一种云端结合IoT僵尸网络检测原型系统及方法

技术特征：
1.一种云端结合iot僵尸网络检测原型系统，其特征在于，包括以下器件：端系统：执行流数据捕获部分，通过argus流量捕获工具，对受控网络主机通信的流量数据进行处理，实现流量数据的捕获和过滤，得到流数据；再利用argus工具的流量数据分析的手段，对流数据进行分析，得到流数据的低维特征，并将最终的低维的流特征消息发布给mqtt服务器；mqtt服务器：负责端系统和云系统之间消息传输；云系统：具体实现包括流相似性关系提取模块，流相似性关系图构建模块，gcn僵尸节点检测模块；流量采集、过滤模块：负责接口流量监听、白名单过滤、将过滤后的流量以.argus格式存储并加入阻塞队列；流特征化处理模块：监听着阻塞队列，当阻塞队列存在未被消费的信息时，对该信息进行流特征化处理，并将流特征消息发布给mqtt服务器；mqtt通信模块：采取c/s架构即发布/订阅的设计模式，mqtt作为服务器实现客户端的端系统和云系统的通信；流相似性关系提取模块：获取来自端系统的流特征信息后，将同一主机节点下相似性流量汇聚成簇形成网络流簇，再对不同主机节点具有相似的网络流簇进行整合，遍历所有节点，得到多个相似性关系；流相似性关系图构建模块：对受控的网络环境中的主机信息和流信息进行图数据结构表达，根据主机节点的特征信息和流相似性关系建立流相似性关系的无向图；gcn僵尸节点检测模块：利用gcn网络对输入流相似的无向关系图的节点进行分类，实现对僵尸节点的检测。2.根据权利要求1所述的一种云端结合iot僵尸网络检测原型系统，其特征在于，其中流相似性关系提取模块具体实现步骤如下：获取来自端系统的流特征信息后，将同一主机节点下相似性流量，即在相同主机节点下，流部分特征相同的流量，汇聚成簇形成网络流簇，不同主机节点具有一个相同的网络流簇，则可认为存在一条相似性关系，遍历所有节点，得到多个相似性关系。3.根据权利要求1所述的一种云端结合iot僵尸网络检测原型系统，其特征在于，其中流相似性关系图构建模块具体实现步骤如下：首先对相似性关系图节点特征信息建模，基于全部的流特征信息，设置一个node类来对节点的特征信息进行描述，其中每一个节点以独立的ip地址进行划分即主机节点，遍历访问受控网络中的每一条流特征，对每一条流信息进行汇总处理，最终得到受控网络内部的结点特征集合v＝{v
i
}；相似性关系无向图定义为g＝(v，e)，其中v表示受控网络中的主机集合，e表示相似关系边集合，使用邻接矩阵的方式来对表示结点之间边的连接关系，再对流相似性关系图的节点构建边的连接关系，进行如下处理：如果结点和结点之间有一个相似性关系，对应边权重加1，如果节点之间没有相似性关系，对应边权重为0，遍历得到的相似性关系，最后得到用邻接矩阵表示的流相似性关系的无向图。4.根据权利要求1所述的一种云端结合iot僵尸网络检测原型系统，其特征在于，gcn僵尸节点检测模块具体实现步骤如下：gcn僵尸结点检测模块以流相似性关系无向图的邻接矩阵作为输入，利用gcn网络对图
中的结点进行分类，以最终实现对于僵尸结点的检测。5.一种云端结合iot僵尸网络检测方法，其特征在于，分成三个部分端系统、云系统和mqttbroker，该方法主要包括以下步骤：s1：启动云系统和端系统及mqttbroker，首先通过端系统的流量采集、过滤模块对受控网络的流量进行监听、采集、过滤后存储，并加入阻塞队列s2：流特征化处理模块时刻监听着阻塞队列，当阻塞队列存在未被消费的信息时，对该信息进行流特征化处理得到流特征消息，并将流特征消息发布给mqtt服务器；s3：mqtt服务器接收到端系统的流特征消息后，通过特定的主题过滤器定位到云系统后，将消息发送给云系统；s4：云系统的流相似性关系提取模块获取来自端系统的流特征信息后，将同一主机节点下相似性流量汇聚成簇形成网络流簇，不同主机节点具有一个相同的网络流簇，则可认为存在一条相似性关系，遍历所有节点，得到多个相似性关系；s5：流相似性关系图构建模块首先对相似性关系图节点特征信息建模，基于全部的流特征信息，设置一个node类来对节点的特征信息进行描述，其中每一个节点以独立的ip地址进行划分即主机节点，遍历访问受控网络中的每一条流特征，对每一条流信息进行汇总处理，最终得到受控网络内部的结点特征集合v＝{v
i
}；相似性关系无向图定义为g＝(v，e)，其中v表示受控网络中的主机集合，e表示相似关系边集合，使用邻接矩阵的方式来对表示结点之间边的连接关系，再对流相似性关系图的节点构建边的连接关系，进行如下处理：如果结点和结点之间有一个相似性关系，对应边权重加1，如果节点之间没有相似性关系，对应边权重为0，遍历得到的相似性关系，最后得到用邻接矩阵表示的流相似性关系的无向图；s6：gcn僵尸结点检测模块以流相似性关系无向图的邻接矩阵作为输入，利用gcn网络对图中的结点进行分类，以最终实现对于僵尸结点的检测。

技术总结
本发明公开了一种云端结合IoT僵尸网络检测原型系统及方法，属于僵尸网络检测技术领域，主旨在于解决IoT设备无法承受较大的算力和存储开销的问题。主要方案包括先通过端系统，对流量进行监听、采集、过滤后存储，并加入阻塞队列；时刻监听着阻塞队列，当阻塞队列存在未被消费的信息时，对该信息进行流特征化处理，并将流特征消息发布给MQTT服务器；MQTT服务器接收到端系统的信息后，通过特定的主题过滤器定位到云系统后，将消息发送给云系统；云系统进行处理先得到以主机为节点的网络流簇和一组相似性关系；再根据主机节点的特征信息和相似性关系构建出流相似性关系图；然后对流相似性关系图中的主机节点进行检测，识别出图中存在的僵尸主机节点。中存在的僵尸主机节点。中存在的僵尸主机节点。


技术研发人员：牛伟纳 吴昊 张小松 胡佳 代天赐 朱宇坤
受保护的技术使用者：电子科技大学
技术研发日：2022.06.02
技术公布日：2022/9/2