了通過單個指標(biāo)捕捉到這種信息,使用 自相關(guān)系數(shù)的絕對值的均值刻畫���。對應(yīng)均值越小����,說明越易平穩(wěn)���,則該序列對應(yīng)的類更有可 能是一個木馬心跳行為��。由于〇階自相關(guān)系數(shù)為1���,因此需要把這個自相關(guān)系數(shù)預(yù)先剔除, 然后再計算剩余的自相關(guān)系數(shù)的絕對值的均值���。
[0045] 較佳地�,Si還包括對所述網(wǎng)絡(luò)流量數(shù)據(jù)預(yù)處理,去除含有空值的網(wǎng)絡(luò)流量數(shù)據(jù)�����。
[0046] 本技術(shù)方案能夠預(yù)先去除不可能存在木馬心跳的網(wǎng)絡(luò)流量數(shù)據(jù)����,有利于減少檢測 木馬的工作量����,提高檢測效率。
[0047] 較佳地��,S2包括:將相互通信的兩個ip作為一個ip對�����,將相同的ip對分為一組�����。 其中���,通信包括上行包和下行包���,即互為源ip和目的ip的兩個ip作為一個ip對����。
[0048] 較佳地���,S4包括:
[0049] S41��、獲取同一組ip對的數(shù)據(jù)包聚成的簇的簇大小和簇長度�;
[0050] S42��、將簇大小和簇長度均相同的簇聚為一個類�����。
[0051] 聚完類后����,新的分析單元為一個類,其中包括類中簇的數(shù)量以及一個由簇間隔構(gòu) 成的時間序列��。
[0052] 較佳地�����,S4還包括:對聚成的類進行過濾。
[0053] 本技術(shù)方案能夠過濾掉不可能存在木馬心跳的類��,有利于減少檢測木馬的工作 量��,提尚檢測效率����。
[0054] 較佳地���,S4是通過以下步驟中的一種或多種對聚成的類進行過濾的:
[0055] S431��、剔除包含簇的數(shù)量小于一數(shù)量閾值的類�;
[0056] S432�����、根據(jù)每個類對應(yīng)的時間序列的時間間隔計算每個類對應(yīng)的平均心跳間隔�,剔 除平均心跳間隔小于一心跳間隔閾值的類;
[0057] S433��、剔除所包含的簇的簇大小均為1的類��。
[0058] 其中,S431中若類包含簇的數(shù)量小于數(shù)量閾值����,則表明在某一時間段內(nèi)ip對之間 的通信次數(shù)較少,是木馬心跳行為的概率較低���,數(shù)量閾值可以根據(jù)實際情況自由設(shè)定�����,如設(shè) 定數(shù)量閾值為5;由于木馬心跳具有一定的時效性����,其周期一般在一定范圍以內(nèi)����,所以若平 均心跳間隔太小,則是木馬心跳行為的概率也較低��;若類中的所有的簇的簇大小均為1����,則 表明類中所有的簇都是由一個單一的數(shù)據(jù)包構(gòu)成的,由于木馬心跳一般需要來回互相確認(rèn) 信息,由幾個包構(gòu)成���,所以這種類不可能存在木馬心跳行為����。
[0059] 通過步驟S431_S433中的一種或多種對聚成的類進行過濾��,可以有效地過濾掉不可 能存在木馬心跳的類��,大大減少檢測木馬的工作量��,提高檢測效率����。
[0060] 本發(fā)明還提供一種木馬檢測系統(tǒng),其特點是����,所述木馬檢測系統(tǒng)包括:
[0061] 一采集單元��,用于采集網(wǎng)絡(luò)流量數(shù)據(jù)����;
[0062] 一分組單元,用于將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組;
[0063] 一包聚簇單元�����,用于將同一組ip對的數(shù)據(jù)包分別聚為一個或多個簇��;
[0064] 一簇聚類單元���,用于將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個或多個類����;
[0065] -標(biāo)準(zhǔn)化單元�,用于將每一類對應(yīng)的時間序列標(biāo)準(zhǔn)化,所述時間序列由類中的簇 間隔構(gòu)成��;
[0066] -時序統(tǒng)計單元����,用于分別計算標(biāo)準(zhǔn)化后的時間序列的時序統(tǒng)計量;
[0067] -篩選單元���,用于篩選出時序統(tǒng)計量不在第一閾值范圍內(nèi)的時間序列作為木馬序 列����,輸出木馬ip。
[0068] 較佳地��,所述包聚簇單元包括一設(shè)定模塊��;
[0069] 所述設(shè)定模塊用于對同一組ip對的數(shù)據(jù)包分別設(shè)定一分隔閾值���,將相鄰的兩個 時間間隔小于所述分隔閾值的數(shù)據(jù)包聚為一個簇���。
[0070] 較佳地,所述設(shè)定模塊還用于調(diào)用以下模塊設(shè)定分隔閾值:
[0071] -時間間隔獲取模塊���,用于獲取該組ip對的前N個數(shù)據(jù)包中相鄰的兩個數(shù)據(jù)包的 時間間隔��,N為小于或等于該組ip對的數(shù)據(jù)包的總數(shù)的正整數(shù)�;
[0072] -第一計算模塊�����,用于計算該些時間間隔的平均時間間隔以及時間間隔標(biāo)準(zhǔn)差�;
[0073] -去除模塊�����,用于從該些時間間隔中,去除大于平均時間間隔加Μ倍的時間間隔 標(biāo)準(zhǔn)差的時間間隔�,Μ為正數(shù);
[0074] -第二計算模塊�����,用于計算剩余的時間間隔的平均時間間隔以及時間間隔標(biāo)準(zhǔn) 差�����;
[0075] 一第三計算模塊�����,用于計算分隔閾值��,分隔閾值等于所述第二計算模塊計算出的 平均時間間隔加所述第二計算模塊中計算出的時間間隔標(biāo)準(zhǔn)差��。
[0076] 較佳地��,所述時序統(tǒng)計單元計算的時序統(tǒng)計量包括方差�����,所述篩選單元用于在方 差小于方差閾值時判定時間序列為木馬序列�����;
[0077] 或,所述時序統(tǒng)計單元計算的時序統(tǒng)計量包括不穩(wěn)定度instability��,所述篩選單 元用于在不穩(wěn)定度instability小于不穩(wěn)定度閾值時判定時間序列為木馬序列�,不穩(wěn)定度 的計算公式如下:
[0079] 式中nk為類k中簇的個數(shù),T kil為類k中簇按時間先后順序排序后第i個簇的到 達時間�����;
[0080] 或����,所述時序統(tǒng)計單元計算的時序統(tǒng)計量包括方差和不穩(wěn)定度instability,所述 篩選單元用于在方差小于方差閾值且不穩(wěn)定度instability小于不穩(wěn)定度閾值時判定時 間序列為木馬序列�。
[0081] 較佳地,所述篩選單元還包括:
[0082] -頻域統(tǒng)計單元�����,用于計算標(biāo)準(zhǔn)化后的時間序列的頻域統(tǒng)計量��;
[0083] 一判斷單元��,用于篩選出時序統(tǒng)計量在第一閾值范圍內(nèi)且頻域統(tǒng)計量不在第二閾 值范圍內(nèi)的時間序列作為木馬序列���,輸出木馬ip��。
[0084] 較佳地����,所述頻域統(tǒng)計單元包括:
[0085] 一傅里葉變換模塊����,用于對標(biāo)準(zhǔn)化后的時間序列進行離散傅立葉變換,得到每個 類對應(yīng)的一組傅立葉系數(shù)�;
[0086] -第四計算模塊,用于分別用相位和振幅計算模值�����,形成一個新的序列����;
[0087] 一第五計算模塊,用于計算所述新的序列對應(yīng)的自相關(guān)系數(shù)�����;
[0088] -第六計算模塊�����,用于剔除0階的自相關(guān)系數(shù),計算剩余的自相關(guān)系數(shù)的絕對值 的均值�;
[0089] 所述判斷單元用于篩選出時序統(tǒng)計量在第一閾值范圍內(nèi)且所述第六計算模塊計 算的均值小于均值閾值的時間序列作為木馬序列,輸出木馬i P���。
[0090] 較佳地�����,所述采集單元還用于對所述網(wǎng)絡(luò)流量數(shù)據(jù)預(yù)處理�����,去除含有空值的網(wǎng)絡(luò) 流量數(shù)據(jù)��。
[0091] 較佳地�����,所述分組單元用于將相互通信的兩個ip作為一個ip對�����,將相同的ip對 分為一組����。
[0092] 較佳地,所述簇聚類單元包括:
[0093] 一簇特征獲取模塊�����,用于獲取同一組ip對的數(shù)據(jù)包聚成的簇的簇大小和簇長度���;
[0094] 一聚類模塊,用于將簇大小和簇長度均相同的簇聚為一個類��。
[0095] 較佳地�����,所述簇聚類單元還用于對聚成的類進行過濾�����。
[0096] 較佳地��,所述簇聚類單元是通過調(diào)用以下模塊中的一種或多種對聚成的類進行過 濾的:
[0097] -第一剔除模塊����,用于剔除包含簇的數(shù)量小于一數(shù)量閾值的類���;
[0098] 一第二剔除模塊,用于根據(jù)每個類對應(yīng)的時間序列的時間間隔計算每個類對應(yīng)的 平均心跳間隔����,剔除平均心跳間隔小于一心跳間隔閾值的類;
[0099] 一第三剔除模塊����,用于剔除所包含的簇的簇大小均為1的類。
[0100] 在符合本領(lǐng)域常識的基礎(chǔ)上����,上述各優(yōu)選條件,可任意組合�,即得本發(fā)明各較佳實 例。
[0101] 本發(fā)明的積極進步效果在于:本發(fā)明的木馬檢測方法及系統(tǒng)能夠從多維度多變量 的角度對網(wǎng)絡(luò)流量中可能存在的周期性的木馬心跳行為進行有效地識別��,客觀準(zhǔn)確檢測出 木馬序列和木馬ip���。
【附圖說明】
[0102] 圖1為本發(fā)明實施例的木馬檢測方法的流程圖����。
[0103] 圖2為本發(fā)明實施例的木馬檢測方法中設(shè)定ip對的分隔閾值及執(zhí)行包聚簇操作 的流程圖。
[0104] 圖3為本發(fā)明實施例的木馬檢測方法中將簇聚為類的流程圖�����。
[0105] 圖4為本發(fā)明實施例的木馬檢測方法中對聚成的類進行過濾的流程圖����。
[0106] 圖5為本發(fā)明實施例的木馬檢測方法中計算標(biāo)準(zhǔn)化后的時間序列的頻域統(tǒng)計量 的流程圖。
[0107] 圖6-1為對ip2 = 92. 243. 21. 205&num = 1進行分析得到的相鄰時間戳差分序列 圖�����。
[0108] 圖6-2為對ip2 = 92. 243. 21. 205&num = 1進行分析得到的時間差FFT變換后閾 值序列圖�。
[0109]