(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210962957.9 (22)申请日 2022.08.11 (71)申请人 西北工业大 学 地址 710068 陕西省西安市友谊西路127号 申请人 国家计算机网络与信息安全管理中 心 (72)发明人 何清林　杨黎斌　崔琳　王星　 蔡晓妍　戴航　胡金灿　王梦涵　 (74)专利代理 机构 西安恒泰知识产权代理事务 所 61216 专利代理师 王芳 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/08(2006.01) G06N 3/04(2006.01) (54)发明名称 一种僵尸网络关键节点识别方法和识别系 统 (57)摘要 本发明公开了一种僵尸网络关键节点识别 方法和识别系统， 该方法包括： S1、 获得基础僵尸 感染流量数据， 用其构建一个目标待识别关键节 点的异构僵尸感染网络HBIN； S2、 计算目标异构 僵尸感染网络HBIN中每个僵尸节点的感染影响 力； S3、 按照感染影响力降序排列后选 择前100个 节点作为该目标异构僵尸感染网络中的关键节 点。 本发明提供的僵尸网络关键节 点识别方法能 够高效、 高质量 地获取最关键的僵尸节点 集。 权利要求书4页 说明书17页 附图4页 CN 115473686 A 2022.12.13 CN 115473686 A 1.一种僵尸网络关键节点识别方法， 其特 征在于， 具体包括如下步骤： S1、 获得基础僵尸 感染流量数据， 用其构建一个目标待识别关键节点的异构僵尸 感染 网络HBIN； S2、 计算步骤S1构建的目标异构僵尸感染网络HBIN中每个僵尸节点的感染影响力； 具 体包括如下子步骤： S2.1、 计算步骤S1构建的目标异构僵尸感染网络HBIN中每个僵尸节点的感染扩散分 数； S2.2、 对于每个僵尸节点， 计算僵尸节点u和僵尸节点u的每个下游可达邻居节点w之间 的扩散距离D(u， w)； s2.3、 计算僵尸节点u的每 个下游可达邻居节点 w的出度outdeg(ω)； S2.4、 利用步骤S2.1、 S2.2和S2.3分别得到的僵尸节点u的感染扩散 分数Sid(u)、 僵尸节 点u和僵尸节点u的每个下游可达邻居节点间w的之间的扩散距离D(u， w)以及僵尸节点u的 每个下游可达邻居节点w的出度outdeg(w)， 运用式(4)， 即 计 算出僵节点u的内在影响Sii(u)； S2.5、 利用与计算僵尸节点u的内在影响Sii(u)的相同方式计算出僵尸节点u的每个直 接出度邻居v的内在影响Sii(v)； S2.6、 利用步骤S2.4、 S2.5计算获得的僵尸节点u的内在影响Sii(u)、 僵尸节点u的所有 直接出度邻居v的内在影响Sii(v)， 运用式(3)， 即 计算僵尸节点u的真实感染影响力 TIIu， 其中Nout(u)是节点u的直接出度邻 居集合， wr(v)是 感染有向边Eu， v的权重占比， 其中weight(u， v)是指从节点u 到节点v之间有向边的权 重， wcight(u， j)是指从节点u到节点j之间有向边的权 重； S3、 按照感染影响力降序排列后选择前100个节点作为该目标异构僵尸感染网络中的 关键节点， 关键节点识别结束。 2.如权利要求1所述的僵尸网络关键节点识别方法， 其特征在于， 所述步骤S1中， 形成 目标待识别关键节点的异构僵尸感染网络 HBIN， 包括如下步骤： S1.1、 获得半个月的僵尸感染流 量， 作为基础数据集， 用以构建目标识别网络； S1.2、 利用步骤S1.1构建的僵尸感染流量的基础数据集， 对于每一条流量选择攻击发 起方ip地址src_ip、 被攻击主机ip地址dst_ip、 被攻击主机位置dst_loc、 被攻击主机线路 类型dst_iptype和威胁攻击时间戳timestamp， 构建<src_ip， dst_ip， dst_loc， dst_ iptype， timestamp> 数据集合； S1.3、 用S1.2步骤输出的数据集合中的每一条<src_ip， dst_ip， dst_loc， dst_iptype， timestamp>对应构建动态感染级联网络DICN中的每一条具有特定起点和终点间的唯一有 向边， 并计算每条有向边 边缘权重。 3.如权利要求2所述的僵尸网络关键节点识别方法， 其特征在于， 所述步骤S1.2中， 如 果存在多条<src_ip， dst_ip， dst_loc， dst_iptyp e， timestamp >具有相同src_ip， dst_ip，权　利　要　求　书 1/4 页 2 CN 115473686 A 2但timestamp不同， 对于 具有相同src_ip和dst _ip的僵尸感染流量数据跟据其timestamp进 行去重， 只需保留具有最 早时间戳timestamp的一条。 4.如权利要求2所述的僵尸网络关键节点识别方法， 其特征在于， 所述步骤S1.3包括如 下子步骤： S1.3.1确定有向边起点和起点类型： 将 src_ip作为有向边的起点， 起点类型标记为Bot (B)； S1.3.2确定有向边终点和终点类型： 将dst_ip作为有向边的终点， 若该dst_ip表示的 主机在未来作为某条捕获流量数据中的src_ip， 则该终点类型标记为Bot(O)， 否则 该终点 类型标记为Target(T)； S1.3.3计算有向边 边缘权重： 若步骤S1.3.1和S1.3.2步骤中标记的有向边的起点和终点类型分别为Bot(B)和 Target(T)， 则边缘权重为α， 利用式(1)， 即α ＝α1·x1+α2·x2+b进行计算， 其中x1和x2分别为 dst_loc和dst _iptype的数值表示， α1和α2为对应分配给x1和x2的权重系数， α1和α2、 b是通过 NN‑1预先学习的； 若步骤S1.3.1和S1.3.2步骤中标记的有向边的起点和终点类型分别为Bot(B)和Bot (B)， 利用式(2)， 即 进行计算， 其中α利用式(1)计算， NT和NI是完整僵尸网络 爆发周期中僵尸网络中目标设备和受感染设备的总数。 5.如权利要求2所述的僵尸网络关键节点识别方法， 其特征在于， 所述步骤S2.1包括如 下操作： S2.1.1、 将步骤S1构建的目标异构僵尸感染网络HBIN作为当前目标异构僵尸感染网 络； S2.1.2、 利用式(8)计算当前目标异构僵尸感染网络HBIN中每个僵尸节点的Sid值， 设置 当前SID值 等于最小的Sid值； 式(8)为： 其中v表示节点u的直接出度邻居节点， 表示节点u被移除的直接出度邻居节点的数 量， 其初始值为0； 表示节点u被移除的直接出度邻居节点的集合； 表示节点u 剩余的直接出度邻居节点的数量， 其初始值为0； 表示节点u剩余的直接出度邻居 节点的集合， weight(u， v)是指从节点u到节点v之间有向边的权重； λ， η是介于0和1之间的 可调系数。 S2.1.3、 对于当前异构僵尸感染网络HBIN中的僵尸节点， 若其Sid值≤当前SID值， 则将 其Sid值重新赋值 为当前SID值， 并将该僵尸节点从当前异构僵尸感染网络 HBIN中移除； S2.1.4、 利用式(8)计算当前目标异构僵尸感染网络HBIN中每个僵尸节点的Sid值， 重新 执行步骤S 2.1.3及步骤S2.1.4， 直至当前异构僵尸感染网络HBIN中所有的僵尸节点的Sid值 满足Sid＞当前SID； S2.1.5、 若当前异构僵尸感染网络HBIN中还有未移除的僵尸节点， 则返回执行步骤权　利　要　求　书 2/4 页 3 CN 115473686 A 3