傳統(tǒng)僵尸網(wǎng)絡(luò)惡意數(shù)據(jù)流跟蹤方法時間維度大、數(shù)據(jù)跟蹤復(fù)雜度高,其方法存在響應(yīng)時間長、吞吐量偏低的問題。提出一種新的半分布式僵尸網(wǎng)絡(luò)惡意數(shù)據(jù)流實(shí)時跟蹤方法。利用數(shù)據(jù)模糊均值提取半分布式僵尸網(wǎng)絡(luò)特征,獲取僵尸網(wǎng)絡(luò)自適應(yīng)度數(shù)值。利用鄰近值法劃分原理,對數(shù)據(jù)預(yù)分類,得到惡意數(shù)據(jù)流所在區(qū)域。通過模式快照策略確定存儲模式的時間間隔,保存惡意數(shù)據(jù)信息,并將其數(shù)據(jù)映射到空間網(wǎng)格單元中。利用對相關(guān)數(shù)據(jù)維度單元數(shù)量的控制,降低時間復(fù)雜度,對所得參數(shù)模式匹配,實(shí)現(xiàn)僵尸網(wǎng)絡(luò)惡意數(shù)據(jù)流實(shí)時跟蹤。仿真結(jié)果表明,所提方法具有較短的響應(yīng)時長、較高的吞吐量,其時間復(fù)雜度較小,一直穩(wěn)定在10%～20%之間,并具有良好的應(yīng)用性能與前景。

【文章頁數(shù)】：5 頁

【部分圖文】：

圖1半分布式僵尸網(wǎng)絡(luò)框架

半分布式僵尸網(wǎng)絡(luò)可以當(dāng)做集中式僵尸網(wǎng)絡(luò),其中含有固定的IP地址,沒有防火墻的阻擋,高性能的節(jié)點(diǎn)具有多種用途,既可以代表服務(wù)端又能夠代表客戶端,半分布式僵尸網(wǎng)絡(luò)框架如圖1所示。設(shè)定半分布式僵尸網(wǎng)絡(luò)數(shù)據(jù)特征的最優(yōu)解,可描述為

圖2鄰近值法劃分原理

利用鄰近值法對其實(shí)施劃分,劃分原理如圖2所示。圖2中的正方形為不含有自動收發(fā)行為的網(wǎng)絡(luò)數(shù)據(jù)流,虛線圓為將其匯聚的集合,黑色圓形為含有收發(fā)行為的惡意數(shù)據(jù)流,實(shí)線圓為將其匯聚的集合。在臨近值法內(nèi),把P(Y|X)的數(shù)值當(dāng)做實(shí)線圓的面積,Y作為惡意數(shù)據(jù)流的匯聚集合,I作為網(wǎng)絡(luò)數(shù)據(jù)流的匯聚....

圖3惡意數(shù)據(jù)流實(shí)時跟蹤流程圖

設(shè)p(p1,p2,…pn)與p,(p′1,p′2,…p′m)分別作為t0和t1時間段的模式集合,采用數(shù)組Flag[]來判斷標(biāo)識模式pj(j=1,2,…,n)在t1這個時間段內(nèi)是否存在,數(shù)組Similarity[]作為存儲集合p內(nèi)的某個模式與pi(i=1,2,…,m)的類似程度。圖....

圖4原型系統(tǒng)結(jié)構(gòu)

本次實(shí)驗(yàn)采用Mininet平臺,該平臺為輕量級SDNS實(shí)驗(yàn)平臺,支持軟件定義網(wǎng)絡(luò)環(huán)境,具有較高的仿真部署便易度,在仿真環(huán)境中運(yùn)行功能正確的原型系統(tǒng)。實(shí)驗(yàn)原型系統(tǒng)如圖4所示,3臺web服務(wù)器在網(wǎng)絡(luò)中映射到同一個虛擬IP地址,提供相同的服務(wù)。詳細(xì)的硬件配置如表1所示。表1硬件規(guī)格....

本文編號：3900581