[发明专利]用于互联网僵尸网络的图形分析识别方法在审
| 申请号: | 202111433117.5 | 申请日: | 2021-11-29 |
| 公开(公告)号: | CN114244580A | 公开(公告)日: | 2022-03-25 |
| 发明(设计)人: | 田新远 | 申请(专利权)人: | 北京华清信安科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京汇智胜知识产权代理事务所(普通合伙) 11346 | 代理人: | 孙华 |
| 地址: | 100043 北京市石*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 互联网 僵尸 网络 图形 分析 识别 方法 | ||
1.用于互联网僵尸网络的图形分类识别方法,其特征在于,包括以下步骤:
步骤一,采集历史安全日志数据和网络数据进行分析后得到初始训练数据集;
步骤二,提取预定时间段内的日志数据,整理清洗后,基于攻击信息和被攻击域名的关联关系进行对应解析,得到待测数据;
步骤三,基于被攻击域名,分析步骤二获取的待测数据中的攻击IP数据,输出待测HASH表数据;
步骤四,针对所述步骤三获得的HASH表数据,计算随机两个攻击IP数据的关联相似度,统计大于阈值的攻击IP数据,输出攻击IP集,结合待测数据的其他特征组成有向图对象;
步骤五,使用图分类模块,创建有向图,根据有向图进行图形分类识别,并输出僵尸网络数据。
2.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,还包括:步骤六,根据步骤五输出的僵尸网络数据进行可视化聚类结果呈现。
3.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,
所述步骤一所述初始训练数据集通过下述步骤获得:采集网络数据中的可疑数据集进行僵尸网络行为分析,对采集到日志数据进行流量检测,对流量请求中基于TCP访问的僵尸网络流量先行识别,计算其访问成功率,并将其作为初始训练数据集;计算公式如下:
T=(D/C)*2/100
其中,T代表访问成功率,C代表节点的数据包中不同的IP个数,D为不同数据包中的不同源IP地址数据。
4.如权利要求3所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,所述步骤一中,针对采集到的可疑数据集中,还可以其他特征提取,所述其他特征包括domain、post、IP、time和数据流量包中的一个或多个。
5.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,所述步骤三具体包括:
S301,提取待测数据中的攻击IP数据和被攻击域名,采取分行读取方式,对攻击的IP数据通过HASH函数计算其键值,建立初始HASH表;
S302,采用时间差归一转换方法,将所述初始HASH表进行子范围拆分,其计算公式如下:
S1=IF Z(0,5)Z*0.3,
S2=IF Z(5,10)Z*0.6,
S3=IF Z(10,∝)Z*0.2,
其中Z为相邻两个请求的时间差值;
S303,自定义阈值R,提取HASH值不小于阈值R的所有攻击IP信息并输出待测HASH表数据,其中所述阈值R表示基于相邻两个请求的时间差值转换的得到的HASH值。
6.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,所述步骤四所述攻击IP集通过以下步骤获得:
S401,选取随机两个攻击IP数据,自定义JC函数,计算其相似度系数,公式如下:
其中,J(S1,S2)表示两个IP攻击集的相似度系数,S1和S2表示两个不同的攻击IP集;
S402,当相似度系数J(S1,S2)≥1,统计并输出两个IP攻击集;相似度系数J(S1,S2)<1时,忽略。
7.如权利要求6所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,所述步骤四还包括:定义有向图对象,将输出的IP攻击集和攻击次数组成有向图对象。
8.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,所述步骤五具体包括:
S501,定义全局阈值,包括相似度、黑客团伙控制的地址最小数量、恶意攻击IP攻击目标最小个数;
S502,根据上述阈值,使用图分类模块DiGraph,创建有向图对象,使用标准化的存储网络数据、生成、分析网络结构算法、网络绘制,刻画有向图数学关系图。
9.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法,其特征在于,包括以下步骤:
A,获取初始训练数据集,采集历史安全日志数据和网络数据,针对僵尸网络已知行为特征进行特征提取,整理后输出初始训练数据集;
B,提取预定时间段内的日志数据,整理清洗并进行特征提取,然后基于攻击信息和被攻击域名的关联关系进行对应解析,得到待测数据;
C,提取待测数据中的攻击IP数据和被攻击域名,采取分行读取方式,对攻击的IP数据通过HASH函数计算其键值,建立初始HASH表;
D,采用时间差归一转换方法,将所述初始HASH表进行子范围拆分,其计算公式如下:
S1=IF Z(0,5)Z*0.3,
S2=IF Z(5,10)Z*0.6,
S3=IF Z(10,∝)Z*0.2,
其中Z为相邻两个请求的时间差值;
E,自定义阈值R,提取HASH值不小于阈值R的所有攻击IP信息并输出待测HASH表数据,其中所述阈值R表示基于相邻两个请求的时间差值转换的得到的HASH值;
F,针对所述步骤三获得的HASH表数据,计算随机两个攻击IP数据的关联相似度,统计大于阈值的攻击IP数据,输出攻击IP集,结合待测数据的其他特征组成有向图对象;所述攻击IP集通过以下步骤获得:
(1)选取随机两个攻击IP数据,自定义JC函数,计算其相似度系数,公式如下:
其中,J(S1,S2)表示两个IP攻击集的相似度系数,S1和S2表示两个不同的攻击IP集;
(2)当相似度系数J(S1,S2)≥1,统计并输出两个IP攻击集;相似度系数J(S1,S2)<1时,忽略;
G,定义全局阈值,包括相似度、黑客团伙控制的地址最小数量、恶意攻击IP攻击目标最小个数;
H,根据上述阈值,使用图分类模块DiGraph,创建有向图对象,使用标准化的存储网络数据、生成、分析网络结构算法、网络绘制,刻画有向图数学关系图;
I,根据有向图进行图形分类识别,并输出僵尸网络数据;对输出的僵尸网络数据进行可视化聚类结果进行呈现。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京华清信安科技有限公司,未经北京华清信安科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111433117.5/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种智能固定锁
- 下一篇:测温取样机器人的路径规划方法、系统及可读存储介质
