(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111433117.5 (22)申请日 2021.11.29 (71)申请人 北京华清信安科技有限公司 地址 100043 北京市石景山区实兴东 街11 号1楼1306室 (72)发明人 田新远　 (74)专利代理 机构 北京汇智胜知识产权代理事 务所(普通 合伙) 11346 代理人 孙华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 用于互联网僵尸网络的图形分析识别方法 (57)摘要 本发明公开了一种用于互联网僵尸网络的 图形分类识别方法， 其包括以下步骤： 步骤一， 采 集历史安全日志数据和网络数据进行分析后得 到初始训练数据集； 步骤二， 提取预定时间段内 的日志数据， 整理清洗后， 基于攻击信息和被攻 击域名的关联关系进行对应解析， 得到待测数 据； 步骤三， 基于被攻击域名， 待测数据中的攻击 IP数据， 输 出待测HASH表数据； 步骤四， 计算随机 两个攻击IP数据的关联相似度， 统计大于阈值的 攻击IP数据， 定义有向图对象； 步骤五， 使用图分 类模块， 创建有向图， 并进行图形分类识别， 并输 出僵尸网络数据。 本发明能够对 未定义和未知的 僵尸网络进行有效识别和检测， 大大提高了识别 效率和准确度。 权利要求书3页 说明书6页 附图2页 CN 114244580 A 2022.03.25 CN 114244580 A 1.用于互联网僵尸网络的图形分类识别方法， 其特 征在于， 包括以下步骤： 步骤一， 采集历史安全日志数据和网络数据进行分析后得到初始训练数据集； 步骤二， 提取预定时间段内的日志数据， 整理清洗后， 基于攻击信 息和被攻击域名的关 联关系进行对应解析， 得到待测数据； 步骤三， 基于被攻击域名， 分析步骤二获取的待测数据中的攻击IP数据， 输出待测HASH 表数据； 步骤四， 针对所述步骤三获得的HASH表数据， 计算随机两个攻击IP数据的关联相似度， 统计大于阈值的攻击IP数据， 输出攻击IP集， 结合待测数据的其 他特征组成有向图对象； 步骤五， 使用图分类模块， 创建有向图， 根据有向图进行图形分类识别， 并输出僵尸网 络数据。 2.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 还包 括： 步骤六， 根据步骤五输出的僵尸网络数据进行 可视化聚类结果呈现。 3.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特 征在于， 所述步骤一所述初始训练数据集通过下述步骤获得： 采集网络数据中的可疑数据集进 行僵尸网络行为分析， 对采集到日志数据进 行流量检测， 对流量请求中基于TCP访问的僵尸 网络流量先行识别， 计算 其访问成功率， 并将其作为初始训练数据集； 计算公式如下： T＝(D/C)*2/100 其中， T代表访问成功率， C代表节点的数据包中不同的IP个数， D为不同数据包中的不 同源IP地址数据。 4.如权利要求3所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 所述步 骤一中， 针对采集到的可疑数据集中， 还可以其他特征提取， 所述其他特征包括domain、 post、 IP、 time和数据流 量包中的一个或多个。 5.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 所述步 骤三具体包括： S301， 提取待测数据中的攻击IP数据和被攻击域名， 采取分行读取方式， 对攻击的IP数 据通过HASH函数计算 其键值， 建立初始HASH表； S302， 采用时间差归一转换方法， 将所述初始HASH表进行子范围拆分， 其计算公式如 下： S1＝IF Z(0,5)Z* 0.3, S2＝IF Z(5,10)Z* 0.6, S3＝IF Z(10,∝)Z*0.2, 其中Z为相邻两个请求的时间差值； S303， 自定义阈值R， 提取HASH值不小于阈值R的所有攻击IP信息并输出待测HASH表数 据， 其中所述阈值R表示基于相邻两个请求的时间差值 转换的得到的HASH值。 6.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 所述步 骤四所述 攻击IP集 通过以下步骤获得： S401， 选取随机 两个攻击IP数据， 自定义JC函数， 计算 其相似度系数， 公式如下： 其中， J(S1,S2)表示两个IP攻击集的相似权　利　要　求　书 1/3 页 2 CN 114244580 A 2度系数， S1和S2 表示两个不同的攻击IP集； S402， 当相似度系数J(S1,S2)≥1， 统计并输出两个IP攻击集； 相似度系数J(S1,S2)＜ 1 时， 忽略。 7.如权利要求6所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 所述步 骤四还包括： 定义有向图对象， 将输出的IP攻击集和攻击次数组成有向图对象。 8.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 所述步 骤五具体包括： S501， 定义全局阈值， 包括相似度、 黑客团伙控制的地址最小数量、 恶意攻击IP攻击目 标最小个数； S502， 根据上述阈值， 使用图分类模块DiGraph， 创建有向图对象,使用标准化的存储网 络数据、 生成、 分析网络结构算法、 网络绘制， 刻画有向图数 学关系图。 9.如权利要求1所述的用于互联网僵尸网络的图形分类识别方法， 其特征在于， 包括以 下步骤： A， 获取初始训练数据集， 采集历史安全日志数据和网络数据， 针对僵尸网络已知行为 特征进行特征提取， 整理后输出初始训练数据集； B， 提取预定时间段内的日志数据， 整理清洗并进行特征提取， 然后基于攻击信息和被 攻击域名的关联关系进行对应解析， 得到待测数据； C， 提取待测数据中的攻击IP数据和被攻击域名， 采取分行读取方式， 对攻击的IP数据 通过HASH函数计算 其键值， 建立初始HASH表； D， 采用时间差归一 转换方法， 将所述初始HASH表进行子范围拆分， 其计算公式如下： S1＝IF Z(0,5)Z* 0.3, S2＝IF Z(5,10)Z* 0.6, S3＝IF Z(10,∝)Z*0.2, 其中Z为相邻两个请求的时间差值； E， 自定义阈值R， 提取HASH值不小于阈值R的所有攻击IP信息并输出待测HASH表数据， 其中所述阈值R表示基于相邻两个请求的时间差值 转换的得到的HASH值； F， 针对所述步骤三获得的HASH表数据， 计算随机两个攻击IP数据的关联相似度， 统计 大于阈值的攻击IP数据， 输出攻击IP集， 结合待测数据的其他特征 组成有向图对象； 所述攻 击IP集通过以下步骤获得： (1)选取随机 两个攻击IP数据， 自定义JC函数， 计算 其相似度系数， 公式如下： 其中， J(S1,S2)表示两个IP攻击集的相似度系数， S1和S2 表示两个不同的攻击IP集； (2)当相似度系数J(S1,S2)≥1， 统计并输出两个IP攻击集； 相似度系数J(S1,S2)＜1 时， 忽略； G， 定义全局阈值， 包括相似度、 黑客团伙控制的地址最小数量、 恶意攻击IP攻击目标最 小个数； H， 根据上述阈值， 使用图分类模块DiGraph， 创建有向图对象,使用标准化的存储网络 数据、 生成、 分析网络结构算法、 网络绘制， 刻画有向图数 学关系图；权　利　要　求　书 2/3 页 3 CN 114244580 A 3