可视化分析方法、系统、电子设备、存储介质及其应用与流程

本发明属于网络安全，特别是涉及一种僵尸网络多级控制关系的可视化分析方法，一种僵尸网络多级控制关系的可视化分析系统，一种僵尸网络多级控制关系的可视化分析的电子设备，一种计算机可读存储介质，还涉及一种僵尸网络多级控制关系的可视化分析方法的应用。

背景技术：

1、在互联网高速发展的背景下，僵尸网络已出现多年，目前已有多种的检测手段，主要分三大类：bot分析类、i ds类和框架设计类。bot分析类的主要检测手段是利用蜜罐捕获僵尸网络，从静态代码层面或模拟环境运行层面分析僵尸网络的特征和行为模式。i ds类则是根据数据获取方法检测僵尸网络，通过主动发送请求获得设备响应，从而查找在特定主机上运行的可疑程序和脚本称为主动类；通过设备获取或嗅探获得数据，通过基于规则或异常的方法检测僵尸网络行为的被动类。框架设计类主要针对采用加密等方式，而难以有效检测的僵尸网络，这类方法利用各类数据挖掘方法，包括机器学习、统计学和数据库系统等检测僵尸网络行为，源数据大部分是现有数据集，也有部分研究者通过设置多台设备搭建内部网络，在该网络中的设备上运行开源僵尸网络代码并捕获各个设备的流量，从而得到较完整的僵尸网络流量数据。

2、随着互联网网络的快速发展，僵尸网络也在不断发展和变化。mirai是一种广泛传播的代表性僵尸网络家族，自披露以来，多次用于世界上的危险和大规模的ddos攻击，包括ovh攻击和dyn攻击。目前mirai的大量变体仍然是最活跃的家族之一，其他如gafgyt、mozi等家族也在不断向着更复杂、更隐蔽的方向进化。abbas等人对mirai家族和qbot家族的17个僵尸网络变种进行了静态代码分析，挖掘出攻击者的视角、一般行为、使用的技术和实现的技术等。shao等人使用两种不同的配置来探索自适应学习策略在僵尸网络检测中的有效性，使用真实抓取的网络数据验证所提出的自适应在线学习策略的性能。panda等人使用3种机器学习方法验证了所设计的特征子集选择方法以及僵尸网络检测系统的有效性。

3、然而现有的僵尸网络检测的相关技术主要是针对网络中的单点异常分析发现单个僵尸节点，而僵尸网络的主机通常尽可能使用少量流量与c&c服务器通信，且不与僵尸网络中的机器人直接连接，因此在网络中常常处于隐匿状态。这就导致如果仅通过对网络上的单个节点流量进行检测以发现异常；同时在僵尸网络检测时而往往忽略了不同僵尸节点之间的关系，难以建立整个僵尸网络的可视化拓扑架构，将网络节点间的控制关系以关系图的形式直观展示。如果仅通过对网络上的单个节点流量进行检测以发现异常，从而检测僵尸网络行为是不全面的，发现网络中藏匿的僵尸网络跳板节点效率和准确性低，而关闭流量异常节点的处置方法又难以对整个僵尸网络造成打击。对于防守者而言，难以发现可疑的攻击者使用的僵尸网络及节点，不利于后续利用报文数据分析以及实际取证溯源分析，难于为发现隐藏的主机节点提供帮助。

4、综上僵尸网络分析方法，现有的僵尸网络分析方法主要缺陷在于：目前僵尸网络检测的相关技术主要是针对网络中的单点异常分析发现单个僵尸节点，而往往忽略了不同僵尸节点之间的关系，难以建立整个僵尸网络的架构。因此，如何发现可疑的攻击者使用的僵尸跳板网络节点，建立有效防御手段是必要的。

技术实现思路

1、本发明的目的在于，提供一种可视化分析方法、系统、电子设备、存储介质及其应用，以解决难以建立整个僵尸网络的可视化拓扑架构，对网络节点间单个僵尸节点和不同僵尸节点之间的控制关系以关系图的形式直观展示，不能从整个可视化拓扑架构上检测僵尸网络行为，发现网络中藏匿的僵尸网络跳板节点效率和准确性低，不利于后续利用报文数据分析以及实际取证溯源分析，难以为发现隐藏的主机节点提供帮助的技术问题。

2、本发明的目的及解决其技术问题是采用以下技术方案来实现的。

3、本发明一方面提出了一种可视化分析方法，包括：获取网络节点流数据的网络特征，聚合具有相同源/目的主机的流数据的网络特征，筛选控制节点，基于所述控制节点得到存在于网络中控制行为相关节点的控制关系；构建网络拓扑，将所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及所述控制行为相关节点的控制关系和所述控制关系的相关属性；由所述控制关系及所述相关属性得到节点间的多级控制关系和网络中的异常节点。

4、优选地，获取网络节点流数据的网络特征，包括：从每条流数据中选取源ip、目的ip、源端口、目的端口、从源ip到目的ip的包数和字节数，及该条流数据传输时段特征。

5、优选地，传输时段特征是以小时为区间，将1天划分为12个时段，每个时段2小时为特征的。

6、优选地，所述聚合具有相同源/目的主机的流数据包括：合并具有相同源和目的ip和相同源和目的端口特征的数据，得到正向流数据集t。

7、优选地，筛选控制节点，包括：将正向流数据集t中的源ip与目的ip，目的端口与源端口互换得到的反向流数据集t′，将所述反向流数据集t′与正向流数据集t合并构成双向流数据集tc；以ip和端口构成的二元组为分析单位，将双向流数据集tc中每个二元组连接的目的ip的数量作为该二元组的度；筛选度大于k1的二元组，再以ip为单位去重，得到控制节点的ip集合c，其中k1为不小于2的整数。

8、优选地，得到存在于网络中控制行为相关节点的控制关系，包括：以源ip和源端口构成的二元组为分析单位，统计正向流数据集t中每个二元组不同源ip的数量；筛选不同源ip的数量值大于k2的二元组，再以源ip为单位去重，得到正向流数据集t中控制端的ip列表c1；以目的ip和目的端口构成的二元组为分析单位，统计反向流数据集t′中每个二元组不同目的ip的数量；筛选不同目的ip的数量值大于k2的二元组，再以目标ip为单位去重，得到反向流数据集t′中受控制端的ip列表c2；遍历双向流数据集tc中的所述流数据，若满足源ip属于所述控制端的ip列表c1且目的ip属于所述受控端的ip列表c2，则将符合条件的流数据合并为控制行为集合v，其中k2为不小于2的整数。

9、优选地，构建网络拓扑，将所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件，包括：将获取的所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑；筛选用户限制条件下的控制行为相关节点的控制关系；生成用户限制条件下的拓扑图及节点关系文件；导出基于所述拓扑图的所述节点关系文件。

10、优选地，可视化显示节点关系文件以及所述控制行为相关节点的控制关系和所述控制关系的相关属性；由所述控制关系及所述相关属性得到节点间的多级控制关系和网络中的异常节点，包括：将所述节点关系文件作为可视化输入，可视化显示不同功能的节点关系，所述节点关系包括节点和关系的标签和属性；对可视化展示的所述控制关系和所述控制关系的相关属性进行可视化分析；根据节点控制关系结构和控制行为属性得到节点间的多级控制关系和网络中的异常节点。

11、本发明另一方面还提出了一种可视化分析系统，包括：数据处理单元，用于获取网络节点流数据的网络特征，聚合具有相同源/目的主机的流数据的网络特征，筛选控制节点，基于所述控制节点得到存在于网络中控制行为相关节点的控制关系；网络拓扑单元，用于构建网络拓扑，将所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化单元，用于可视化显示节点关系文件以及所述控制行为相关节点的控制关系和所述控制关系的相关属性；由所述控制关系及所述相关属性得到节点间的多级控制关系和网络中的异常节点。

12、本发明另一方面还提出了一种可视化分析系统，包括：数据处理单元，用于获取网络节点流数据的网络特征，聚合同源节点特征数据，筛选控制节点，得到存在于网络中控制行为相关节点的控制关系；网络拓扑单元，用于将节点和节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化单元，用于可视化显示节点关系文件，展示网络节点控制关系和节点控制关系的相关属性；由节点控制关系及控制时间得到节点间的多级控制关系和网络中的异常节点。

13、本发明另一方面还提出了一种电子设备，包括：存储器，用于存储处理器非暂时性可读指令；以及处理器，用于从存储器中读取可读指令，使得可读指令被处理器执行时实现上述的可视化分析方法。

14、本发明另一方面还提出了一种计算机可读存储介质，包括计算机指令，当计算机指令在设备上运行时，使得设备执行上述的可视化分析方法。

15、本发明另一方面还提出了一种上述的可视化分析方法在僵尸网络多级控制关系检测中的应用。

16、本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案，本发明至少具有以下优点及有益效果：

17、一、本发明提供的僵尸网络多级控制关系的可视化分析方法，通过获取网络节点流数据的网络七元组属性特征，聚合同源节点特征数据，筛选控制节点，通过疏理节点间的控制关系，得到存在于网络中控制行为相关节点的控制关系，该数据处理方法理清了网络节点间单个僵尸节点和不同僵尸节点之间的控制关系以关系图的七元组属性特征，为建立整个僵尸网络的可视化拓扑架构提供了合理的数据，为有效的构建图数据库拓扑架构提供了支撑。

18、二、本发明通过构建图数据库拓扑架构，将节点和节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件，通过图数据库将网络流数据中分析的节点控制关系数据以规范的文本格式导出用以僵尸网络多级控制关系的可视化分析方法，实现了建立整个僵尸网络的可视化拓扑架构，实现了对网络节点间单个僵尸节点和不同僵尸节点之间的控制关系进行规范的标准化。

19、三、本发明通过可视化显示节点关系文件，展示网络节点控制关系和节点控制关系的相关属性；由节点控制关系及控制时间得到节点间的多级控制关系和网络中的异常节点，从而为三维可视化展示中判定僵尸网络中节点是否为多级控制网络中的非顶层节点，从而发现网络设备之间的多级控制关系，定位可能处于跳板位置的c&c服务器节点。

20、四、本发明建立了完整的僵尸网络可视化拓扑架构，对网络节点间单个僵尸节点和不同僵尸节点之间的控制关系以关系图的形式进行直观展示，从能整个可视化拓扑架构上检测僵尸网络行为，提高了发现网络中藏匿的僵尸网络跳板节点效率和准确性，有利于后续利用报文数据分析以及实际取证溯源分析，为发现隐藏的主机节点提供帮助。

21、上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。