方式，按照以下方式得到所述随机森林条件熵模型：

按照时间顺序对网络流量进行采样获取第一网络数据包，并按照预定个数，对依次采样得到的第一网络数据包进行分组，得到若干第一网络数据包组；

针对任一第一网络数据包组，确定该任一第一网络数据包组中所有第一网络数据包的源IP地址关于目的IP地址的条件熵、源IP地址关于目的端口的条件熵和目的端口关于目的IP地址的条件熵；

确定所述任一第一网络数据包组中的正常数据包与异常数据包的比值，根据所述比值与预设阈值确定所述任一第一网络数据包组的属性，所述属性包括异常和正常；

将各个第一网络数据包组中的源IP地址关于目的IP地址的条件熵、源IP地址关于目的端口的条件熵以及目的端口关于目的IP地址的条件熵组成的特征向量作为输入端，将各个第一网络数据包组的属性作为为输出端，对随机森林模型进行训练后得到所述随机森林条件熵模型。

结合第一方面，本申请实施例提供了第一方面的第二种可能的实施方式，按照以下方式训练所述四元组模型：

对网络流量进行采样获取第二网络数据包，将获取的第二网数据包分组后得到多个第二网络数据包组；

对每个第二网络数据包组，按照源IP地址、目标IP地址、目标端口和传输层协议提取设定维度的特征值，组成该第二网络数据包组的特征向量；