一种跨域环境中的僵尸网络检测方法及系统

技术领域

本发明属于网络安全领域，特别涉及一种跨域环境中的僵尸网络检测方法及系统。

背景技术

跨域网络流是指在不同域之间传输的网络流。在计算机网络中，域是通过域名、协议或端口进行标识和区分的网络实体。当流量从一个域传输到另一个域时就涉及到了跨域网络流。跨域网络流关联分析是一种网络分析方法，用于识别不同域之间网络流量的关联关系。跨域网络流关联分析的目的是将来自不同域之间的网络流进行关联性分析。

跨域网络流关联分析对网络安全有着重要的意义。通过分析不同域之间的网络流量数据，可以揭示出潜在的攻击者合作关系、威胁情报的传播路径以及攻击行为之间的相互影响。其中，跨域网络流关联分析能够很有效的去检测僵尸网络。僵尸网络通常涉及到多个域之间的流量交互和协作。僵尸网络通常由一个或多个控制节点和多个受控制的僵尸节点组成。这些节点之间通过跨域流量进行通信和指令传递——僵尸网络的控制节点会通过命令和控制通道向僵尸节点发送指令，并接收来自僵尸节点的数据。通过跨域网络流量的分析，可以识别不同域之间的指令和数据交换模式，从而推断可能存在的僵尸网络通信。僵尸网络的活动通常表现为大规模异常流量行为，例如大量的数据传播、频繁的连接请求、异常的协议行为等。通过分析跨域流量数据，可以识别和检测这些异常行为。

随着物联网(IoT)的发展，许多设备已应用于敏感领域(如智能交通、医疗保健、工业控制)，相较于传统设备(如笔记本电脑、手机、服务器)，物联网设备因安全措施不足而更易受到攻击，而成倍增长的易受攻击设备为孕育僵尸网络创造了一个绝佳的场所。如今，大多数与僵尸网络相关的安全事件是由物联网僵尸网络引起的。僵尸节点与可疑主机是网络攻击的两个主要来源。僵尸节点是指被黑客控制的计算机，可以被用来进行各种网络攻击，如DDoS攻击、恶意代码传播等。可疑主机则是指那些具有异常行为的主机，比如非正常的流量、端口扫描、频繁的登录尝试等。

现有针对单个传统网络区域的僵尸网络检测方法忽视了物联网的跨域隐私问题和资源约束特性，影响了检测的有效性。传统的僵尸网络检测方法一般致力于检测僵尸主机在连接C&C服务器时的相似性，检测特征不限于同步的DNS请求、统一的周期模式、一致的系统事件、相互通信的目的地址等。但是，上述检测的前提是拥有最高数据访问权限。而在基于合作的物联网环境下，各网络区域拥有各自的隐私数据，尤其是关键基础设施中收集了大量隐私敏感数据，各区域是不愿直接相互共享其数据的。

为在合作环境中解决僵尸网络检测的隐私问题，可采用集中式的TTP(受信任的第三方)架构，它保存所有区域网络流量或系统日志，并计算隐藏在不同区域的僵尸主机之间的相似性。然而，建立这样一个TTP会带来性能瓶颈和单点故障等问题。其他方案如采用基于密码学的方法来保护隐私，但该方案需要消耗大量的通信和计算资源。对于资源受限的物联网设备而言，仅增加5％的CPU使用率就会减少物联网设备一年的电池寿命。

发明内容

第一方面，本发明提供了一种跨域环境中的僵尸网络检测方法，该方法解决的关键问题是隐私保护下网络流量所对应的二进制向量间的相似度计算，具体包括以下步骤：

S1、代理Q对僵尸网络流量进行特征预处理；代理P对可疑异常网络流量加密，或者可疑僵尸网络流量进行特征预处理；

S2、代理Q对僵尸网络流量加密；

S3、代理P可疑异常网络流量或可疑僵尸网络流量加密；

S4、相似度计算包括：代理P中的加密可疑异常网络流量与代理Q中的僵尸网络流量的相似度计算，或者代理P中的加密可疑僵尸网络流量与代理Q中的僵尸网络流量的相似度计算；当相似度大于阈值时，则判定它们属于同一僵尸网络；

优选的，所述S1中的所述特征预处理，包括从僵尸主机提取二进制向量、使用神经网络算法进行特征提取；从僵尸主机提取二进制向量，采用nPrint进行二进制对齐；

更优的，所述S1中的所述特征预处理中的神经网络算法包括输入层、LSTM隐藏层和线性层；二进制对齐后的流向量的每一个特征输入到一个LSTM cell中得到n个隐藏状态向量，再将n个隐藏状态输入到第二个LSTM中输出最后时间步的隐藏状态向量，维度为n。使用一个线性层对最后输出隐藏状态向量的每一位做分类，大于0.5时特征值置为1，小于0.5时特征值置为0；

优选的，所述S2中所述的僵尸网络流量加密采用PPSPC技术的组匹配方案对僵尸网络流量进行加密；

更优的，所述S2中所述的僵尸网络流量加密通过代理Q将预处理后的僵尸网络流量的二进制特征向量b加密为新的加密向量d，特征向量的维度为n，具体计算方法如下：

S2.1、密钥生成：代理Q选择两个大素数p和q，p为256bit，q满足q>(n+1)·p

S2.2、混淆因子生成：代理Q为向量b中的每个元素b

S2.3、阈值选择：代理Q设置一个阈值τ(根据具体网络环境由网络管理员确定)，表示对可疑宿主的相似性容忍；即当僵尸网络流量b和可疑异常流量s的相似特征的数量大于τ时，说明网络中存在被僵尸网络感染的计算机主机，或者存在其他形式的恶意行为，比如恶意扫描，端口扫描等；

S2.4、向量生成：对于向量b，代理Q按照如下公式计算其加密后的向量d，其中b

上述公式可简化为：d

S2.5、公开信息：代理Q公开密钥p和加密向量d，留下阈值τ、密钥q、僵尸网络流量向量b特征个数f和相应参数k。

优选的，所述S3中的所述可疑异常网络流量加密采用PPSPC技术的组匹配方案对可疑异常网络流量进行加密；

更优的，所述S3中的所述可疑异常网络流量加密包括以下步骤：

S3.1、混淆因子：对于加密向量d，代理P生成n个随机数r

S3.2、向量生成：代理P根据如下公式计算可疑异常网络流量s对应的向量e，其中s

上述公式可简化为：e

S3.3、加密结果计算：可疑异常网络流量s的加密结果l为：

S3.4、公开信息：代理P将加密结果l和异常网络流量s的特征个数g发送给代理Q；

优选的，所述S4中的所述相似度计算方法为：代理Q计算僵尸网络流量b与接收到的l之间的相似度，计算公式如下：

x＝(l+k)mod q

第二方面，本发明提供了一种跨域环境中的僵尸网络检测系统，其特征在于，所述僵尸网络流检测系统包括第一域中的第一网络和第二域中的第二网络；所述第一网络包括多个网络主机，所述第二网络包括多个网络主机；所述第一域中的第一网络包括代理Q，所述第二域中的第二网络包括代理P；

所述第一网络中的所述多个网络主机将产生的僵尸网络流量发往第一域中的所述代理Q进行特征预处理和加密，从而由代理Q生成加密后的僵尸网络流量；

所述第二网络中的所述多个网络主机将产生的可疑僵尸网络流量或可疑异常网络流量发往第二域中的所述代理P进行特征预处理和加密，从而由代理P生成加密后的可疑僵尸网络流量或可疑异常网络流量；

所述代理P将所述由代理P生成加密后的可疑僵尸网络流量或可疑异常网络流量发送给所述代理Q；所述代理Q计算接收到的所述由代理P生成加密后的僵尸网络流量或可疑异常网络流量与所述由代理Q生成加密后的僵尸网络流量之间的相似度，并将计算结果返回给所述代理P，然后所述第一网络和所述第二网络再进行后续通信；

所述特征预处理包括以下步骤：使用nPrint进行二进制向量对齐；使用神经网络算法进行特征提取；

所述的加密采用PPSPC技术的组匹配方案。

所述相似度的计算方法采用Ochiai相似性：

相比现有技术，本发明具有以下有益效果：

本发明使用nPrint实现僵尸网络流向量与可疑异常流量二进制特征向量对齐，方便后续计算可疑异常流与每个僵尸主机流特征向量每个特征的相似度，并且使用两个LSTM有效地提取每个特征之间的时间依赖性和相关性，从而得到更加全面和准确的特征表示以及避免特征之间的信息损失和信息冗余。

本发明采用基于PPSPC技术(即隐私计算的方法所属的技术类别)的组匹配方案，无需任何TTP或重度密码学方法即可保证高隐私度和轻量级性能，使多个组织能够在不暴露敏感数据的情况下协作检测僵尸网络。

附图说明

图1是本发明跨域环境中的僵尸网络检测方法的架构图

图2是本发明跨域环境中的僵尸网络检测系统的流程图

具体实施方式

下面对本发明的实施例作详细说明，下述的实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

实施例一，如图1所示，跨域环境中的僵尸网络检测方法的一种具体实现如下：

步骤1：僵尸网络流量与可疑异常网络流量特征预处理。具体算法如下：

本发明使用二进制向量来表示网络流量的特征。僵尸网络由m个僵尸主机组成，将每个僵尸主机某个时间段内的所有网络流合成一个流向量，得到某个时间段内的僵尸网络流量矩阵B，每个僵尸主机在某段时间内的网络流都有其二进制向量b(n个特征)。使用nPrint实现二进制对齐。将每个僵尸网络流向量b和可疑异常流量的二进制向量作为输入输入到nprint中，得到的输出为形如{x

将二进制向量{x

将隐藏状态向量{h

将n维的隐藏向量h

h

步骤2:僵尸网络流量加密。代理Q将预处理后的僵尸网络流量的二进制特征向量b加密为新的加密向量d，特征向量的维度为n，具体计算方法如下：

(1)密钥生成：代理Q选择两个大素数p和q，p为256bit，q满足q>(n+1)·p

(2)混淆因子：代理Q为向量b中的每个元素b

(3)阈值选择：代理Q设置一个阈值τ(根据具体网络环境由网络管理员确定)，表示对可疑宿主的相似性容忍。即当僵尸网络流量b和可疑异常流量s的相似特征的数量大于τ时，说明网络中存在被僵尸网络感染的计算机主机，或者存在其他形式的恶意行为，比如恶意扫描，端口扫描等。

(4)向量生成：对于向量b，代理Q按照如下公式计算其加密后的向量d，其中b

上述公式可简化为:

d

(5)公开信息：代理Q公开密钥p和加密向量d，留下阈值τ、密钥q、僵尸网络流量b特征个数f和相应参数k。

步骤3:可疑异常流量加密。预处理后的可疑异常流量向量为s＝(s

(1)混淆因子:对于加密向量d，代理P生成n个随机数r

(2)向量生成:代理P根据如下公式计算可疑异常网络流量s对应的向量e，其中s

上述公式可简化为:

e

(3)加密结果:可疑异常网络流量s的加密结果l为:

(4)公开信息:代理P将加密结果l和异常网络流量s的特征个数g发送给代理Q。

步骤4：相似度计算。代理Q计算僵尸网络流量b与接收到的l之间的相似度，计算公式如下:

x＝(l+k)mmodq

只有当相似度大于τ时，可疑异常网络流量s被认为是僵尸网络流量，说明网络中存在被感染的计算机主机或者存在恶意行为。

实施例二，如图2所示，跨域环境中的僵尸网络检测系统的一种具体实现如下：

一种应用轻量级隐私保护方法的适用于多区域合作环境的僵尸网络流检测系统，该系统解决的关键问题是，拥有可疑异常流量s或可疑僵尸网络流量S的一方P想知道s/S是否可以加入另一方Q的僵尸网络B。

系统中，一方的数据有两种类型：僵尸网络流和可疑异常网络流。僵尸网络流是指由僵尸网络中僵尸主机生成的网络流量。僵尸主机是指被黑客利用通过网络木马病毒或其他恶意软件感染的主机，通常用于发起大规模的网络攻击，例如DDoS攻击等。可疑主机则是指那些具有异常行为的主机，比如非正常的流量、端口扫描、频繁的登录尝试等。僵尸网络由多个被感染的主机组成，可疑异常网络流是指由可疑主机生成的流量，可疑主机是一个行为异常但不能与其他主机形成僵尸网络的主机。本发明是有监督的，对于僵尸网络中的每个僵尸主机，将某个时间段内的所有网络流合成一个流向量。对可以异常流量，每个流向量用一个二进制向量表示：对于一个流向量，如果它具有第i个特征，则向量的第i个元素为1，否则为0。对每一个流向量的二进制特征向量做预处理：使用nPrint实现二进制对齐，并将每一个特征输入到一个LSTM cell中得到n个隐藏状态向量，再将n个隐藏状态输入到第二个LSTM中输出最后时间步的隐藏状态向量，维度为n。使用一个线性层对最后输出隐藏状态向量的每一位做分类，大于0.5时特征值置为1，小于0.5时特征值置为0。特征预处理的目的是统一二进制向量的维度，方便后续计算可疑异常流量与僵尸网络流量每个特征的相似度。其优势在于可以有效地提取每个特征之间的时间依赖性和相关性，从而得到更加全面和准确的特征表示以及避免特征之间的信息损失和信息冗余。经过预处理后，可疑异常流量和僵尸网络流量的特征将被转化为包含更多信息的向量。此外，特征预处理也使得我们可以为每个特征选择合适的权重以及阈值等参数，使得可疑异常流量和僵尸网络流量的相似度计算更加准确和完善。在特征预处理的基础上，我们可以继续计算可疑异常流量与僵尸网络流量之间的相似度，并基于设定的阈值来判断它们是否属于同一个僵尸网络。这样，僵尸网络流量矩阵B中的第i个僵尸主机流向量可以用向量b

注：Ochiai相似性

具体检测流程如下。

第一步，Q方将由m个僵尸主机网络流向量组成的僵尸网络流量矩阵B发送给代理Q。代理Q对其进行加密，并公开相关信息。

第二步，P方将可疑异常网络流s或可疑僵尸网络流S的向量发送给代理P。代理P向代理Q发送请求，并获取僵尸网络流量矩阵B的相关信息。

第三步，代理P生成加密的结果

第四步，代理Q计算相似度，判断s/S是否可以加入僵尸网络流量矩阵B，并将结果返回给代理P。

第五步，如果s/S和B属于一个僵尸网络，代理将结果返回给各方，双方可离线讨论进一步的合作。

其中，第一步中的僵尸网络加密步骤如下。

代理Q根据每个僵尸主机的特点对僵尸网络流量进行加密。如前所示，僵尸网络由m个僵尸主机组成，将每个僵尸主机某个时间段内的所有网络流合成一个流向量，得到某个时间段内的僵尸网络流量矩阵B，每个僵尸主机的网络流都有其二进制向量b(n个特征)。因此，僵尸网络流量矩阵可以用m×n的矩阵表示。在僵尸网络流量加密步骤中，僵尸网络流量B中的每个僵尸网络流向量都是独立的。代理Q可以分别计算僵尸主机b

具体来说，对于僵尸网络流量矩阵B，代理Q产生其m×n混淆矩阵R

D

所有僵尸主机流向量对应的参数k可以用m长度的向量K表示:

K

其中1

最后，代理Q将加密后的矩阵D和密钥p公开。

其中，第三步中的可疑异常流量/僵尸网络流量加密步骤如下。

对于可疑异常流量，代理P根据可疑异常流量特征和僵尸网络流量加密矩阵D计算加密向量L。

可疑异常流量s的加密矩阵：

计算向量L：

对于m×n僵尸网络流量加密矩阵D，代理P生成其m×n的混淆矩阵R

其中，1

注：哈达玛积(Hadamard product)是矩阵的一类运算，若A＝(a

最后，代理P将加密结果L和特征个数g发送给代理Q。

同理，对于僵尸网络模式，计算方法为：

其中

其中，第四步中的相似度计算步骤如下。

对于可疑异常流量模式，代理Q计算可疑流量s与僵尸网络流量B中的每个僵尸主机流向量的相似度。更准确地说，对于B中的每个僵尸主机网络流向量b

X

其中用K和L分别分别表示所述检测流程第一步和述检测流程第二步的计算中的结果，g是可疑异常流量的特征数量，长度为m的向量F代表僵尸网络流量B的特征数量，./表示生成一个与操作数维数相同的矩阵，Sim

对于僵尸网络模式，代理Q计算可疑僵尸网络流量S中的每个异常流向量s

由于相似度度量算法时基于独立矢量计算的，因此可以将其进行拆分并行处理。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的试验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。