检测长春虚拟主机

第52卷第3期Vol.
52No.
3山东大学学报(理学版)JournalofShandongUniversity(NaturalScience)2017年3月Mar.
2017收稿日期:20160818;网络出版时间:2017021809∶36网络出版地址:http://www.
cnki.
net/kcms/detail/37.
1389.
N.
20170218.
0936.
002.
html基金项目:国家863高技术研究发展计划资助项目(2011AA7031024G);国家自然科学基金资助项目(90204014)作者简介:宋元章(1986—),男,硕士,助理研究员,研究方向为网络安全和分布式计算.
Email:songyuanzhang@163.
com文章编号:16719352(2017)03007408DOI:106040/j.
issn.
16719352.
2.
2016001基于分形与自适应数据融合的P2Pbotnet检测方法宋元章,李洪雨,陈媛,王俊杰(中国科学院长春光学精密机械与物理研究所,吉林长春130033)摘要:提出了一种基于分形与自适应数据融合的P2P僵尸网络检测方法.
构建单分形特性、多分形特性检测传感器,利用大时间尺度下的自相似性和小时间尺度下的局部奇异性刻画网络流量特征,利用Kalman滤波器检测上述特性是否异常.
为获得更精确的检测结果,提出了一种自适应数据融合方法,根据证据冲突程度自适应得选择DST(DempsterShaferTheory)、DSmT(DezertSmarandacheTheory)对上述检测结果进行融合.
而且,考虑到了P2P应用对检测的影响.
实验结果表明该方法检测准确度较高.
关键词:P2P僵尸网络;自适应数据融合;DempsterShafer理论;DezertSmarandache理论中图分类号:TP39308文献标志码:A引用格式:宋元章,李洪雨,陈媛,等.
基于分形与自适应数据融合的P2Pbotnet检测方法[J].
山东大学学报(理学版),2017,52(3):7481.
P2PbotnetdetectionmethodbasedonfractalandadaptivedatafusionSONGYuanzhang,LIHongyu,CHENYuan,WANGJunjie(ChangchunInstituteofOptics,FineMechanicsandPhysics,ChineseAcademyofSciences,Changchun130033,Jilin,China)Abstract:AnovelP2Pbotnetdetectionalgorithmbasedonfractalandadaptivedatafusionwasproposed.
Firstly,itbuiltthesinglefractaldetectionsensorandthemultifractaldetectionsensor,andtheyusedtheselfsimilarityunderthelargetimescaleandthelocalsingularityunderthesmalltimescaletodescribethecharacteristicsofnetwork.
Kalmanfilterwasusedtodetectabnormalitiesoftheabovecharacteristics.
Togetthemoreaccuratedetectionresult,anadaptivedatafusionmethodbasedonDST(DempsterShaferTheory)andDSmT(DezertSmarandacheTheory)wasproposed.
Dependingontheconflictfactorofevidences,DSTandDSmTwereadaptivelyutilizedtofusetheresultsoftwoabovedetectionsensorstogetthefinalresult.
ThesideeffectsondetectingP2PbotnetwhichP2Pprogramsgeneratedareconsidered.
TheexperimentsshowthattheproposedalgorithmisabletodetectP2Pbotnetwithhighaccuracy.
Keywords:P2Pbotnet;AdaptiveDataFusion;DempsterShaferTheory;DezertSmarandacheTheory0引言僵尸网络(botnet)是一种由大量恶意主机组成的网络,攻击者(botmaster)可以通过僵尸网络的二次注入过程对主机节点的负载进行重注,这样可以较容易地更改攻击类型.
随着构建僵尸网络技术的发展,基于P2P网络的非集中式结构被用来构建新型僵尸网络,这种结构是分散的,没有集中的控制中心,可有效避免针对单点失效的抑制手段,具有更高的可靠性、健壮性.
P2P僵尸网络检测是当前网络和信息安全领域的热点,相关研究分析如下.
王志等[1]在对bot程序执行轨迹进行分析的基础上,提出了一种发掘僵尸网络控制命令集合的方法,对bot程序覆盖率特征进行分析,获得其执行轨迹,进而实现僵尸网络控制命令空间的发掘.
臧天宁等[2]对已知僵尸网络内部通信行为进行特征提取,并利用这些特征定义云模型,进而分析判断已知bot主机群的隶属关系.
Holz等[3]在深入分析Storm机理的基础上提第3期宋元章,等:基于分形与自适应数据融合的P2Pbotnet检测方法75出了一种遏制僵尸网络的方法,通过发布虚假的key扰乱命令与控制机制(CommandandControl,C&C)从而达到遏制僵尸网络规模扩大的目的.
在协同检测方面,王海龙等[4]提出的协同检测模型可以在信息、特性和决策3个层次进行协同,臧天宁等[5]提出的协同检测模型可以分析各种安全事件之间隐藏的关联关系,即使它们发送的地理位置不同、时间段不同.
文献[69]深入分析和总结了僵尸网络演化和发展进程,对检测、防御、遏制等方面深入地研究和展望,并对当前僵尸网络相关研究提出了相应建议.
综上所述,当前P2P僵尸网络检测研究以下几个问题亟需分析和研究:(1)大部分方法主要关注于P2P僵尸网络特有的特性.
当出现新型的网络结构、网络协议和攻击负载类型时,这些方法将不再使用,漏报率较高;(2)大部分方法未考虑网络场景中正常运行的P2P应用对检测的影响.
P2P僵尸网络和P2P应用具有比较相似的的流量特征,本质上P2P僵尸网络是一种"恶意"的P2P网络,若忽略了网络场景中正常运行的P2P应用对检测的影响,则误报率较高;(3)大部分方法进行僵尸网络检测时使用数据挖掘、机器学习等方法,需要使用大量历史数据和先验知识对分类器事先训练,检测效率不理想.
本文提出一种基于分形与自适应数据融合的P2P僵尸网络检测方法:(1)本文方法主要关注其"共有"异常,从网络流量的内在特性出发,将网络流量看作信号进行处理,利用分形理论综合分析网络流量在不同时间尺度、不同视角下的特性,利用这些特性的异常来检测僵尸网络,因为上述特性不依赖于特定类型的僵尸网络,所以当出现新型的网络结构、网络协议和攻击负载类型时,本文方法仍然能进行有效检测;(2)本文方法详尽考虑了网络场景中正常运行的P2P应用对检测的影响;(3)本文方法利用自适应数据融合方法对检测结果进行决策级数据融合,无需大量历史数据、先验知识,并可通过积累证据缩小假设集.
1P2P僵尸网络检测方法11检测方法概述基于分形与自适应数据融合检测P2P僵尸网络的处理过程,见图1.
图1本文检测方法Fig.
1Processofthedetectionmethod76山东大学学报(理学版)第52卷(1)构建单分形特性检测传感器和多分形特性检测传感器,用来检测网络流量在大时间尺度下的自相似性和小时间尺度下的局部奇异性是否异常;(2)为获得更精确的决策级数据融合结果,在分析现有方法的基础上提出了一种自适应数据融合方法,根据证据冲突程度的不同自适应得选择DST、DSmT对上述检测传感器的检测结果进行决策级数据融合:对于弱冲突证据利用DST进行融合,对于强弱冲突证据利用DSmT进行融合;(3)鉴于P2P僵尸网络和P2P应用流量特征相似,利用TCP包的特征对异常产生原因区分;(4)获得最终检测结果.
12构建流量异常检测传感器分形通常指一个粗糙或零碎的几何形状,可以分成若干个部分,并且每一部分都(至少近似地)是整体缩小后的形状.
分形一般具有以下特征[10]:(1)在任意小尺度上都有精细结构;(2)太不规则,以至于无论是整体还是局部都难以用传统欧式几何来描述;(3)具有近似的或统计的自相似形式.
研究表明网络流量存在分形特性,具体表现为大时间尺度下的自相似性(单分形特性)和小时间尺度下的局部奇异性(多分形特性)[11].
经分析可知,P2P僵尸网络爆发时会导致IP包大量增加,使得大时间尺度下自相似性和小时间尺度下的局部奇异性发生变化,因此可构建相应流量异常检测传感器,根据上述特性刻画网络流量特征并通过利用Kalman滤波器检测是否存在异常.
121单分形特性检测传感器单分形特性检测传感器用来检测网络流量在大时间尺度下的自相似性是否异常.
单分形特性(Singlefractal)体现的是网络流量在大时间尺度下的自相似性[12].
若一个连续时间随机过程X(t)满足X(at)=aHX(t)a>0,(1)则称X(t)具有自相似性.
其中,参数H称为Hurst指数,描述过程的自相似性,05≤H≤1,Hurst指数值越接近05,自相似程度越低.
经分析可知,P2P僵尸网络爆发时会导致网络流量的自相似性减弱,从而导致Hurst指数的值减小.
针对Hurst指数估算方法分析发现[13],R/S法(RescaledRange)受噪声等因素影响较小且计算量较小,所以本文采用该方法计算Hurst指数.
122多分形特性检测传感器多分形特性检测传感器用来检测网络流量在小时间尺度下的局部奇异性是否异常.
一个维数无法描述非均匀分形过程的全部特征,应采用多重分形测度或维数的连续谱进行描述.
Riedi等[14]对TCP流量分析发现:自相似性只是流量分形特性的一个方面,在较小时间尺度上流量表现出更为复杂的变化规律,特别是局部奇异性和突发性.
多分形特性(Multifractal)延伸和细化了网络流量的自相似性行为,可以更灵活地描述局部时间内的不规则现象.
若一个连续时间随机过程X(t)满足X(at)=aH(t)X(t)a>0,(2)则称一个连续时间随机过程X(t)是多重分形的.
其中,H(t)称为Holder指数,描述过程的局部奇异性和突发性.
若Holder指数1,则表示时间随机过程变化较平缓,突发不明显.
经分析可知,P2P僵尸网络爆发时会导致网络流量的局部奇异性增强,从而导致Holder指数的值减小.
Holder指数的计算方法见式(3)[15].
对于某一随机过程X(t),表示到t时刻为止网络中IP包的数目,将X(0),…,X(t)分配到若干子区间中,子区间的长度为d,则Holdert=limd→0logXt+d()2-Xt-d()()2log(d).
(3)123利用Kalman滤波器检测异常Kalman滤波器是信号处理领域中使用最广泛的时间序列预测方法,由时间更新方程和测量更新方程组成[1620].
(1)时间更新方程Xt|t-1=AXt-1|t-1+BUt-1,(4)式(4)中Ut-1为t-1时刻系统的控制量,A和B为系统参数,Xt-1|t-1为t-1时刻的后验状态估计,Xt|t-1为t时刻的先验状态估计.
Pt|t-1=APt-1|t-1AT+Q,(5)式(5)中Pt-1|t-1为Xt-1|t-1的后验估计误差协方差,Pt|t-1为Xt|t-1的先验估计误差协方差,Q是噪声协方差.
(2)测量更新方程Xt|t=Xt|t-1+Pt|t-1HTHPt|t-1HT+R(Zt-HXt|t-1),(6)Pt|t=I-Pt|t-1HTHPt|t-1HT+R()HPt|t-1,(7)式(6)中Zk为测量值,H为测量系统的参数,R为第3期宋元章,等:基于分形与自适应数据融合的P2Pbotnet检测方法77测量噪声协方差,式(7)中I为单位矩阵.
将表征自相似性的Hurst指数Hurstt、表征局部奇异性的Holder指数Holdert作为测量值,利用Kalman滤波器得到相应的后验状态估计RHurstt、RHoldert.
13自适应数据融合决策级数据融合方法主要有贝叶斯方法和DempsterShafer理论(DST),其中被广泛使用的方法为DST,但是其仍有许多局限性,DezertSmarandache理论(DSmT)是近来备受关注的静态融合和动态融合方法,它虽然弥补了DST的局限性,但其计算量较大.
在分析DST和DSmT的基础上,本文提出了一种自适应数据融合方法,将检测结果RHurstk、RHolderk进行决策级数据融合后得到检测结果RFk.
131DST设U为随机变量X取值的论域,若U内所有元素互不相容称,则U为DST中随机变量X的识别框架.
设识别框架为U={θ1,θ2,…,θn},2U为U的幂集,若对于函数m:2U→[0,1]满足如下条件:(1)m()=0;(8)(2)∑A∈2Um(A)=1,(9)则称m(A)为A的基本信度赋值函数.
设识别框架U上有2个相互独立的证据,与之相应的基本信度赋值为m1和m2,与之相应的焦元为A1,…,Ak和B1,…,Br,则Dempster组合规则见式(10),其中K为冲突因子[21].
m(X)=∑Ai,Bj∈2UAi∩Bj=Xm1(Ai)m2(Bj)1-KX≠,0X={;(10)K=∑Ai,Bj∈2UAi∩Bj=m1(Ai)m2(Bj).
(11)132DSmT对于DST,当直接使用Dempster组合规则对强冲突(冲突因子K趋近1)的证据进行融合时在某些情况下会出现有悖常理的结果[22].
为解决上述问题,当前主要有两种方法:第一种方法为在DST框架下对Dempster组合规则进行改进,例如Murphy组合规则、Smets组合规则、Yager组合规则、DuboisPrade组合规则等;第二种方法为提出全新的组合规则,例如DSmT.
它对证据的冲突项进行了保留,将它们作为信息融合的焦元,并对冲突进行了重新地分配.
另一方面,DST要求识别框架中的元素互不相容,而DSmT不要求识别框架中的元素互不相容,它引入了不确定性的概念,因此当识别框架中元素之间的界限模糊、不确定、不精确且难以细分时,DsmT亦可充分发挥其优势.
总之,DSmT是DST的一种扩展,相比于DST幂集2U,DSmT是基于Dedekind格子模型DU建立的识别框架的超幂集作为数据融合空间.
设识别框架U,DU为U={θ1,θ2,…,θn}的超幂集,若对于函数m:DU→[0,1]满足如下条件:(1)m()=0;(12)(2)∑A∈DUm(A)=1;(13)则称m(A)为A的广义基本信度赋值函数.
当处理某些需要考虑已知约束的融合问题时使用混合DSm组合规则,设识别框架U上有n(n≥2)个相互独立的证据,混合DSm组合规则见式(14).
m(X)=δ(A)[S1(A)+S2(A)+S3(A)],(14)δ(A)=0,A为空集或由于约束条件而强制转换为空集的集合,1,A{,(15)S1(A)=∑X1,X2,…,Xk∈DUX1∩X2∩…∩Xk=A∏ki=1mi(Xi),(16)S2(A)=∑X1,X2,…,Xk∈[u(X1)∪…∪u(Xk)=A]∨[(u(X1)∪…∪u(Xk)∈)∧(A=θ1∪θ2∪…∪θn)]∏ki=1mi(Xi),(17)S3(A)=∑X1,X2,…,Xk∈DU(X1∪X2∪…∪Xk)=AX1∩X2∩…∩Xk=∏ki=1mi(Xi).
(18)其中,δ(A)为集合A的特征非空函数,S1(A)表示基于自由DSm模型的k个相互独立证据的经典DSm组合规则,S2(A)表示将所有相对和绝对的空集的信度质量传递给总的或相对的未知集,S3(A)表示将相对于空集的信度质量之和传递给非空集.
133DST与DSmT自适应数据融合方法在弱冲突情况下利用DST进行融合是普遍认为非常有效的方法[23],在强冲突、信息模糊情况下利用DSmT进行融合可以有效解决冲突分配的问题,获得比DST更优的融合结果,但DSmT计算量和存储量大,且在弱冲突情况下效果不如DST.
本文提出了一种自适应数据融合方法,根据冲突程度自适应得选择DST、DSmT进行融合,见图2.
78山东大学学报(理学版)第52卷图2DST与DSmT自适应数据融合Fig.
2AdaptiveDataFusionofDSTandDSmT设识别框架U={θ1,θ2,…,θn}:(1)根据式(11)计算冲突因子K,并设定阈值Tfusion;(2)若K≥Tfusion(强冲突),则根据式(14)利用DSmT进行融合.
否则,根据式(10)利用DST进行融合.
经分析可知,对于不同类型的证据,阈值应不同,甚至可能是多个变化的点或区间.
针对该问题,本文不再深入探讨,为简化计算量,设Tfusion=07[24].
14异常产生原因区分从网络结构、流量构成的角度上分析,P2P僵尸网络是一种"恶意"的P2P网络,因此上述异常也可能是正常P2P应用的运行引起的.
分析P2P应用的机制和P2P僵尸网络的生命周期可知:P2P应用通常利用长度超过1300字节的TCP进行数据传输,P2P僵尸网络通常利用TCP包进行二次注入,两者的TCP包的长度有较大差异.
设TCP包的数量为N,长度超过1300字节的TCP的数量为NL,利用TCP长包的比例Pr实现异常产生原因的区分,具体过程见图3,其中DPI(DeepPacketInspection)详见文献[25].
设当前时刻为t,定义函数RDt=1Pr(19)当Pr可根据网络场景的不同利用Kaufman算法[26]对TTCP进行不同设定.
图3TCP包处理过程Fig.
3ProcessofTCPFlow15检测方法处理过程设当前时刻为t,基于分形与自适应数据融合检测P2P僵尸网络的处理过程为:(1)分析网络流量的分形特性①利用单分形特性检测传感器检测网络流量在大时间尺度下的自相似性是否存在异常:利用基于滑动窗口的估算Hurst指数的方法得到Hurstt,将Hurstt作为Kalman滤波器的测量值检测网络流量自相似性特征的异常,得到检测结果RHurstt;②利用多分形特性检测传感器检测网络流量在小时间尺度下的局部奇异性是否存在异常:估算Holder指数Holdert,将Holdert作为Kalman滤波器的测量值检测网络流量局部奇异性特征的异常,得到检测结果RHoldert;(2)利用自适应数据融合进行决策级数据融合,得到检测结果RFt;(3)计算得到TCP流的RDt值,以在一定程度上减弱P2P应用对检测的误差影响;(4)利用加权平均法获得最终结果.
Rt=αtRFt+βtRDt,αt+βt=1.
(20)设判决P2P僵尸网络爆发的阈值为Tdesion,若Rt≥第3期宋元章,等:基于分形与自适应数据融合的P2Pbotnet检测方法79Tdesion,则P2P僵尸网络爆发,可根据网络场景的不同利用Kaufman算法[26]对Tdesion进行不同设定.
2实验与分析21实验环境实验数据由两部分组成:第一部分为正常场景的网络数据,来自于某信息中心网络服务器;第二部分为P2P僵尸网络流量数据,来自于采用虚拟机(VirtualMachine,VM)技术参照文献[27]建立的实验环境,见图4.
为仿真大规模网络使用场景,利用VM工具在物理计算机上安装若干个虚拟计算机,在作为关键节点的虚拟计算机上安装网络数据包分析工具进行数据包采集和分析.
在实验开始一定时间后向某些虚拟机注入Stormbot程序.
本文中VM工具采用Virtualbox,优点为配置方便、占用资源少、迁移性强;网络封包分析工具采用Wireshark,优点为协议支持全面、细节丰富、支持数据重组.
图4实验环境Fig.
4ExperimentEnvironment22单分形特性实验本实验主要观测单分形特性,正常网络场景中网络流量呈现较明显的自相似性.
分析图5可得,在注入Stormbot程序后Hurst指数从t=420s开始减小,说明自相似性开始减弱,表示网络流量出现异常.
随着P2P僵尸网络规模逐渐扩大,网络流量呈现一种新的"病态"的自相似性行为,使得Hurst指数增大.
图5Hurst指数Fig.
5Hurstexponent23多分形特性实验本实验主要观测多分形特性,正常网络场景中网络流量呈现较明显的局部奇异性.
分析图6可得,在一段时间注入Stormbot程序后,Holder指数开始减小,表明网络流量局部奇异性程度增加,出现了异常.
自相似性体现的是大时间尺度下的相关性,需要经过在botnet爆发后一段时间的数据积累才会发生变化,而局部奇异性体现的是小时间尺度下的突发性,在botnet爆发较短时间后就会发生变化,虽然Holder指数比Hurst指数敏感,但是容易造成误判.
因此采用决策级数据融合的方法综合考虑自相似性和局部奇异性的变化,在降低漏报率的同时也降低误报率.
图6Holder指数Fig.
6Holderexponent24检测准确度实验为测试本文方法在不同情况下的检测准确度,本实验选择4种数据,并将本文方法与表1中方法进行对比,检测结果见表2.
第1组实验数据来自某信息中心网络服务器,本文方法的检测结果与真实情况比较接近.
第2组实验数据来自某信息中心网络服务器中含有P2P应用的正常网络环境.
比较第1组和第2组实验数据,发现对异常原因进行相应区分处理是必要的,本文方法可以有效地降低P2P应用对僵尸网络检测的影响,误报率相对较低.
将第1组实验数据与采集的P2P僵尸网络流量数据参照文献[28]中方法合并后获得第3组实验数据,本文方法的漏报率较低.
将第2组实验数据与采集的P2P僵尸网络流量数据参照相同方法合并后获得第4组实验数据,本文方法的检测结果比较理想.
利用分形理论综合考虑多种网络内在特性来刻画网络变化的细节,同时观测网络流量在大时间尺度下的长相关性和在小时间尺度下的局部奇异性,通过利用Kalman滤波器检测上述特性的变化,并利用自适应数据融合方法进行决策级数据融合,同时考虑到了网络场景中80山东大学学报(理学版)第52卷正常运行的P2P应用对检测的影响.
其中,"1018(873)"表示针对第4组实验数据,本文方法总共检测到了1018次攻击、873次是真正的攻击.
表1实验涉及检测方法概述Table1Overviewofdetectionmethod序号方法名称方法概述1MCUSUM[29]通过多维CUSUM算法检测数据包数量的异常变化来检测僵尸网络.
2KCFM[30]抽取网络流量多个特征构成多维观测序列,利用Kalman滤波器检测流量的异常变化,利用MultichartCUSUM对每个维度的检测结果进行融合.
3SF仅利用单分形特性刻画网络流量特征,利用Kalman滤波器检测流量的异常变化.
4MF仅使用多分形特性刻画网络流量特征,利用Kalman滤波器检测流量的异常变化.
5本文方法利用大时间尺度下的自相似性和小时间尺度下的局部奇异性描述网络的内在特性,同时考虑到了网络场景中正常运行的P2P应用对检测的影响,利用自适应数据融合方法对检测结果进行合理有效地融合.
表2漏报率和误报率数据对比Table2FalsenegativerateandFalsepositiverate序号实验数据说明真实情况MCUSUMKCFMSFMF本文方法1正常02410161952正常+P2P0122744149103正常+bot10007647587328938854正常+P2P+bot10001269(784)1247(823)1546(796)1693(815)1018(873)3结论在分析P2P僵尸网络的典型代表Storm的生命周期和流量特征基础上,提出了一种基于分形与自适应数据融合的P2Pbotnet检测方法.
利用分形理论构建2个检测传感器以检测网络流量在大时间尺度下的自相似性和小时间尺度下的局部奇异性是否异常.
为取得更好的数据融合结果,在对贝叶斯方法、DST和DSmT分析的基础上,提出了一种自适应数据融合方法,根据证据冲突程度不同自适应选择DST和DSmT对上述检测传感器的检测结果进行融合.
同时,鉴于P2P僵尸网络和P2P网络的流量特征相似程度较高,利用TCP流量特征在一定程度上对引起异常的原因进行区分处理.
下一步工作重点:如何更有效合理得对DST和DSmT进行结合和改进,如何更有效地消除P2P应用对检测的影响.
参考文献:[1]王志,蔡亚运,刘露,等.
基于覆盖率分析的僵尸网络控制命令发掘方法[J].
通信学报,2014,35(1):156166.
WANGZhi,CAIYayun,LIULu,etal.
UsingcoverageanalysistoextractBotnetcommandandcontrolprotocol[J].
JournalonCommunications,2014,35(1):156166.
[2]臧天宁,云晓春,张永铮,等.
僵尸网络关系云模型分析算法[J].
武汉大学学报·信息科学版,2012,37(2):247251.
ZANGTianning,YUNXiaochun,ZHANGYongzheng,etal.
Abotnetrelationshipanalyzerbasedoncloudmodel[J].
GeomaticsandInformationScienceofWuhanUniversity,2012(37):247251.
[3]HOLZT,STEINERM,DAHLF.
MeasurementsandmitigationofPeertoPeerbasedbotnets:acasestudyonstormworm[C]//1stUSENIXWorkshoponLargeScaleExploitsandEmergentThreatsSanFrancisco.
[S.
l.
]:[s.
n.
],2008:312.
[4]王海龙,胡宁,龚正虎.
Bot_CODA:僵尸网络协同检测体系结构[J].
通信学报,2009,30(10A):1522.
WANGHailong,HUNing,GONGZhenghu.
Bot_CODA:botnetcollaborativedetectionarchitecture[J].
JournalonCommunications,2009,30:1522.
[5]臧天宁,云晓春,张永铮,等.
网络设备协同联动模型[J].
计算机学报,2011,34(2):216228.
ZANGTianning,YUNXiaochun,ZHANGYongzheng,etal.
AModelofnetworkdevicecoordinativerun[J].
JournalofComputers,2011,34:216228.
[6]江健,诸葛建伟,段海新,等.
僵尸网络机理与防御技术[J].
软件学报,2012,23(1):8296.
JIANJiang,ZHUGEJianwei,DUANHaixin,etal.
Researchonbotnetmechanismsanddefenses[J].
JournalofSoftware,2012,23:8296.
[7]KARIMAhmad,SALLEHRosliBin,SHIRAZMuhammad,etal.
Review:botnetdetectiontechniques:review,futuretrends,andissues[J].
JournalofZhejiangUniversityScienceC(Computers&Electronics),2014,15(11):943983.
第3期宋元章,等:基于分形与自适应数据融合的P2Pbotnet检测方法81[8]JAIKUMARPadmini,KAKAvinashC.
Agraphtheoreticframeworkforisolatingbotnetsinanetwork[J].
SecurityandCommunicationNetworks,2015,8(16):26052623.
[9]YAHYAZADEHMoosa,ABADIMahdi.
BotGrab:anegativereputationsystemforbotnetdetection[J].
ComputersandElectricalEngineering,2015,41:6885.
[10]KIMJS,KAHNGB,KIMD,etal.
Selfsimilarityinfractalandnonfractalnetworks[J].
JournaloftheKoreanPhysicalSociety,2008,52:350356.
[11]GIORGIG,NARDUZZIC.
Astudyofmeasurementbasedtrafficmodelsfornetworkdiagnostics[C]//IEEEInstrumentation&MeasurementTechnologyConference.
[S.
l.
]:[s.
n.
],2007:13.
[12]LELANDWE,TAQQUMS,WILLINGERW.
Ontheselfsimilarnatureofethernettraffic(extendedversion)[J].
IEEE/ACMTransonNetworking,1994,2(1):115.
[13]KARAGIANNIST,MOLLEM,FALOUTSOSM.
Understandingthelimitationsofestimationmethodsforlongrangedependence[R].
California:UniversityofCalifornia,2006:1115.
[14]RIEDIRH,VEHELJL.
MultifractalpropertiesofTCPtraffic:anumbericalstudy[R].
Rocquencourt:INRIA,1997:617.
[15]MAULIKKrishanu,RESNICKSidney.
Theselfsimilarandmultifractalnatureofanetworktrafficmodel[J].
StochasticModels,2003(19):549577.
[16]从爽,孙光立,邓科,等.
陀螺稳定平台扰动的自抗扰及其滤波控制[J].
光学精密工程,2016,24(1):169177.
CONGShuang,SUNGuangli,DENGKe,etal.
Activedisturbancerejectionandfiltercontrolofgyrostabilizedplatform[J].
OpticsandPrecisionEngineering,2016,24(1):169177.
[17]张百强,储海荣,孙婷婷,等.
应用RB无迹卡尔曼滤波组合导航提高GPS重获信号后的导航精度[J].
光学精密工程,2016,24(4):836843.
ZHANGBaiqiang,CHUHairong,SUNTingting,etal.
PrecisionimprovementmethodologyforINS/GPSafterGPSoutageusingRBUKF[J].
OpticsandPrecisionEngineering,2016,24(4):836843.
[18]陈东,刘诗斌,殷世民,等.
光寻址电位传感器的噪声分析与信号处理方法研究[J].
光学精密工程,2016,24(6):14561464.
CHENDong,LIUShibin,YINShimin,etal.
Researchonnoiseanalysisandsignalprocessingmethodoflightaddressablepotentiometricsensor[J].
OpticsandPrecisionEngineering,2016,24(6):14561464.
[19]刘志青,李鹏程,陈小卫,等.
基于信息向量机的机载激光雷达点云数据分类[J].
光学精密工程,2016,24(1):210219.
LIUZhiqing,LIPengcheng,CHENXiaowei,etal.
ClassificationofairborneLiDARpointclouddatabasedoninformationvectormachine[J].
OpticsandPrecisionEngineering,2016,24(1):210219.
[20]吴禄慎,史皓良,陈华伟.
基于特征信息分类的三维点数据去噪[J].
光学精密工程,2016,24(6):14651473.
WULushen,SHIHaoliang,CHENHuawei.
Denoisingofthreedimensionalpointdatabasedonclassificationoffeatureinformation[J].
OpticsandPrecisionEngineering,2016,24(6):14651473.
[21]YAGERRr,LIUL.
Classicworksofthedempstershafertheoryofbelieffunctions[M].
Berlin:SpringerVerlag,2008:2349.
[22]MRUPHYCK.
Combingbelieffunctionwhenevidenceconflicts[J].
DecisionSupportSystem,2000,29(1):19.
[23]MATHONBR,OZBEKMM,PINDERGF.
Dempstershafertheoryappliedtouncertaintysurroundingpermeability[J].
MathGeosci,2010,42:293307.
[24]SMARANDACHEF,DEZERTJ.
AdvancesandapplicationsofDSmTforinformationfusion,Vol.
2[M].
Rehoboth:AmericanResearchPress,2006:1539.
[25]SENSubhabrata,SPATSCHECKOliver,WANGDongmei.
Accurate,scalableinnetworkidentificationofP2Ptrafficusingapplicationsignatures[C]//Proceedingsofthe13thinternationalconferenceonWorldWideWeb.
NewYork:ACM,2004:512521.
[26]KASERAS,PINHEIROJ,LOADERC.
Fastandrobustsignalingoverloadcontrol[C]//ProceedingsofNinthInternationalConferenceonNetworkProtocols.
Riverside,USA:IEEE,2001:323331.
[27]STEGGINKM,IDZIEJCZAKI.
DetectionOfPeerToPeerbotnets[R/OL].
http://staff.
science.
uva.
nl/~delaat/sne20072008/p22/report.
pdf.
[28]ZHAOADavid,TRAOREAIssa,SAYEDBassam,etal.
Botnetdetectionbasedontrafficbehavioranalysisandflowintervals[J].
Computers&Security,2013(39):216.
[29]KANGJian,ZHANGJunYao,etal.
DetectingnewP2PbotnetwithmultichartCUSUM[C]//InternationalConferenceonNetworksSecurity,WirelessCommunicationsandTrustedComputing.
Wuhan:[s.
n.
]2009,1:688691.
[30]康健,宋元章.
利用多维观测序列的KCFM混合模型检测新型P2Pbotnet[J].
武汉大学学报(信息科学版),2010,35(5):520523.
KANGJian,SONGyuanzhang.
ApplicationKCFMtoDetectNewP2PBotnetBasedonMultiObservedSequence[J].
GeomaticsandInformationScienceofWuhanUniversity,2010,35(5):520523.
(编辑:李晓红)