ip�����。2. 如權(quán)利要求1所述的木馬檢測方法�����,其特征在于���,S3包括分別對同一組ip對的數(shù)據(jù) 包執(zhí)行以下步驟: S31���、設(shè)定一分隔閾值�����,將相鄰的兩個(gè)時(shí)間間隔小于所述分隔閾值的數(shù)據(jù)包聚為一個(gè)簇���。3. 如權(quán)利要求2所述的木馬檢測方法,其特征在于�����,S31的分隔閾值通過以下步驟設(shè) 定: s311����、獲取該組ip對的前N個(gè)數(shù)據(jù)包中相鄰的兩個(gè)數(shù)據(jù)包的時(shí)間間隔�����,N為小于或等于 該組ip對的數(shù)據(jù)包的總數(shù)的正整數(shù)�; 5312、 計(jì)算該些時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差�; 5313、 從該些時(shí)間間隔中����,去除大于平均時(shí)間間隔加Μ倍的時(shí)間間隔標(biāo)準(zhǔn)差的時(shí)間間隔����, Μ為正數(shù)��; 5314�、 計(jì)算剩余的時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差; 5315���、 計(jì)算分隔閾值��,分隔閾值等于S314中計(jì)算出的平均時(shí)間間隔加S314中計(jì)算出的時(shí)間 間隔標(biāo)準(zhǔn)差�。4. 如權(quán)利要求1所述的木馬檢測方法��,其特征在于��,S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差��, \中若方差小于方差閾值���,則時(shí)間序列為木馬序列�; 或���,S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括不穩(wěn)定度instability�,S7中若不穩(wěn)定度instability小于不穩(wěn)定度閾值,則時(shí)間序列為木馬序列����,不穩(wěn)定度的計(jì)算公式如下:式中nk為類k中簇的個(gè)數(shù),Tkil為類k中簇按時(shí)間先后順序排序后第i個(gè)簇的到達(dá)時(shí) 間�����; 或�����,S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差和不穩(wěn)定度instability��,S7中若方差小于方差閾 值且不穩(wěn)定度instability小于不穩(wěn)定度閾值����,則時(shí)間序列為木馬序列����。5. 如權(quán)利要求1所述的木馬檢測方法,其特征在于�����,S7還包括: 571、 計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的頻域統(tǒng)計(jì)量���; 572��、 篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且頻域統(tǒng)計(jì)量不在第二閾值范圍內(nèi)的時(shí)間序 列作為木馬序列����,輸出木馬ip��。6. 如權(quán)利要求5所述的木馬檢測方法�,其特征在于,S71包括: 5711����、 對標(biāo)準(zhǔn)化后的時(shí)間序列進(jìn)行離散傅立葉變換,得到一組傅立葉系數(shù)��; 5712���、 分別用相位和振幅計(jì)算模值��,形成一個(gè)新的序列����; s713、計(jì)算所述新的序列對應(yīng)的自相關(guān)系數(shù)����; s714、剔除0階的自相關(guān)系數(shù)���,計(jì)算剩余的自相關(guān)系數(shù)的絕對值的均值�;s72包括篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且s714計(jì)算的均值小于均值閾值的時(shí)間 序列作為木馬序列����,輸出木馬ip。7.如權(quán)利要求1所述的木馬檢測方法����,其特征在于,S1還包括對所述網(wǎng)絡(luò)流量數(shù)據(jù)預(yù) 處理��,去除含有空值的網(wǎng)絡(luò)流量數(shù)據(jù)����。8. 如權(quán)利要求1所述的木馬檢測方法,其特征在于���,S2包括:將相互通信的兩個(gè)ip作 為一個(gè)ip對���,將相同的ip對分為一組。9. 如權(quán)利要求1所述的木馬檢測方法���,其特征在于��,S4包括: 541���、 獲取同一組ip對的數(shù)據(jù)包聚成的簇的簇大小和簇長度; 542����、 將簇大小和簇長度均相同的簇聚為一個(gè)類。10. 如權(quán)利要求1所述的木馬檢測方法�,其特征在于,S4還包括:對聚成的類進(jìn)行過濾��。11. 如權(quán)利要求10所述的木馬檢測方法�����,其特征在于,S4是通過以下步驟中的一種或 多種對聚成的類進(jìn)行過濾的: s431����、剔除包含簇的數(shù)量小于一數(shù)量閾值的類; S432��、根據(jù)每個(gè)類對應(yīng)的時(shí)間序列的時(shí)間間隔計(jì)算每個(gè)類對應(yīng)的平均心跳間隔���,剔除平 均心跳間隔小于一心跳間隔閾值的類�; s433�、剔除所包含的簇的簇大小均為1的類。12. -種木馬檢測系統(tǒng)�����,其特征在于�,所述木馬檢測系統(tǒng)包括: 一采集單元,用于采集網(wǎng)絡(luò)流量數(shù)據(jù)�����; 一分組單元����,用于將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組�����; 一包聚簇單元,用于將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇��; 一簇聚類單元�����,用于將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類����; 一標(biāo)準(zhǔn)化單元,用于將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化��,所述時(shí)間序列由類中的簇間隔 構(gòu)成�����; 一時(shí)序統(tǒng)計(jì)單元�,用于分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量; 一篩選單元����,用于篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列���, 輸出木馬ip。13.如權(quán)利要求12所述的木馬檢測系統(tǒng)����,其特征在于,所述包聚簇單元包括一設(shè)定模 塊����; 所述設(shè)定模塊用于對同一組ip對的數(shù)據(jù)包分別設(shè)定一分隔閾值,將相鄰的兩個(gè)時(shí)間 間隔小于所述分隔閾值的數(shù)據(jù)包聚為一個(gè)簇�����。14.如權(quán)利要求13所述的木馬檢測系統(tǒng)�����,其特征在于�����,所述設(shè)定模塊還用于調(diào)用以下 模塊設(shè)定分隔閾值: 一時(shí)間間隔獲取模塊���,用于獲取該組ip對的前N個(gè)數(shù)據(jù)包中相鄰的兩個(gè)數(shù)據(jù)包的時(shí)間 間隔��,N為小于或等于該組ip對的數(shù)據(jù)包的總數(shù)的正整數(shù)��; 一第一計(jì)算模塊��,用于計(jì)算該些時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差�����; 一去除模塊����,用于從該些時(shí)間間隔中�����,去除大于平均時(shí)間間隔加Μ倍的時(shí)間間隔標(biāo)準(zhǔn) 差的時(shí)間間隔���,Μ為正數(shù)��; 一第二計(jì)算模塊����,用于計(jì)算剩余的時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差���; 一第三計(jì)算模塊����,用于計(jì)算分隔閾值,分隔閾值等于所述第二計(jì)算模塊計(jì)算出的平均 時(shí)間間隔加所述第二計(jì)算模塊中計(jì)算出的時(shí)間間隔標(biāo)準(zhǔn)差�。15. 如權(quán)利要求12所述的木馬檢測系統(tǒng),其特征在于�,所述時(shí)序統(tǒng)計(jì)單元計(jì)算的時(shí)序 統(tǒng)計(jì)量包括方差,所述篩選單元用于在方差小于方差閾值時(shí)判定時(shí)間序列為木馬序列���; 或�����,所述時(shí)序統(tǒng)計(jì)單元計(jì)算的時(shí)序統(tǒng)計(jì)量包括不穩(wěn)定度instability���,所述篩選單元用 于在不穩(wěn)定度instability小于不穩(wěn)定度閾值時(shí)判定時(shí)間序列為木馬序列,不穩(wěn)定度的計(jì) 算公式如下:式中nk為類k中簇的個(gè)數(shù)����,Tkil為類k中簇按時(shí)間先后順序排序后第i個(gè)簇的到達(dá)時(shí) 間; 或��,所述時(shí)序統(tǒng)計(jì)單元計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差和不穩(wěn)定度instability,所述篩選 單元用于在方差小于方差閾值且不穩(wěn)定度instability小于不穩(wěn)定度閾值時(shí)判定時(shí)間序 列為木馬序列��。16. 如權(quán)利要求12所述的木馬檢測系統(tǒng)�,其特征在于,所述篩選單元還包括: 一頻域統(tǒng)計(jì)單元��,用于計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的頻域統(tǒng)計(jì)量�; 一判斷單元,用于篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且頻域統(tǒng)計(jì)量不在第二閾值范 圍內(nèi)的時(shí)間序列作為木馬序列�����,輸出木馬ip����。17. 如權(quán)利要求16所述的木馬檢測系統(tǒng)����,其特征在于,所述頻域統(tǒng)計(jì)單元包括: 一傅里葉變換模塊�,用于對標(biāo)準(zhǔn)化后的時(shí)間序列進(jìn)行離散傅立葉變換,得到每個(gè)類對 應(yīng)的一組傅立葉系數(shù)�����; 一第四計(jì)算模塊�,用于分別用相位和振幅計(jì)算模值���,形成一個(gè)新的序列; 一第五計(jì)算模塊���,用于計(jì)算所述新的序列對應(yīng)的自相關(guān)系數(shù)���; 一第六計(jì)算模塊,用于剔除〇階的自相關(guān)系數(shù)����,計(jì)算剩余的自相關(guān)系數(shù)的絕對值的均 值; 所述判斷單元用于篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且所述第六計(jì)算模塊計(jì)算的 均值小于均值閾值的時(shí)間序列作為木馬序列�,輸出木馬iP。18. 如權(quán)利要求12所述的木馬檢測系統(tǒng)����,其特征在于,所述采集單元還用于對所述網(wǎng) 絡(luò)流量數(shù)據(jù)預(yù)處理���,去除含有空值的網(wǎng)絡(luò)流量數(shù)據(jù)���。19. 如權(quán)利要求12所述的木馬檢測系統(tǒng),其特征在于,所述分組單元用于將相互通信 的兩個(gè)ip作為一個(gè)ip對�����,將相同的ip對分為一組�。20. 如權(quán)利要求12所述的木馬檢測系統(tǒng),其特征在于���,所述簇聚類單元包括: 一簇特征獲取模塊���,用于獲取同一組ip對的數(shù)據(jù)包聚成的簇的簇大小和簇長度; 一聚類模塊��,用于將簇大小和簇長度均相同的簇聚為一個(gè)類����。21. 如權(quán)利要求12所述的木馬檢測方法����,其特征在于,所述簇聚類單元還用于對聚成 的類進(jìn)行過濾���。22. 如權(quán)利要求21所述的木馬檢測系統(tǒng)��,其特征在于�,所述簇聚類單元是通過調(diào)用以 下模塊中的一種或多種對聚成的類進(jìn)行過濾的: 一第一剔除模塊,用于剔除包含簇的數(shù)量小于一數(shù)量閾值的類����; 一第二剔除模塊,用于根據(jù)每個(gè)類對應(yīng)的時(shí)間序列的時(shí)間間隔計(jì)算每個(gè)類對應(yīng)的平均 心跳間隔���,剔除平均心跳間隔小于一心跳間隔閾值的類�; 一第三剔除模塊�����,用于剔除所包含的簇的簇大小均為1的類�。
【專利摘要】本發(fā)明公開了一種木馬檢測方法及系統(tǒng),其中����,所述木馬檢測方法包括:S1、采集網(wǎng)絡(luò)流量數(shù)據(jù)��;S2�����、將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組;S3���、將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇���;S4、將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類�;S5、將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化���,所述時(shí)間序列由類中的簇間隔構(gòu)成����;S6����、分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量;S7�、篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列����,輸出木馬ip。本發(fā)明彌補(bǔ)了現(xiàn)有的木馬檢測不準(zhǔn)確的不足�,能夠從多維度多變量的角度對網(wǎng)絡(luò)流量中可能存在的周期性的木馬心跳行為進(jìn)行有效地識別��,客觀準(zhǔn)確檢測出木馬序列和木馬ip��。
【IPC分類】H04L29/06
【公開號】CN105262729
【申請?zhí)枴緾N201510578540
【發(fā)明人】寶鵬慶, 周海燕, 唐力, 劉嬙, 王志海
【申請人】攜程計(jì)算機(jī)技術(shù)(上海)有限公司
【公開日】2016年1月20日
【申請日】2015年9月11日