[发明专利]用于互联网僵尸网络的图形分析识别方法

说明书

本发明公开了一种用于互联网僵尸网络的图形分类识别方法，其包括以下步骤：步骤一，采集历史安全日志数据和网络数据进行分析后得到初始训练数据集；步骤二，提取预定时间段内的日志数据，整理清洗后，基于攻击信息和被攻击域名的关联关系进行对应解析，得到待测数据；步骤三，基于被攻击域名，待测数据中的攻击IP数据，输出待测HASH表数据；步骤四，计算随机两个攻击IP数据的关联相似度，统计大于阈值的攻击IP数据，定义有向图对象；步骤五，使用图分类模块，创建有向图，并进行图形分类识别，并输出僵尸网络数据。本发明能够对未定义和未知的僵尸网络进行有效识别和检测，大大提高了识别效率和准确度。

技术领域

本发明涉及一种网络安全大数据分析领域。更具体地说，本发明涉及一种基于业务访问的快捷阻断和放行方法。

背景技术

在互联网中众多计算机极容易在无形中被感染bot程序(僵尸程序)病毒，由此在控制者和被感染的主机中成为一对多关系的控制网络，被黑客利用用来发送大规模的网络攻击，常见僵尸网络的危害包括网络挖矿、窃取电脑秘密、滥用资源、DDos攻击等。

黑产利用僵尸网络达到扩充肉机、DDoS攻击、发送恶意请求和恶意邮件目的，传统手段大多是基于主机中僵尸网络特征的性质进行识别和检测，而对未定义和未知的僵尸网络却无法有效识别和检测。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种用于互联网僵尸网络的图形分析识别方法，其能够对未定义和未知的僵尸网络进行有效识别和检测，大大提高了识别效率和准确度，为后续僵尸网络的防御策略制定和针对僵尸网络的防御提供有力的技术支撑。

为了实现根据本发明的这些目的和其它优点，提供了一种用于互联网僵尸网络的图形分类识别方法，其包括以下步骤：

步骤一，采集历史安全日志数据和网络数据进行分析后得到初始训练数据集；

步骤二，提取预定时间段内的日志数据，整理清洗后，基于攻击信息和被攻击域名的关联关系进行对应解析，得到待测数据；

步骤三，基于被攻击域名，分析步骤二获取的待测数据中的攻击IP数据，输出待测HASH表数据；

步骤四，针对所述步骤三获得的HASH表数据，计算随机两个攻击IP数据的关联相似度，统计大于阈值的攻击IP数据，输出攻击IP集，结合待测数据的其他特征组成有向图对象；

步骤五，使用图分类模块，创建有向图，根据有向图进行图形分类识别，并输出僵尸网络数据。

优选的是，所述用于互联网僵尸网络的图形分类识别方法还包括：步骤六，根据步骤五输出的僵尸网络数据进行可视化聚类结果呈现。

优选的是，所述步骤一所述初始训练数据集通过下述步骤获得：采集网络数据中的可疑数据集进行僵尸网络行为分析，对采集到日志数据进行流量检测，对流量请求中基于TCP访问的僵尸网络流量先行识别，计算其访问成功率，并将其作为初始训练数据集；计算公式如下：

T＝(D/C)*2/100

其中，T代表访问成功率，C代表节点的数据包中不同的IP个数，D为不同数据包中的不同源IP地址数据。

优选的是，所述步骤一中，针对采集到的可疑数据集中，还可以其他特征提取，所述其他特征包括domain、post、IP、time和数据流量包中的一个或多个。

优选的是，所述步骤三具体包括：

S301，提取待测数据中的攻击IP数据和被攻击域名，采取分行读取方式，对攻击的IP数据通过HASH函数计算其键值，建立初始HASH表；

S302，采用时间差归一转换方法，将所述初始HASH表进行子范围拆分，其计算公式如下：