[发明专利]基于混合关联的Fast-Flux僵尸网络攻击检测系统

权利要求书

1.基于混合关联的Fast-Flux僵尸网络攻击检测系统，其特征在于：包括用户网络流量输送系统、网络检测系统和云端共享系统；

所述用户网络流量输送系统，用于将主服务器输送来供用户端使用的网络流量进行分级输送，并控制单位时间单组分级输送的输送量，且将没有受到网络攻击的分级输送流量进行重新整合进行用户端的输送；

所述网络检测系统，用于通过对分级后的各组流量进行单个检测处理，并通过检测结果重新发送给所述用户网络流量输送系统，将可用分级流量进行重新整合；

所述云端共享系统，用于将携带Fast-Flux僵尸病毒的域名以及IP地址进行云端存储，并共享给其他网络客户端。

2.根据权利要求1所述的基于混合关联的Fast-Flux僵尸网络攻击检测系统，其特征在于：所述用户网络流量输送系统包括第一输送端、流量分散模块、分级输送端、输送控制模块、流量整合模块和流量使用模块；

所述第一输送端，用于输送来自主服务器提供的网络流量数据；

所述流量分散模块，用于将通过第一输送端提供的网络流量数据进行分级输送；

所述分级输送端，用于承载输送分级后的网络流量数据；

所述输送控制模块，用于通过所述网络检测系统的控制，实现对分级输送端的通断输送处理；

所述流量整合模块，用于将安全流量进行重新整合输送；

所述流量使用模块，用于给用户端提供安全的使用流量输送端口。

3.根据权利要求2所述的基于混合关联的Fast-Flux僵尸网络攻击检测系统，其特征在于：所述网络检测系统包括分级流量采集模块、可疑Fast-Flux网络检测模块和检测结果识别模块；

所述分级流量采集模块，用于采集来自所述分级输送端的各组分级流量；

所述可疑Fast-Flux网络检测模块，用于对各组的采集流量进行僵尸网络攻击分析；

所述检测结果识别模块，用于获取检测结果，并且在存在僵尸网络攻击时将信号发送至所述输送控制模块，控制其相对应的分级输送端。

4.根据权利要求3所述的基于混合关联的Fast-Flux僵尸网络攻击检测系统，其特征在于：所述可疑Fast-Flux网络检测模块包括特征提取模块和模型训练模块；

所述特征提取模块，用于提取各组网络流量中的僵尸网络特征；

所述模型训练模块，用于通过XGBoost分类算法检测提取关联特征进行模型训练和分类。

5.根据权利要求3所述的基于混合关联的Fast-Flux僵尸网络攻击检测系统，其特征在于：所述云端共享系统包括域名和IP地址获取模块、攻击网络存储模块和全网发布模块；

所述域名和IP地址获取模块，用于通过所述检测结果识别模块获取相关攻击网络的域名和IP地址；

所述攻击网络存储模块，用于对获取的域名和IP地址进行存储，并将此域名和IP地址直接更新至所述可疑Fast-Flux网络检测模块中；

所述全网发布模块，用于将此域名和IP地址共享至全网使用。