[发明专利]僵尸网络检测方法和控制器

说明书

本发明实施例提供一种僵尸网络检测方法和控制器，该方法包括：接收SDN中openflow交换机上报的每个流转发规则的统计信息，统计信息包括子流转发规则的第一匹配次数和母流转发规则的第二匹配次数；根据各第一匹配次数和各第二匹配次数确定每个服务器被任一用户终端访问的访问概率集合；根据访问概率集合两两计算访问任两个服务器的用户终端的相似度得到访问相似度矩阵；采用谱聚类算法对访问相似度矩阵进行谱聚类以根据聚类结果确定是否存在僵尸网络。母流转发规则中的源IP地址为一个子网地址，大大降低了控制器的处理负载，基于访问相似度来确定僵尸网络，提高了僵尸网络的检测效率。

技术领域

本发明属于计算机网络安全技术领域，具体是涉及一种僵尸网络检测方法和控制器。

背景技术

僵尸网络(Botnet)是指攻击者使用一种或多种传播手段将大量主机感染僵尸(bot)程序，从而在攻击者和被感染主机之间形成的一个一对多的控制网络，其中，被感染主机即为僵尸主机，攻击者可以通过命令与控制(Command and Control，以下简称C&C)信道一对多地控制僵尸主机。僵尸网络构成一个攻击平台，利用这个平台可以发起各种各样的网络攻击行为，从而导致某些应用系统的瘫痪、个人隐私的泄露等。比如，利用僵尸网络发送垃圾邮件、窃取机密等网络攻击行为。

目前的僵尸网络检测方法，多是通过对网络数据流进行聚类来发现僵尸网络。这种聚类多是通过将被检测网络中广泛分布的多个交换机、网关设备等网络设备上的数据流信息镜像到一个用于僵尸网络检测的后台服务器中，以便后台服务器根据收到的该各个数据流信息中各自包含的特征信息比如源IP地址、目的IP地址、数据包大小、端口号等信息来对各个数据流信息进行聚类分析，从而基于聚类分析的结果发现与僵尸网络对应的网络流量的异常行为，进而检测出僵尸网络。

上述的僵尸网络检测方法中，由于网络设备的局限性，对广泛分布的比如各网关设备上的各个数据流进行流量镜像，进而解析各数据流中的数据包特征进行聚类分析，由于流量镜像采集获得的数据流非常庞大，并且需对多个数据包特征进行解析，使得处理负载过大，导致僵尸网络的检测效率较低。

发明内容

针对现有技术中存在的问题，本发明实施例提供一种僵尸网络检测方法和控制器，以用于克服现有技术中基于流量镜像和数据包特征进行聚类分析导致处理负载大、僵尸网络检测效率低的缺陷。

本发明实施例第一方面提供一种僵尸网络检测方法，包括：

接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则的统计信息，所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规则，所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配次数；

其中，所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对应的数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器，所述母流转发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器；

根据所述第一匹配次数和所述第二匹配次数，计算所述服务器被所述SDN中任一用户终端访问的访问概率，获得所述服务器的访问概率集合；

根据所述访问概率集合，计算访问所述服务器中任意两个服务器的用户终端的相似度，得到访问相似度矩阵；

采用预设谱聚类算法对所述访问相似度矩阵进行谱聚类，获得聚类结果；

根据所述聚类结果确定是否存在僵尸网络。

结合第一方面，在第一方面的第一种可能的实现方式中，所述根据所述第一匹配次数和所述第二匹配次数，确定所述服务器被所述SDN中任一用户终端访问的访问概率，获得所述服务器的访问概率集合，包括：

根据下列公式计算服务器被所述SDN中的任一用户终端访问的平均访问次数：