[发明专利]一种电力二次系统僵尸网络的检测方法

摘要

本发明公开一种电力二次系统僵尸网络的检测方法，抓包模块抓包并时序化报文，协议识别模块解析报文协议并按预设的白名单匹配协议，组流模块对报文按五元组组流生成流记录，流序列拼装模块将流记录按规则序列化成流序列，流序列特征提取模块提取流序列特征并生成僵尸特征库，特征匹配模块判断待测流序列的特征是否符合僵尸特征库中的某种僵尸网络。此种检测方法可降低计算资源的消耗，具有良好的适应性和检测准确率。

主权项

1.一种电力二次系统僵尸网络的检测方法，其特征在于包括如下步骤：步骤一：抓包模块将僵尸恶意代码产生的报文时序化后，输出至组流模块；步骤二：组流模块对输入报文按协议、源端口、目的端口、源IP和目的IP组流，得到流记录集合，每条流记录至少包含该流的流开始时间、流结束时间、报文总数及字节总数，流记录集合输出至流序列拼装模块；步骤三：流序列拼装模块将流记录集合中的每条流记录拼装成流序列，输出至流序列特征提取模块；步骤四：流序列特征提取模块提取每个流序列的平均流时间间隔、平均流持续时间和平均流字节数；步骤五：流序列特征提取模块对流序列进行01序列化，使用循环自相关方法计算01序列的最显著频率，并计算01序列的能量谱密度函数的最显著频率；所述步骤五中，对流序列进行01序列化的过程是：指用一个较小的时间间隔t分割一个流序列，设流序列总持续时间为T，T＝Nt，N为正整数，在一个t内，若有流开始，则置为1，否则置0，得到一个长度为N的01序列；步骤六：流序列特征提取模块使用X‑means聚类算法对平均流时间间隔、平均流持续时间、平均流字节数、01序列的最显著频率和能量谱密度函数的最显著频率这五个流序列特征分别聚类，并计算每个类别的均值、标准差和聚类质量；步骤七：循环执行步骤一到步骤六，流序列特征提取模块输出各个僵尸恶意代码的流量指纹，包含平均流时间间隔、平均流持续时间、平均流字节数、01序列的最显著频率、能量谱密度函数的最显著频率这五个流序列特征的类别均值、类别标准差、聚类质量以及特征匹配个数阈值和特征相似度得分阈值，使用预设步长自动调整特征匹配个数阈值和特征相似度得分阈值，使总的误报率和漏报率在调整范围内达到最小值；设01序列集合为S，使用循环自相关方法计算S中每个序列的最显著频率f₁，计算方法如以下公式：将01序列f的项数标准化为2的整数次幂，选取序列f的前P个元素构成的子序列，满足：P＝2ⁿ,P≤M,2ⁿ⁺¹＞M n∈Q其中，P为01序列f标准化后的元素个数，M为01序列f原始的元素个数，Q为自然数集；01序列f的离散自相关函数：01序列f的离散循环自相关函数：循环自相关最显著频率计算：对于S中每个序列计算能量谱密度函数Φ，根据Φ能够得到序列的能量谱密度函数的最显著频率f₂，计算方法如以下公式：01序列f的离散傅里叶变换：01序列f的能量谱密度函数：将01序列f的项数标准化为2的整数次幂，选取序列f的前P个元素构成的子序列，满足：P＝2ⁿ,P≤M,2ⁿ⁺¹＞M n∈Q其中，P为01序列f标准化后的元素个数，M为01序列f原始的元素个数，Q为自然数集；在得到能量谱密度函数Φ(k)后，选取Φ最大的k，k≠0，计算得到频率f₂：步骤八：抓包模块接收待分析报文做为输入，时序化后输出至协议识别模块；步骤九：协议识别模块将待分析报文输出至组流模块组流，按照步骤二到步骤五处理后，将生成的待分析流序列特征输入至特征匹配模块；步骤十：特征匹配模块比对待分析流序列特征与“流量指纹”库，若特征匹配个数超过特征匹配个数阈值，且特征相似度得分超过特征相似度得分阈值，则将待分析流序列处理为该僵尸网络流序列，若符合多条指纹，则将特征相似度得分最大的流序列处理为该僵尸网络流序列，记录并产生告警。