列公式计算所述SDN中 访问服务器S p的用户终端与服务器Sq的用户终端的相似度,得到访问相似度矩阵:
[0190] Apq= |up n uj/|up u uj
[0191] 其中,Apq为所述相似度,Up为访问服务器sp的用户终端组成的群体,U q为访问服 务器Sq的用户终端组成的群体,|Up n UqI为既访问服务器Sp又访问服务器Sq的用户终端 的个数,根据下列公式确定:
[0193] Iup U UqI为访问服务器Sp或者访问服务器Sq的用户终端的个数,根据下列公式 确定:
[0195] 进一步地,所述聚类模块14,包括:
[0196] 分解单元141,用于对所述访问相似度矩阵进行谱分解,得到特征值;
[0197] 获取单元142,用于获取大于第一预设阈值的特征值;
[0198] 第三确定单元143,用于确定与所述大于第一预设阈值的特征值对应的特征向 量;
[0199] 处理单元144,用于采用预设聚类算法对所述特征向量进行聚类,获得至少两个第 一类簇;
[0200] 第二确定模块15,具体用于根据所述至少两个第一类簇确定是否存在僵尸网络。
[0201] 进一步地,所述第二确定模块15,包括:
[0202] 第四确定单元151,用于分别以所述至少两个第一类簇中的每个第一类簇作为待 处理类簇,根据所述访问相似度矩阵,确定所述待处理类簇中包含的各服务器中的任意两 个服务器对应的访问相似度;
[0203] 第五确定单元152,根据所述待处理类簇中包含的各服务器中的任意两个服务器 对应的访问相似度,确定所述待处理类簇的平均访问相似度;
[0204] 判断单元153,用于判断所述平均访问相似度是否大于预设访问相似度阈值,并且 所述待处理类簇中包含的各服务器的数量是否大于预设数量;
[0205] 第六确定单元154,用于当平均访问相似度大于预设访问相似度阈值并且所述待 处理类簇中包含的各服务器的数量大于预设数量,则确定所述待处理类簇中包含的各服务 器构成一个僵尸网络。
[0206] 进一步地,该控制器还包括:
[0207] 判断模块21,用于判断待处理类簇的服务器平均访问次数是否小于第二预设阈 值;
[0208] 处理模块22,用于若所述判断模块判断小于所述第二预设阈值,则更新所述待处 理类簇中包含的各服务器对应的母流转发规则中的子网地址,并根据更新后的各服务器对 应的母流转发规则中的子网地址获得至少两个第二类簇;
[0209] 第二确定模块15,具体用于:
[0210] 确定所述至少两个第二类簇中是否存在与所述待处理类簇中包含的各服务器的 服务器相似度大于第三预设阈值的类簇;
[0211] 若存在,则确定所述待处理类簇中包含的各服务器构成一个僵尸网络。
[0212] 进一步地,所述处理模块22,用于:
[0213] 将所述更新后的流转发规则下发给所述openf low交换机,并根据所述openf low 交换机在第二预设时间段内上报的所述更新后的流转发规则的统计信息获得至少两个第 二类簇。
[0214] 进一步地,该控制器还包括:
[0215] 第二接收模块23,用于接收openf low交换机转发的待处理数据包,所述数据包中 包括源IP地址和目的IP地址;
[0216] 发送模块24,用于根据所述源IP地址和所述目的IP地址构造所述流转发规则,并 将构造的所述流转发规则下发给所述openflow交换机。
[0217] 本实施例的控制器可以用于执行图2所示方法实施例的技术方案,其实现原理和 技术效果类似,此处不再赘述。
[0218] 图5为本发明实施例五提供的处理设备的结构示意图,该处理设备包括:
[0219] 接收器31、存储器32以及与所述存储器32连接的处理器33,其中,所述接收器31 用于接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则 的统计信息,所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规 贝1J,所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配 次数;其中,所述子流转发规则用于将SDN中与所述子流转发规则中的源IP地址对应的数 据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器,所述母流转发 规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器,所述子 网地址为对所述源IP地址和预设子网掩码进行位与运算确定的;
[0220] 所述存储器31用于存储一组程序代码,所述处理器32用于调用所述存储器31中 存储的程序代码,以执行如图1所示僵尸网络检测方法中的:根据所述第一匹配次数和所 述第二匹配次数,计算所述服务器被所述SDN中任一用户终端访问的访问概率,获得所述 服务器访问概率集合;根据所述访问概率集合,计算访问所述服务器中任意两个服务器的 用户终端的相似度,得到访问相似度矩阵;采用预设谱聚类算法对所述访问相似度矩阵进 行谱聚类,获得聚类结果;根据所述聚类结果确定是否存在僵尸网络。
[0221] 进一步地,所述处理器33还用于:
[0222] 根据下列公式计算所述流转发规则中目的IP地址对应的服务器被所述SDN中的 任一用户终端访问的平均访问次数:
[0224] 其中,I为对服务器s的平均访问次数,用户终端h为所述SDN中的任一用户终 端,nhs为用于将用户终端h的数据包转发至服务器s的子流转发规则fhs的第一匹配次数, ms为目的IP地址对应服务器s的子流转发规则的个数;
[0225] 根据下列公式依次计算所述流转发规则中目的IP地址对应的服务器被所述SDN 中任一用户终端访问的访问概率,获得所述服务器的访问概率集合:
[0227] 其中,phs为SDN中的任一用户终端h访问任一流转发规则中目的IP地址对应服 务器s的访问概率,/4为采用第k个子流转发规则和对应的母流转发规则得到的h访问s 的访问概率,根据下列公式确定:
[0229] 其中,hk为采用第k个子流转发规则的用户终端,Hk为与第k个母流转发规则对 应的SDN中的子网,为子网H k中包含的用户终端数量,为第k个母流转发规则的第 二匹配次数。
[0230] 进一步地,所述处理器33还用于:
[0231] 依次针对所述服务器中的任意两个服务器Sp和sq,根据下列公式计算所述SDN中 访问服务器S p的用户终端与服务器Sq的用户终端的相似度,得到访问相似度矩阵:
[0232] Apq= |up Π Uj/|Up U Uj
[0233] 其中,Apq为所述相似度,Up为访问服务器Sp的用户终端组成的群体,U q为访问服 务器Sq的用户终端组成的群体,|Up n UqI为既访问服务器Sp又访问服务器Sq的用户终端 的个数,根据下列公式确定:
[0235] |UP U UqI为访问服务器Sp或者访问服务器Sq的用户终端的个数,根据下列公式 确定:
[0237] 进一步地,所述处理器33还用于:对所述访问相似度矩阵进行谱分解,得到特征 值;获取大于第一预设阈值的特征值;确定与所述大于第一预设阈值的特征值对应的特征 向量;采用预设聚类算法对所述特征向量进行聚类,获得至少两个第一类簇;根据所述至 少两个第一类簇确定僵尸网络。
[0238] 进一步地,所述处理器33还用于:分别以所述至少两个第一类簇中的每个第一类 簇作为待处理类簇,根据所述访问相似度矩阵,确定所述待处理类簇中包含的各服务器中 的任意两个服务器对应的访问相似度;根据所述待处理类簇中包含的各服务器中的任意两 个服务器对应的访问相似度,确定所述待处理类簇的平均访问相似度;判断所述平均访问 相似度是否大于预设访问相似度阈值,并且所述待处理类簇中包含的各服务器的数量是否 大于预设数量;当平均访问相似度大于预设访问相似度阈值并且所述待处理类簇中包含的 各服务器的数量大于预设数量,则确定所述待处理类簇中包含的各服务器构成一个僵尸网 络。
[0239] 进一步地,所述处理器33还用于:判断待处理类簇的服务器平均访问次数是否小 于第二预设阈值;若小于所述第二预设阈值,则更新所述待处理类簇中包含的各服务器对 应的母流转发规则中的子网地址,并根据更新后的各服务器对应的母流转发规则中的子网 地址获得至少两个第二类簇;确定所述至少两个第二类簇中是否存在与所述待处理类簇中 包含的各服务器的服务器相似度大于第三预设阈值的类簇;若存在,则确定所述待处理类 簇中包含的各服务器构成一个僵尸网络。
[0240] 进一步地,所述处理器33还用于:将所述更新后的流转发规则下发给所述 openflow交换机,并根据所述openflow交换机在第二预设时间段内上报的所述更新后的 流转发规则的统计信息获得至少两个第二类簇;确定所述至少两个第二类簇中是否存在与 所述待处理类簇中包含的各服务器的服务器相似度大于第三预设阈值的类簇;若存在,则 确定所述待处理类簇中包含的各服务器构成一个僵尸网络。
[0241] 进一步地,所述接收器31还用于:接收openflow交换机转发的待处理数据包,所 述数据包中包括源IP地址和目的IP地址;相应的,所述控制器还包括发射器34,所述发射 器34用于:根据所述源IP地址和所述目的IP地址构造所述流转发规则,并将构造的所述 流转发规则下发给所述openflow交换机。
[0242] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通 过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程 序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM (Random Only Memory,只读存储器)、RAM (Random Access Memory,随机存储器)、磁碟或者光盘等各种可 以存储程序代码的介质。
[0243] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其 依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征 进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技 术方案的范围。
【主权项】
1. 一种僵尸网络检测方法,其特征在于,包括: 接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则 的统计信息,所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规 贝U,所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配 次数; 其中,所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对应的 数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器,所述母流转 发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器; 根据所述第一匹配次数和所述第二匹配次数,计算所述服务器被所述SDN中任一用户 终端访问的访问概率,获得所述服务器的访问概率集合; 根据所