一种对跳板节点的关联分析发现方法与流程

1.本发明涉及一种网络安全技术领域的僵尸网络分析方法，特别是涉及一种对跳板节点的关联分析发现方法。


背景技术：

2.僵尸网络的主要特点是通过控制大量设备以实现大规模攻击等恶意行为的目的，由于其易用性、隐蔽性等特征被大量恶意利用。随着如今科技水平的快速发展，连接互联网的设备早已不再局限于电脑与手机，诸如路由器、打印机等家用设备也大量基于互联网为用户提供更多服务。
3.早期的僵尸网络检测技术重点在于单个网络节点或设备存在的僵尸网络相关行为的发现，如buriya等人提出的基于深度包检测(deep packet inspection)的基于协议特征的检测方式，通过分析每一种应用层协议的特征，建立特征数据库，可以取得较高的检测效果。这类研究已有十余年历史，对于发现网络中存在异常的节点检测可以达到较好的效果，然而面对对于如今繁杂数量的网络设备以及僵尸网络主机的隐蔽性，发现并关闭单个节点的处置方法难以对整个僵尸网络造成打击。近年来出现的基于图的僵尸网络检测技术克服了传统检测方法不能完全捕获网络通信模式的限制，可以有效模拟僵尸网络中主机之间的连通性以及僵尸网络拓扑结构。lagraa等人借助图形编辑距离(graphic edit distance，ged)来发现异常子结构。通过比较编辑操作，即对顶点和边的插入或删除，以及对顶点的重新标记的数量作为编辑距离。通过图形编辑距离可以找到与其他结构具有明显差别的异常ip，已有专利提出了一种僵尸网络多级控制关系的可视化分析方法。
4.综上，现有的僵尸网络分析方法的主要缺陷在于：大部分僵尸网络检测相关的技术仅能发现单个僵尸节点，对节点间的行为关联性缺乏掌握；目前的研究缺少对于已知跳板节点关联节点的进一步分析。
5.有鉴于上述现有的僵尸网络分析方法存在的缺陷，本发明人经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本发明。


技术实现要素：

6.本发明的主要目的在于，克服现有的僵尸网络分析方法存在仅能发现单个僵尸节点，对节点间的行为关联性缺乏掌握的缺陷，而提供一种新的一种对跳板节点的关联分析发现方法，所要解决的技术问题是使其能掌握节点间的行为关联性，能够对于已知跳板节点关联节点做进一步分析，非常适于实用。
7.本发明的另一目的在于，提供一种新的一种对跳板节点的关联分析发现方法，所要解决的技术问题是使其利用发现的跳板节点流数据，挖掘出上级节点信息，进而发现真正的攻击者，对于加强网络设备威胁监测、识别、溯源等工作具有重要作用，从而更加适于实用。
8.本发明的还一目的在于，提供一种新的种对跳板节点的关联分析发现方法，，所要
解决的技术问题是基于时间、空间维度三种特征对流数据的分析的方法，使其有效发现在相近时间段存在相似流入/流出流量行为的ip对并导出，从而更加适于实用。
9.本发明的再一目的在于，提供一种新的一种对跳板节点的关联分析发现方法，所要解决的技术问题是采用流量曲线分析方法，使其将所有活跃时间相近的ip对绘制流入/流出跳板节点的流量曲线分析传输流量的相似性，进一步梳理ip对与跳板节点的上下级控制关系，从而更加适于实用，且具有产业上的利用价值。
10.在僵尸网络中，真正的攻击者往往处于隐匿状态，当他们利用僵尸网络发起攻击时通常利用跳板设备，而不是攻击组织的控制服务器直接连接攻击目标，使得僵尸网络节点检测发现的大多为受控制的跳板节点而非真正的控制服务器，如何利用发现的跳板节点流数据，挖掘出上级节点信息，进而发现真正的攻击者，对于加强网络设备威胁监测、识别、溯源等工作具有重要的作用。
11.针对现有技术中存在的技术问题，本发明构思是提供一种通过分析僵尸网络中跳板节点，找出行为相似对端节点，进一步发现上级控制节点的方法。该方法可以基于流数据，判定与跳板节点连接的哪些节点行为存在相似性，从而发现利用跳板节点实施多级控制等恶意行为的上下级节点，进一步发现可能属于同一僵尸网络中的多个节点，为找出整条多级控制链中的上级节点，以及后续溯源分析提供帮助。
12.本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种对跳板节点的关联分析发现方法，其步骤为：
13.步骤1：原始数据处理
14.以流数据的形式记录存储的双向网络流数据中提取网络特征，梳理所有与跳板节点连接的节点的行为，这些流数据携带从一个网络节点转发数据包到另一个网络节点所需的基本ip层信息，根据流数据提取最具有代表性的七个特征组成七元组，基于该七元组特征，根据时间段切片，梳理每个时间片内的入、出ip及流量信息；
15.步骤2：发现可疑ip
16.在基于时间维度分析与跳板节点连接的不同节点间的时间行为相似性，发现在相近时间段存在相似流入/流出流量行为的ip，统计连续出现的ip，筛选流量重合度高的ip对；
17.步骤3：绘制流量曲线分析
18.将所有筛选得到的可疑ip依据可疑度排序并分别绘制与跳板节点的流入流出曲线，进一步梳理可疑ip在同步行为的上下级控制关系。
19.进一步，所述的步骤1具体步骤如下：
20.步骤1.1:七元组特征提取
21.取用僵尸网络中包含跳板设备ip的流数据,这些流数据携带了从一个网络节点转发数据包到另一个网络节点所需的基本ip层信息,所采用七元组包括源ip，源端口，目的ip，目的端口，包数、字节数和开始时间，将源源端口，目的ip，目的端口，包数、字节数和开始时间作为流数据的特征，且对于开始时间这一特征以10分钟为区间切片，以倒排表归纳每个时间段内出现的ip及流量信息；
22.步骤1.2:制作倒排表
23.在网络数据分析中，根据分析需求不同，需要对原始数据做不同处理以体现不同
特征的影响；重点关注的是与已知跳板设备ip存在连接行为的主机ip的通信特征，包括：时间特征即活跃时间和空间特征即数据量；其中：
24.首先考虑时间特征，需要将流数据以一定宽度的时间窗口划分，将缺省时间窗口大小设置为10分钟；
25.然后考虑空间特征，需要计算每一个与跳板设备连接的ip在每个时间片的总数据量，对于某一跳板节点ip0，假设存在ip1
→
ip0
→
ip2，其中箭头表示流数据方向，ip1在僵尸网络中更可能处于上级命令的位置，因此需要区分经过跳板ip的流数据方向，分别为分析的跳板ip建立入、出ip表iniplist,outiplist，对于入ip表，首先分别筛选流数据七元组特征中以跳板ip作为“目的ip”的记录，之后根据时间窗口长度10分钟将筛选出的七元组做进一步划分，将相同时间窗口内具有相同“源ip”的数据中的“字节数”做累加，得到整个流数据的入ip表：
26.iniplist＝(w0{ip0:f0,ip1:f1,
…
},w1{ip0:f0,ip1:f1,
…
},
…
)
27.其中w
x
为第x个时间窗口，f
x
为ip
x
在该时间片内的流量累计和；同理将“源/目的ip”互换得到出ip表outiplist；
28.同时基于入、出ip表分别建立入、出倒排表ininverlist、outinverlist：
29.ininverlist＝(ip0{l
00
,l
01
,
…
},ip1{l
10
,l
11
,
…
},
…
)
30.其中l
ij
表示ipi的第j个出现的时间窗口。
31.进一步，所述的步骤2的具体步骤是：
32.步骤2.1：基于重合窗口数过滤
33.首先尽可能过滤掉与僵尸网络无关节点，存在连续k1个时间窗口出现的ip为同步ip，过滤所有不存在连续k1个时间窗口出现的ip，k1默认设置为2；
34.然后通过比较入、出倒排表，计算潜在ip中重合窗口数大于阈值1即threshold1的所有ip对，得到满足重合窗口数的ip对集合
35.s1＝("ip1,ip2":[l
00
,l
01
,
…
],"ip3,ip4":[l
10
,l
11
,
…
],
…
)
[0036]
其中l
ij
表示第i组ip对的第j个共同出现的时间窗口；
[0037]
步骤2.2:基于重合窗口比过滤
[0038]
引入重合窗口比cwr的概念，定义如下：
[0039][0040]
其中n为重合时间片数量，lip1为流入ip的总出现时间片数量，lip2为流出ip的总出现时间片数量，对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片内的重合窗口比cwr值，大于阈值k2则视为潜在可疑ip对，输出文件格式；
[0041]
步骤2.3：基于平均流量比过滤
[0042]
重合窗口数的两个参数表示了两个ip在活跃时间上的相似度，需要通过流量大小的相似度做进一步判断，首先引入平均流量重合比bsr做初步判断参数，定义如下：
[0043][0044]
其中n为重合时间片数量，fip1i为ip对在第i个重合时间片中入流量大小，fip2i为出流量大小，对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片
内的平均流量重合比bsr值，大于阈值k3则视为可疑ip对，做进一步过滤处理；
[0045]
步骤2.4：基于流量相关系数过滤
[0046]
引入流量相关系数brr，定义如下：
[0047][0048][0049]fi
＝fip1i+fip2i[0050]
其中n为重合时间片数量，fip1i为ip对在第i个重合时间片中入流量大小，fip2i为出流量大小，如果两个可疑ip流量完全重合，流量相关系数brr＝1；如果完全不重合，流量相关系数brr＝0；计算ip对之间的流量相关系数brr值，大于阈值k4则视为高度可疑ip对，输出文件格式；
[0051]
将在k1个时间片里同时连续出现的ip对，列为同步ip对，将这些ip对中重合窗口比大于k2的视为潜在可疑ip对，潜在可疑ip对之间的流量重合时间片内的流量重合比大于k3的视为可疑ip对。
[0052]
进一步，筛选流量相关系数大于k4的视为高度可疑ip对，绘制高度可疑ip对的重合时段流量曲线，根据曲线相似度筛选行为相似ip对并梳理控制关系。
[0053]
本发明基于僵尸网络已知跳板节点流数据，融合通信特征、异常流量等多个维度，实现面向网络设备的僵尸网络上级威胁监测能力
[0054]
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明至少具有下列优点：
[0055]
1.本发明通基于僵尸网络已知跳板节点流数据，融合通信特征、异常流量等多个维度，实现面向网络设备的僵尸网络上级威胁监测能力。
[0056]
2.本发明能够通过对网络流数据的分析，提取出代表网络节点行为的重要特征，对特征进行预处理后输入到构建好的程序进行分析，完成对行为相似节点的发现并输出结果。通过将高度可疑节点与跳板节点通信情况绘制流量曲线并可视化展示，进一步验证可疑ip对的上下级控制关系，实现对同一僵尸网络关联节点的发现和攻击预防。
[0057]
3.本发明能够较好的适应真实网络环境下发现的跳板设备流数据，能够有效的识别出数据中的恶意控制主机。
[0058]
本发明涉及一种通过分析僵尸网络节点流量数据，发现该节点被用作跳板的方法。其具体方法由以下实施例及其附图详细给出。
附图说明
[0059]
图1:本发明僵尸网络中跳板节点关联分析发现系统结构图。
[0060]
图2:本发明ip表文件结构说明图。
[0061]
图3:本发明ip对重合时间片文件结构说明图。
具体实施方式
[0062]
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合
附图及较佳实施例，对依据本发明提出的一种对跳板节点的关联分析发现方法，其具体实施方法、步骤、特征及其功效，详细说明如后。
[0063]
请参阅图1、图2、图3所示，本发明较佳实施例的一种对跳板节点的关联分析发现方法，其主要包括以下步骤：
[0064]
1.原始数据处理
[0065]
1)七元组特征提取
[0066]
由于本方法的目的是发现与已知跳板设备有通信的行为特征相似的多组ip，为了确保分析效果，取用僵尸网络中包含跳板设备ip的流数据。这些流数据携带了从一个网络节点转发数据包到另一个网络节点所需的基本ip层信息，本方法使用的七个特征如下表所示。
[0067]
源ip目的ip源端口目的端口开始时间包数字节数
[0068]
其中“源/目的ip”分别表示在该条流记录中的发送者和接收者的ip地址，ip地址为互联网上的每一个网络或每一台主机被分配的逻辑地址，该特征在网络流量分析中通常作为网络节点的代表，即以某一节点的ip地址表示该节点；“源/目的端口”表示在该条流记录中的发送者和接收者使用的端口，端口号表示的是主机中特定进程提供的特定服务，在网络流量分析中，两条流记录中的不同的端口号往往表示这两条流使用了不同的服务，该特征可以用于区分恶意进程和正常进程的网络行为；“包数”和“字节数”表示该流数据中包含的网络数据包数量以及这些数据包总共传输的数据量(字节数)大小，不同协议单次传输的数据量往往是存在差异的，因此该特征也常用于区分不同网络行为；“开始时间”显示该条流数据传输的时间段，同一类网络行为的出现时间往往具有规律性。在流数据中单条流记录的时间是以精确到秒的形式记录的。
[0069]
2)制作倒排表
[0070]
在网络数据分析中，根据分析需求不同，需要对原始数据做不同处理以体现不同特征的影响。在本系统中，我们关注的是与已知跳板设备ip存在连接行为的主机ip的通信特征，包含时间特征即活跃时间和空间特征即数据量。
[0071]
第一步考虑时间特征，需要将流数据以一定宽度的时间窗口划分。如果该时间窗口过小，会导致划分的窗口数过多，降低计算效率，而如果窗口过大又可能会导致同一窗口内包含多个不同的会话过程，从而导致不同窗口的特征差异下降。在大部分情况下，正常的网络通信连续请求行为不会超过10分钟，因此在本系统中，将缺省时间窗口大小设置为10分钟。
[0072]
第二步考虑空间特征，需要计算每一个与跳板设备连接的ip在每个时间片的总数据量。由于在僵尸网络多级控制关系中，往往处于上级的ip是命令服务器的可能性更高，对于某一跳板节点ip0，假设存在ip1
→
ip0
→
ip2，其中箭头表示流数据方向，ip1在僵尸网络中更可能处于上级命令的位置，因此区分经过跳板ip的流数据方向十分重要，我们需要分别为分析的跳板ip建立入、出ip表iniplist,outiplist。对于入ip表，首先分别筛选流数据七元组特征中以跳板ip作为“目的ip”的记录，之后根据时间窗口长度10分钟将筛选出的七元组做进一步划分，将相同时间窗口内具有相同“源ip”的数据中的“字节数”做累加，得到整个流数据的入ip表:
[0073]
iniplist＝(w0{ip0:f0,ip1:f1,
…
},w1{ip0:f0,ip1:f1,
…
},
…
)
[0074]
其中w
x
为第x个时间窗口，f
x
为ip
x
在该时间片内的流量累计和。同理将“源/目的ip”互换得到出ip表outiplist。ip表格式如图2所示。
[0075]
为了后续数据处理效率，本系统同时基于入、出ip表分别建立入、出倒排表ininverlist、outinverlist：
[0076]
ininverlist＝(ip0{l
00
,l
01
,
…
},ip1{l
10
,l
11
,
…
},
…
)
[0077]
其中l
ij
表示ipi的第j个出现的时间窗口。
[0078]
2、可疑ip发现
[0079]
1)基于重合窗口数过滤
[0080]
为了减少系统的运行时间，提高分析效率，首先尽可能过滤掉与僵尸网络无关节点。由于时间窗口大小的设置是基于在大部分情况下，正常通信连续请求时间不超过十分钟，在此存在连续k1个时间窗口出现的ip为同步ip，过滤所有不存在连续k1个时间窗口出现的ip，k1默认设置为2。
[0081]
然后通过比较入、出倒排表，计算潜在ip中重合窗口数大于阈值1(threshold1)的所有ip对，得到满足重合窗口数的ip对集合
[0082]
s1＝("ip1,ip2":[l
00
,l
01
,
…
],"ip3,ip4":[l
10
,l
11
,
…
],
…
)
[0083]
其中l
ij
表示第i组ip对的第j个共同出现的时间窗口。
[0084]
2)基于重合窗口比过滤
[0085]
在少数情况下也会存在跳板设备为某一其他设备提供较长时间正常服务，而在这段时间如果其他设备与跳板设备出现较短时间但是超过时间窗口数阈值的连接，此时这两个ip行为没有关联但是会被基于重合窗口数的过滤保留为同步ip造成误报。为避免这种情况，引入重合窗口比(cwr)的概念，定义如下：
[0086][0087]
其中n为重合时间片数量，lip1为流入ip的总出现时间片数量，lip2为流出ip的总出现时间片数量，对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片内的cwr值，大于阈值k2则视为潜在可疑ip对，输出文件格式如图3所示。
[0088]
3)基于平均流量比过滤
[0089]
重合窗口数的两个参数表示了两个ip在活跃时间上的相似度，如果两个ip所属设备在相近的时间与跳板设备连接，即有可能是同一僵尸网络中的关联恶意行为，也可能是两个无关正常连接碰巧同时出现，因此需要通过流量大小的相似度做进一步判断。首先引入平均流量重合比bsr做初步判断参数，定义如下：
[0090][0091]
其中n为重合时间片数量，fip1i为ip对在第i个重合时间片中入流量大小，fip2i为出流量大小。对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片内的bsr值，大于阈值k3则视为可疑ip对，做进一步过滤处理。
[0092]
4)基于流量相关系数过滤
[0093]
为了进一步增加过滤精度，减少可疑ip对在重合时间段内各个时间窗口的差异性，引入流量相关系数brr，定义如下：
[0094][0095][0096]fi
＝fip1i+fip2i[0097]
其中n为重合时间片数量，fip1i为ip对在第i个重合时间片中入流量大小，fip2i为出流量大小。如果两个可疑ip流量完全重合，流量相关系数brr＝1；如果完全不重合，流量相关系数brr＝0。计算ip对之间的流量相关系数brr值，大于阈值k4则视为高度可疑ip对
[0098]
3、绘制流量曲线分析
[0099]
将发现的高度可疑ip对(ip0,ip1)绘制重合时间段经过跳板ip(tbip)的流量曲线，分别绘制ip0→
tbip
→
ip1,和ip1→
tbip
→
ip0的流量曲线对比，如果两条曲线高度相似，则说明为同步异常ip对。
[0100]
经过僵尸网络多级控制关系分析后，通常会发现网络中作为僵尸网络跳板的网络节点，这些节点在僵尸网络中起到转发命令等功能，真正的攻击者隐匿在网络中，当他们发起攻击时通常利用跳板设备发布指令，因此通过对跳板节点的相关流量分析对于发现真正的攻击者至关重要。
[0101]
系统的输入是跳板节点相关的网络流数据，系统会首先对原始数据做预处理，将流数据整体时间按照时间窗口大小切分为不同时间片。梳理每个时间片出现的ip列表和该时间片内的总流量，生成ip表文件，文件内容结构如图2所示，随后根据ip表生成倒排表便于后续数据分析。
[0102]
之后从时间和空间相似性上进行可疑ip发现，首先进行时间相似度较高的ip对过滤，根据输入的重合窗口数和重合窗口比(cwr)的阈值k1，k2，初步筛选出与跳板ip通联时间段高度重合的ip对，输出ip对和重合时间片到文件中，文件内容如图3所示。随后对流量大小的相似度做进一步过滤，根据输入的平均流量重合比bsr和流量相关系数brr的阈值k3和k4，筛选出与跳板ip通联时间以及流量的相似度都较高的ip对，输出ip对和流量重合比到文件中。绘制高度可疑ip对(ip0,ip1)绘制重合时间段经过跳板ip(tbip)的流量曲线，分别绘制ip0→
tbip
→
ip1,和ip1→
tbip
→
ip0的流量曲线对比，两条曲线的波动规律高度一致，波峰和波谷，即流量大小重合度很高，则可认定为存在相似行为。同时下图曲线重合度弱于上图，但是两图ip对活跃时间基本一致，因此可以初步判定两个ip在僵尸网络中处于ip0→
tbip
→
ip1,的控制关系。
[0103]
之后安全专家可以提取分析结果，查找高度可疑ip对的报文数据，并通过综合报文分析等方法从重合时间段中发现关联攻击行为，并进一步判断同一僵尸网络社区中每个节点所扮演的角色，使分析结果达到更高的正确率。同时可以与之前的多级控制关系分析系统结果做综合比对，查找在可视化界面中出现的同一社区的节点通联情况，判断是否存在与本系统未发现节点的通联行为，从而发现其他时间出现的相同僵尸网络攻击事件。
[0104]
本发明提出的对跳板节点的关联分析发现方法，对于本领域的技术人员而言，可以通过已知被利用的跳板节点的流数据信息，发现利用该设备作为跳板进行僵尸网络关联活动的上下级僵尸网络节点，更好的发现隐藏的上级命令服务器，为后续采样和溯源工作提供帮助。
[0105]
以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

技术特征：
1.一种对跳板节点的关联分析发现方法，其步骤为：步骤1：原始数据处理以流数据的形式记录存储的双向网络流数据中提取网络特征，梳理所有与跳板节点连接的节点的行为，这些流数据携带从一个网络节点转发数据包到另一个网络节点所需的基本ip层信息，根据流数据提取最具有代表性的七个特征组成七元组，基于该七元组特征，根据时间段切片，梳理每个时间片内的入、出ip及流量信息；步骤2：发现可疑ip在基于时间维度分析与跳板节点连接的不同节点间的时间行为相似性，发现在相近时间段存在相似流入/流出流量行为的ip，统计连续出现的ip，筛选流量重合度高的ip对；步骤3：绘制流量曲线分析将所有筛选得到的可疑ip依据可疑度排序并分别绘制与跳板节点的流入流出曲线，进一步梳理可疑ip在同步行为的上下级控制关系。2.根据权利要求1所述的一种对跳板节点的关联分析发现方法，其特征在于，所述的步骤1具体步骤如下：步骤1.1:七元组特征提取取用僵尸网络中包含跳板设备ip的流数据,这些流数据携带了从一个网络节点转发数据包到另一个网络节点所需的基本ip层信息,所采用七元组包括源ip，源端口，目的ip，目的端口，包数、字节数和开始时间，将源ip源端口，目的ip，目的端口，包数、字节数和开始时间作为流数据的特征，且对于开始时间这一特征以10分钟为区间切片，以倒排表归纳每个时间段内出现的ip及流量信息；步骤1.2:制作倒排表在网络数据分析中，根据分析需求不同，需要对原始数据做不同处理以体现不同特征的影响；重点关注的是与已知跳板设备ip存在连接行为的主机ip的通信特征，包括：时间特征即活跃时间和空间特征即数据量；其中：首先考虑时间特征，需要将流数据以一定宽度的时间窗口划分，将缺省时间窗口大小设置为10分钟；然后考虑空间特征，需要计算每一个与跳板设备连接的ip在每个时间片的总数据量，对于某一跳板节点ip0，假设存在ip1
→
ip0
→
ip2，其中箭头表示流数据方向，ip1在僵尸网络中更可能处于上级命令的位置，因此需要区分经过跳板ip的流数据方向，分别为分析的跳板ip建立入、出ip表iniplist,outiplist，对于入ip表，首先分别筛选流数据七元组特征中以跳板ip作为“目的ip”的记录，之后根据时间窗口长度10分钟将筛选出的七元组做进一步划分，将相同时间窗口内具有相同“源ip”的数据中的“字节数”做累加，得到整个流数据的入ip表：iniplist＝(w0{ip0:f0,ip1:f1,
…
},w1{ip0:f0,ip1:f1,
…
},
…
)其中w
x
为第x个时间窗口，f
x
为ip
x
在该时间片内的流量累计和；同理将“源/目的ip”互换得到出ip表outiplist；同时基于入、出ip表分别建立入、出倒排表ininverlist、outinverlist：ininverlist＝(ip0{l
00
,l
01
,
…
},ip1{l
10
,l
11
,
…
},
…
)其中l
ij
表示ip
i
的第j个出现的时间窗口。
3.根据权利要求1所述的一种对跳板节点的关联分析发现方法，其特征在于，所述的步骤2的具体步骤是：步骤2.1：基于重合窗口数过滤首先尽可能过滤掉与僵尸网络无关节点，存在连续k1个时间窗口出现的ip为同步ip，过滤所有不存在连续k1个时间窗口出现的ip，k1默认设置为2；然后通过比较入、出倒排表，计算潜在ip中重合窗口数大于阈值1即threshold1的所有ip对，得到满足重合窗口数的ip对集合:s1＝("ip1,ip2":[l
00
,l
01
,
…
],"ip3,ip4":[l
10
,l
11
,
…
],
…
)其中l
ij
表示第i组ip对的第j个共同出现的时间窗口；步骤2.2:基于重合窗口比过滤引入重合窗口比cwr的概念，定义如下：其中n为重合时间片数量，lip1为流入ip的总出现时间片数量，lip2为流出ip的总出现时间片数量，对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片内的重合窗口比cwr值，大于阈值k2则视为潜在可疑ip对，输出文件格式；步骤2.3：基于平均流量比过滤重合窗口数的两个参数表示了两个ip在活跃时间上的相似度，需要通过流量大小的相似度做进一步判断，首先引入平均流量重合比bsr做初步判断参数，定义如下：其中n为重合时间片数量，fip1
i
为ip对在第i个重合时间片中入流量大小，fip2
i
为出流量大小，对于前一步得到的每一对时间窗口重合ip，计算ip对之间的流量重合时间片内的平均流量重合比bsr值，大于阈值k3则视为可疑ip对，做进一步过滤处理；步骤2.4：基于流量相关系数过滤引入流量相关系数brr，定义如下：引入流量相关系数brr，定义如下：f
i
＝fip1
i
+fip2
i
其中n为重合时间片数量，fip1
i
为ip对在第i个重合时间片中入流量大小，fip2
i
为出流量大小，如果两个可疑ip流量完全重合，流量相关系数brr＝1；如果完全不重合，流量相关系数brr＝0；计算ip对之间的流量相关系数brr值，大于阈值k4则视为高度可疑ip对，输出文件格式；将在k1个时间片里同时连续出现的ip对，列为同步ip对，将这些ip对中重合窗口比大于k2的视为潜在可疑ip对，潜在可疑ip对之间的流量重合时间片内的流量重合比大于k3的视为可疑ip对。4.根据权利利要求3所述的一种对跳板节点的关联分析发现方法，其特征在于，进一步
筛选流量相关系数大于k4的视为高度可疑ip对，绘制高度可疑ip对的重合时段流量曲线，根据曲线相似度筛选行为相似ip对并梳理控制关系。

技术总结
本发明是有关于一种对跳板节点的关联分析发现方法，通过分析僵尸网络中跳板节点流数据，发现与跳板节点连接的节点中行为高度相似的节点，从而发现属于同一僵尸网络中的多个关联节点，定位可能处于上级的C&C服务器节点，为后续溯源分析，发现和预防僵尸网络威胁提供帮助。本发明能够通过对网络流数据的分析，提取出代表网络节点行为的重要特征，对特征进行预处理后输入到构建好的程序进行分析，完成对行为相似节点的发现并输出结果。通过将高度可疑节点与跳板节点通信情况绘制流量曲线并可视化展示，进一步验证可疑IP对的上下级控制关系，实现对同一僵尸网络关联节点的发现和攻击预防。预防。预防。


技术研发人员：严寒冰 付博扬 周彧 郎波 陶慧波
受保护的技术使用者：国家计算机网络与信息安全管理中心
技术研发日：2023.05.24
技术公布日：2023/9/14