(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111575198.2 (22)申请日 2021.12.21 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 舒辉　邢颖　光焱　赵耘田　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 高为宝 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) H04L 67/104(2022.01) (54)发明名称 基于SAW社区发现的非结构化P2P僵尸网络 检测方法及装置 (57)摘要 本发明提供一种基于SAW社区发现的非结构 化P2P僵尸网络检测方法及装置。 该方法包括： 步 骤1： 将原始的pcap格式流量数据转换为netflow 格式流量数据； 步骤2： 使用F ‑link大数据平台， 将netflow格式流量数据转换为五元组簇流， 从 所述五元组簇流中过滤得到P2P簇； 步骤3： 使用 Jaccard系数计算P2P簇之间共享邻居节点的权 重， 构建共 享邻居图； 步骤 4： 采用SAW对共 享邻居 图中的每个顶 点进行访问， 生 成顶点之间的顶点 矩阵， 使用主成分分析PCA对所述顶点矩阵进行 降维， 计算Bray ‑Curtis不相似度， 采用层次聚类 计算节点相似性， 进行社区挖掘， 从而对同类P2P 节点进行聚类； 步骤5： 使用社区属性对聚类结果 进行分类， 过滤 出僵尸网络 。 权利要求书3页 说明书13页 附图4页 CN 114513325 A 2022.05.17 CN 114513325 A 1.基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特 征在于， 包括： 步骤1： 将原 始的pcap格式流 量数据转换为 netflow格式流量数据； 步骤2： 使用F ‑link大数据平台， 将netflow格式流量数据 转换为五元组簇流， 从所述五 元组簇流中过 滤得到P2P簇； 步骤3： 使用Jac card系数计算P2P簇之间共享邻居节点的权 重， 构建共享邻居图； 步骤4： 采用SAW对共享邻居图中的每个顶点进行访问， 生成顶点之间的顶点矩阵， 使用 主成分分析PCA对所述顶点矩阵进行降维， 计算Bray ‑Curtis不相似度， 采用层次聚类计算 节点相似性， 进行 社区挖掘， 从而对同类P2P节点进行聚类； 步骤5： 使用社区属性对聚类结果进行分类， 过 滤出僵尸网络 。 2.根据权利要求1所述的基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特征 在于， 步骤2具体包括： 步骤2.1： 对于每个主机H的netflow格式流量数据， 按照相同四元组进行抽取得到五元 组簇流FF(H)： FF(H)＝{srcip， protoco l， bpPout， bppin， [dstip1， dstip2， dstip3， ...， dstipn]}； 步骤2.2： 将满足 公式(1)的五元组簇 定义为主机H的P2P簇： FFp2p(H)＝{fl ow∈FF(H)|srcip， protoco l， bppout， bppin， dd(H)≥δdd}    (1) 其中， srcip指源IP地址， protocol指TCP或者UDP协议， bppout指从源IP到目的IP的BPP， bppin指从目的IP到源IP的BPP， 数组[dstip1， dstip2， dstip3， ...， dstipn]表示目的IP地址； BPP指包平均字节数bytes ‑per‑packets； dd(H)表示主机H驻留的不同/16 IP前缀数量， δdd表 示预设阈值。 3.根据权利要求1所述的基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特征 在于， 步骤3中， 所述使用Jac card系数计算P2P簇之间共享邻居节点的权 重， 具体为： 针对主机Hi的P2P簇FFp2p(Hi)和主机Hj的P2P簇FFp2p(Hj)， 采用Jaccard系数按照公式(2) 计算ddi， j之间的置信度Simp2p(Hi， Hj)， 将所述置信度作为共享邻居节点的权 重： 4.根据权利要求3所述的基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特征 在于， 步骤3中， 所述构建共享邻居图， 具体包括： 初始化无向图G＝{V， E}， 然后将每个主机的P2P簇的编号作为顶点V， 将置信度Simp2p (Hi， Hj)大于0的两个P2P簇<FFp2p(Hi)， FFp2p(Hj)>作为边E， 将两个P2P簇的置信度Simp2p(Hi， Hj)作为边E的权重wij， 将最终形成的无向图作为共享邻居图。 5.根据权利要求1所述的基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特征 在于， 步骤4具体包括： 步骤4.1： 计算 步行者在顶点 i处开始SAW并在停止之前到 达顶点j的转移概 率pij： 权　利　要　求　书 1/3 页 2 CN 114513325 A 2其中， Mi表示从顶点 i开始的步行 数量， mij是在停止之前访问过顶点j的数量； 步骤4.2： 计算平均长度<lij>： 其中， 表示每个步行者到 达j的步数， 是从i开始的第k个步行者； 步骤4.3： 计算顶点 i和顶点j之间的顶点矩阵fij： 步骤4.4： 使用主成分分析从顶点矩阵中提取相 关信息， 进行降维， 采用的线性变换是 其中P是由F的主成分组成的新基， 是投影到P中的数据， 其中选择最相关的成分 来对顶点进行分类； 步骤4.5： 计算顶点 i和j Bray‑Curtis不相似度d(i， j)： 其中， 是指降维之后的顶点矩阵； 步骤4.6： 计算模块度Q： 其中， eii表示相同社区内节点之间边的个数， ai表示所有连接 到社区i中边的数量； 步骤4.7： 选择平均连接方法以凝聚方法合并两个社区； 从它自己的社区中的每个顶点 开始， 在每一步， 通过公式(6)计算Bray ‑Curtis不相似度， 具有最低Bray ‑Curtis差异的两 个组加入一个新的组并创建树状图的新级别， 计算每一层树状图的模块度， 选择产生最大 模块化值的PCA组件的数量， 当所有顶点组成一个社区时， 层次聚类结束。 6.根据权利要求1所述的基于SAW社区发现的非结构化P2P僵尸网络检测方法， 其特征 在于， 所述社区属性包括平均分散度和平均紧密度， 对应的， 步骤5具体包括： 步骤5.1： 按照公式(8)计算平均分散度αmad： 其中， dd(/16Hi)表示目的地址集合中前16位前缀不相同的数量， dd(/32Hi)表示32位前 缀， 即IP地址的数量， n表示簇的个数； 步骤5.2： 按照公式(9)计算平均紧密度βmcd： 步骤5.3： 当公式(8)计算得到的某社团的平均分散度αmad和公式(9)计算得到的某社团 的平均紧密度βmcd均分别大于各自的设定阈值时， 将该某社团确定为僵尸网络 。 7.基于SAW社区发现的非结构化P2P僵尸网络检测装置， 其特 征在于， 包括： 数据预处 理模块， 用于将原 始的pcap格式流 量数据转换为 netflow格式流量数据； 特征提取模块， 用于使用F ‑link大数据平台， 将netflow格式流量数据 转换为五元组簇 流， 从所述五元组簇流中过 滤得到P2P簇；权　利　要　求　书 2/3 页 3 CN 114513325 A 3