• 沒有找到結果。

在Netflow上以會話型式之P2P殭屍網路偵測方法

N/A
N/A
Info
下載
Protected

Academic year: 2022

Share "在Netflow上以會話型式之P2P殭屍網路偵測方法"

Copied!
5
0
0

加載中.... (立即查看全文)

立即下載 ( 5 頁 )

全文

(1)

【11】證書號數:I666568

【45】公告日: 中華民國 108 (2019) 年 07 月 21 日

【51】Int. Cl.: G06F21/56 H04L12/26

(2013.01) (2006.01)

H04L29/06 H04L9/00

(2006.01) (2006.01)

發明     全 5 頁 

【54】名  稱:在 Netflow 上以會話型式之 P2P 殭屍網路偵測方法

METHOD OF Netflow-BASED SESSION DETECTION FOR P2P BOTNET

【21】申請案號:107114725 【22】申請日: 中華民國 107 (2018) 年 04 月 30 日

【72】發 明 人: 謝錫堃 (TW) SHIEH, CE-KUEN;張志標 (TW) CHANG, JYH-BIAU;王俊 又 (TW) WANG, CHUN-YU;歐奇隴 (TW) OU, CHI-LUNG

【71】申 請 人: 國立成功大學 NATIONAL CHENG KUNG UNIVERSITY

臺南市東區大學路 1 號

【74】代 理 人: 歐奉璋

【56】參考文獻:

TW 201103281A TW 201701182A

TW 201126983A 審查人員:潘世光

【57】申請專利範圍

1. 一種在 Netflow 上偵測 P2P 殭屍網路之方法,其至少包含下列步驟: 會話擷取(Session Extraction)步驟:輸入日誌格式為網路流量(NetFlow),每筆資料皆代表一單向(Uni- directional)之網路流量連線(Flow),其中包含時間戳、來源 IP(Src IP)、目的 IP

(Dst IP)、端口、及封包數量,將合併單向之 Flow 為雙向會話(bi-directional

Session),並使用一時間間隔門檻值作為合成會話之標準,當兩個 IP 間之通訊 Flow 至 下一條 Flow 之時間間隔在該時間間隔門檻值內,兩個 Flow 被視為在相同之會話期,

Flow 將合併成 Session,再將兩者特徵合併計算,以此形成能突顯通訊行為之特徵,並 且透過資訊增益(Information gain)對 Session 特徵進行特徵順序(Feature Ranking),

挑選出具有代表性之特徵,形成 Session 之特徵向量(Feature Vector)進行後續之偵 測; 過濾(Filtering)步驟:包含白名單過濾(Whitelist Filter)與流量丟失響應過濾

(Flow Loss-Respose Filter)兩個子步驟,係透過白名單與丟失率為標準,過濾掉正常流 量與非 P2P 通訊行為之流量; 群聚(Grouping)步驟:分為三階段(Level),分別為 SuperSession 群聚(SuperSession Grouping)、會話群聚(SessionGroup Grouping)、及 行為群聚(BehaviorGroup Grouping),係透過 P2P 殭屍網路病毒之行為並藉由距離與群 聚數量門檻值為依據,群聚出疑似 P2P 殭屍網路病毒之 IP 群;以及 反查(Reverse Lookup)步驟:係透過黑名單直接與間接驗證,反查成可疑 IP 列表(Suspicious IP list)。

2. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該時間間隔 門檻值係將傳輸控制協定(Transmission Control Protocol, TCP)設定為 22 秒、使用者資 料報協定(User Datagram Protocol, UDP)設定為 21 秒之內,但不限定於上述兩組逾時 範圍,可依應用情況調整。

3. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該會話擷取 步驟中係挑選出 14 個特徵,包含 Forward_Pkts、Forward_Bytes、Forward_MaxBytes、

(2)

Forward_MinBytes、Forward_MeanByte、Backward _Bytes、Backward_MaxBytes、

Backward_MinBytes、Backward_MeanByte、Total_Bytes、Total_MaxBytes、

Total_MeanByte、Total_STDByte、以及 Total_IORatio,分別代表 Src IP 與 Dst IP 之間的 封包數、Src IP 與 Dst IP 之間的位元數、Src IP 與 Dst IP 之間的最大位元數、Src IP 與 Dst IP 之間的最小位元數、Src IP 與 Dst IP 之間的平均位元數、Dst IP 與 Src IP 之間的位 元數、Dst IP 與 Src IP 之間的最大位元數、Dst IP 與 Src IP 之間的最小位元數、Dst IP 與 Src IP 之間的平均位元數、雙向 Total 的資料位元數總和、雙向 Total 的資料最大位元 數、雙向 Total 的資料平均位元數、雙向 Total 的資料位元數標準差、以及雙向 Total 的 傳輸資料比,兩個方向的資料位元數的比值。

4. 依申請專利範圍第3項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,不限於該 14 個特徵,特徵之個數挑選皆彈性,可用任意特徵組合進行後續偵測。

5. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該白名單過 濾子步驟用於過濾白名單,刪除 Netflow 日誌中之已知良性 IP,接著由該流量丟失響應 過濾子步驟過濾非 P2P 特性之通訊行為。

6. 依申請專利範圍第1或5項所述之 Netflow 上偵測 P2P 殭屍網路之 方法,其中,該白名 單過濾將檢查來源 IP 地址與目的 IP 地址,若其一存在於白名單,則將此 Session 刪除,

剩餘部分則被視為可疑之 Session。

7. 依申請專利範圍第1或5項所述之 Netflow 上偵測 P2P 殭屍網路之 方法,其中,該流量 丟失響應過濾子步驟包含三階段處理,第一階段用於計算流量損失響應之數量,第二階 段計算相同來源 IP 地址之平均流量丟失響應率(Flow Loss-Response Rate, FLR),第三 階段係在一列表中記錄具有高 FLR 之會話,並使用其來過濾非 P2P 流量。

8. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 係基於 P2P 殭屍網路之特性進行三階段之群聚,但不限定只有三階段群聚,任何可以群 聚相同 Session 行為的多階層演算法皆可替代。

9. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 係基於密度基礎聚類算法,但不限定密度基礎聚類算法,任何可以達到相同效果的算法 皆可替代。

10. 依申請專利範圍第1項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 係基於 P2P 殭屍網路之特性進行三階段之群聚,根據相似通訊行為之判別,使用歐氏距 離(Euclidean Distance)之公式計算 Session 間特徵向量之間的距離,但不限定此公式,

任何可以判斷兩個資料維度距離之相關空間量測公式皆可替代,而群聚與否之判斷依 據,則必須存在距離門檻值以上之相似通訊數量。

11. 依申請專利範圍第8項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該數量係至 少超過一個門檻值為 3 以上,其中,但該門檻值不限定可以是任何大於 3 或者依比例定 義。

12. 依申請專利範圍第8項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 第一階段之 SuperSession 群聚子步驟,係利用 P2P 殭屍網路會與同儕(peer)進行重複 性通訊之特性進行群聚,透過相似之判斷公式,將相似之 Session 進行群聚成

SuperSession,並計算平均特徵向量(Average Feature Vector)作為代表此 SuperSession 之特徵向量,並往第二階段之會話群聚子步驟進行群聚分析。

13. 依申請專利範圍第8項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 第二階段之會話群聚子步驟,係利用 P2P 殭屍網路會與其他許多同儕進行通訊之特性進 行群聚,其在第一階段群聚後具有許多之 Super Session,將該些 SuperSession 透過相似

- 5096 -

(3)

之判斷公式,將彼此相似之 SuperSession 進行群聚成 SessionGroup,並計算平均特徵向 量作為代表此 SessionGroup 之特徵向量,並往第三階段之行為群聚子步驟進行群聚分 析。

14. 依申請專利範圍第8項所述之 Netflow 上偵測 P2P 殭屍網路之方法 ,其中,該群聚步驟 第三階段之行為群聚子步驟,係利用 P2P 殭屍網路間會有相似的通訊行為之特性,將第 二階段之結果再進行一次群聚,透過已經在第二階段群聚後形成 SessionGroup,將該些 SessionGroup 再次進行相似之判斷公式,將行為相似之 SessionGroup 群聚為

BehaviorGroup,同樣計算平均特徵向量作為代表此 BehaviorGroup 之特徵向量,形成最 終偵測結果。

圖式簡單說明

第1圖,係本發明之系統架構示意圖。 第2圖,係本發明群聚實施例第一階段之

SuperSession 群聚示意圖。 第3圖,係本發明群聚實施例第二階段之會話群聚示意圖。 第4 圖,係本發明群聚實施例第三階段之行為群聚示意圖。

(4)

- 5098 -

(5)

參考文獻

立即下載 ( PDF - 5 頁 - 800.78 KB )

相關文件

群聚技術之研究

In the past researches, all kinds of the clustering algorithms are proposed for dealing with high dimensional data in large data sets.. Nevertheless, almost all of

資訊與生活

ADSL(A symmetric D igital S ubscriber L ine ,非對稱數位

1 . 2 研 究 方 法 、 步 驟 與 目 的

DPc2 發行版本 N-2,每月瑕疵的矯正修補檔之數量 DPc1 發行版本 N-1,每月瑕疵的矯正修補檔之數量 DPc0 發行版本 N,每月瑕疵的矯正修補檔之數量.

中 華 大 學

無線感測網路是個人區域網路中的一種應用,其中最常採用 Zigbee 無線通訊協 定做為主要架構。而 Zigbee 以 IEEE802.15.4 標準規範做為運用基礎,在下一小節將 會針對 IEEE

中 華 大 學

階層式 Blueweb 網路形成方法與階層式樹狀網路有很大不同,但一樣首先隨機挑 選一個節點來當 Blueroot,由此 Blueroot 建立子網路,並給它初始參數 K = T,K 值 為 Layer counter

第四章 實證資料分析及彙整

本研究採用的方法是將階層式與非階層式集群法結合。第一步先運用

利用最佳趨近法及四分段法設計之 CMOS 二次多項式電路

First we explain how to implement CMOS current-mode quadratic circuits and design the proposed circuit in the way of multiple corrections.. We use the best

中 華 大 學

在集群分析方法中,Stuart Lloyd 於 1957 年提出了 K-Means 分析法。它是利用劃分方 式的ㄧ種聚類算法。此種方式以隨機選取