本发明专利技术提供了一种垃圾邮件僵尸主机检测方法及装置,涉及计算机网络安全领域。该方法包含训练阶段和检测阶段:S1、通过序贯概率比的方法估计正常主机和垃圾邮件僵尸主机的高斯模型参数,分别建立高斯模型,并计算高斯模型的门限值;S2、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S3、将所述检测分数进行归一化处理,将检测分数调整在[0,1]区间内;S4、基于调整后的检测分数,通过步骤S1中建立的高斯模型计算垃圾邮件僵尸主机的统计量,并将统计量与所述门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机。本发明专利技术通过检测发送垃圾邮件的僵尸主机,能够切断垃圾邮件发送的源头,从根本上减少垃圾邮件的发送。
【技术实现步骤摘要】
垃圾邮件僵尸主机检测方法及装置
本专利技术涉及计算机网络安全领域,具体涉及一种垃圾邮件僵尸主机检测方法及装置。
技术介绍
电子邮件已成为人们日常通讯的重要方式,给人们的生活带来了方便。但是受商业利益等因素的驱使,日益泛滥的垃圾邮件也相伴而生,造成了严重的危害。一方面垃圾邮件的产生和传送占用了大量网络资源,造成网络拥堵和资源浪费;另一方面,海量的垃圾邮件携带着垃圾信息、不法宣传等涌入用户的邮箱,严重影响了人们的工作和生活。最近中国互联网协会反垃圾邮件中心发布的调查报告显示,用户平均每周收到16.71封垃圾邮件,占邮件总数的84%;这表明垃圾邮件的泛滥已经非常严重。虽然在反垃圾邮件方面陆续出现了一些技术或产品但45.29%企业用户认为这些产品的防范效果不明显,因此反垃圾邮件技术的研究越来越受到人们的关注。目前,越来越多的垃圾邮件制造者利用僵尸病毒劫持网络上的正常主机来发送垃圾邮件。这些被劫持的主机(僵尸主机)已成为发送垃圾邮件的主要源头,据统计,目前80%的垃圾邮件是由垃圾僵尸发送的。传统的检测方法大多从邮件接收方的角度去分类垃圾邮件,无法从根本上消除垃圾邮件源头。因此,检测网络中的垃圾邮件僵尸主机对于切断垃圾邮件发送的源头,并从根本上减少垃圾邮件的发送具有重要意义。
技术实现思路
(一)解决的技术问题针对现有技术的不足,本专利技术提供一种垃圾邮件僵尸主机检测方法及装置,使得快速准确的识别垃圾邮件僵尸主机。(二)技术方案为实现以上目的,本专利技术通过以下技术方案予以实现:一种垃圾邮件僵尸主机检测方法,包含训练阶段和检测阶段:所述训练阶段包含步骤:S1、通过序贯概率比的方法估计正常主机和垃圾邮件僵尸主机的高斯模型参数,分别建立正常主机和垃圾邮件僵尸主机的高斯模型,并计算所述高斯模型的门限值;所述检测阶段包含步骤:S2、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S3、将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;S4、基于调整后的检测分数,通过步骤S1中建立的高斯模型计算垃圾邮件僵尸主机的统计量,并将所述统计量与所述门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机。优选的,步骤S1包括步骤:S11、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S12、将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;S13、假定正常主机发出的邮件调整后得分为X'1,X'2,…X'N,N为正整数;垃圾邮件僵尸主机发出的邮件调整后得分为X''1,X''2,…X''N,N为正整数;假定正常主机和垃圾邮件僵尸主机发出的邮件服从高斯分布,基于步骤S12中调整后的检测分数,通过矩估计法对高斯分布的均值和方差进行估计,建立高斯模型;S14、依据预知僵尸主机所发出的邮件序列特征,并计算所述高斯模型门限值A和B,A<B。优选的,步骤S13中的正常主机发出的邮件服从的高斯模型为p(X'|H0)~N(μ0,σ02),垃圾邮件僵尸主机发出的邮件服从的高斯模型为p(X''|H1)~N(μ1,σ12),通过矩估计法对高斯模型的均值和方差进行估计的表达式为:其中,式中,μ0,和μ1,分别是正常主机和垃圾邮件僵尸主机的高斯模型的数学期望和方差;H0表示正常主机,H1表示垃圾僵尸主机。优选的,步骤S14中所述门限值A和B的计算表达式为:式中,α和β是常用的评价邮件分类器的标准,α为错误的正例率即漏报率,β为错误的负利率即错报率。优选的,步骤S2中的垃圾邮件分类器对待检测邮件进行分类包括步骤:S21、获取待检测邮件的内容数据,根据特征库确定的预订特征,提取所述数据的关键特征;S22、对所述关键特征,判断是否存在与之匹配的特征模型,如为是,则判定待检测为垃圾邮件;如为否,则执行步骤S23;S23、检测是否存在该邮件的用户反馈,如用户反馈为垃圾邮件,则根据邮件特征,训练该垃圾邮件的特征模型,并保存该垃圾邮件的特征模型;否则,判定不是垃圾邮件。优选的,步骤S3中的归一化所述检测分数的表达式为:其中score为邮件分类器对待检测邮件的检测分数;T为邮件分类器的分类阈值;arctan(.)为反正切函数,其值域范围是;X代表调整之后的待检测邮件的检测分数。优选的,步骤S4中计算垃圾邮件僵尸主机的统计量表达式为:式中,Λn为垃圾邮件僵尸主机的统计量。优选的,步骤S4中判决待检测主机是否为垃圾邮件僵尸主机包括步骤:当所述垃圾邮件僵尸主机的统计量Λn≤A时,待检测主机为正常主机;当所述垃圾邮件僵尸主机的统计量Λn≥B时,待检测主机为垃圾邮件僵尸主机;当A<Λn<B时,对待检测主机的垃圾邮件僵尸主机的统计量进行更新,直到满足条件Λn≥B或者Λn≤A;其中,对待检测主机的垃圾邮件僵尸主机的统计量进行更新的表达式为:式中,θ0和θ1分别表示正常主机和僵尸主机对一封待检测邮件判定为垃圾邮件的概率,计算表达式为:θ0=p(X'i|H0)θ1=p(X''i|H1)优选的,步骤S4后还包括步骤S5:S5、当待检测主机,被判断为正常主机或者垃圾邮件僵尸主机时,将检测结果存储与僵尸黑白名单中,所述僵尸黑白名单包括要素:主机编号、主机IP地址、是否为垃圾邮件僵尸主机、被判断为垃圾邮件僵尸主机次数、最近一次被判为垃圾邮件僵尸主机或正常主机的时间。本专利技术还提供了一种垃圾邮件僵尸主机检测装置,包含以下模块,训练模块:通过序贯概率比的方法估计正常主机和垃圾邮件僵尸主机的高斯模型参数,分别建立正常主机和垃圾邮件僵尸主机的高斯模型,并计算所述高斯模型的门限值;检测模块:通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;基于调整后的检测分数,通过步骤S1中建立的高斯模型计算垃圾邮件僵尸主机的统计量,并将所述统计量与所述门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机。(三)有益效果本专利技术提供了一种垃圾邮件僵尸主机检测方法及装置,通过在训练训练阶段,建立正常主机和垃圾邮件僵尸主机的高斯模型,并计算所述高斯模型的门限值;在检测阶段,通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;将所述检测分数进行归一化处理;基于调整后的检测分数,通过计算垃圾邮件僵尸主机的统计量,将统计量与门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机;最后,生成并维护僵尸主机和正常主机的黑白名单,进行对僵尸主机实时监控。通过本专利技术所提供的方法能够切断垃圾邮件发送的源头,并从根本上减少垃圾邮件的发送。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例的一种垃圾邮件僵尸主机检测方法的流程图;图2为本专利技术实施例的垃圾邮件检测流程图;图3为本专利技术实施例的训练阶段流程示意图;图4为本专利技术实施例的一种垃圾邮件僵尸主机检测方法的流程示意图;图5为本专利技术实施例的一种垃圾邮件僵尸主机检测装置的示意图;图6为本专利技术实施例的一种垃圾邮件僵尸主本文档来自技高网...
【技术保护点】
一种垃圾邮件僵尸主机检测方法,其特征在于,包含训练阶段和检测阶段:所述训练阶段包含步骤:S1、通过序贯概率比的方法估计正常主机和垃圾邮件僵尸主机的高斯模型参数,分别建立正常主机和垃圾邮件僵尸主机的高斯模型,并计算所述高斯模型的门限值;所述检测阶段包含步骤:S2、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S3、将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;S4、基于调整后的检测分数,通过步骤S1中建立的高斯模型计算垃圾邮件僵尸主机的统计量,并将所述统计量与所述门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机。
【技术特征摘要】
1.一种垃圾邮件僵尸主机检测方法,其特征在于,包含训练阶段和检测阶段:所述训练阶段包含步骤:S1、通过序贯概率比的方法估计正常主机和垃圾邮件僵尸主机的高斯模型参数,分别建立正常主机和垃圾邮件僵尸主机的高斯模型,并计算所述高斯模型的门限值;所述检测阶段包含步骤:S2、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S3、将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;S4、基于调整后的检测分数,通过步骤S1中建立的高斯模型计算垃圾邮件僵尸主机的统计量,并将所述统计量与所述门限值做比较,判决待检测主机是否为垃圾邮件僵尸主机。2.如权利要求1所述的检测方法,其特征在于,步骤S1包括步骤:S11、通过垃圾邮件分类器对待检测主机发出的邮件进行检测,得到检测分数;S12、将所述检测分数进行归一化处理,将所述检测分数调整在[0,1]区间内;S13、假定正常主机发出的邮件调整后得分为X'1,X'2,…X'N,N为正整数;垃圾邮件僵尸主机发出的邮件调整后得分为X”1,X”2,…X”N,N为正整数;假定正常主机和垃圾邮件僵尸主机发出的邮件服从高斯分布,基于步骤S12中调整后的检测分数,通过矩估计法对高斯分布的均值和方差进行估计,建立高斯模型;S14、依据预知僵尸主机所发出的邮件序列特征,并计算所述高斯模型门限值A和B,A<B。3.如权利要求2所述的检测方法,其特征在于,步骤S13中的正常主机发出的邮件服从的高斯模型为p(X′|H0)~N(μ0,σ02)垃圾邮件僵尸主机发出的邮件服从的高斯模型为通过矩估计法对高斯模型的均值和方差进行估计的表达式为:其中,式中,和分别是正常主机和垃圾邮件僵尸主机的高斯模型的数学期望和方差;H0表示正常主机,H1表示垃圾僵尸主机。4.如权利要求2所述的检测方法,其特征在于,步骤S14中所述门限值A和B的计算表达式为:式中,α和β是常用的评价邮件分类器的标准,α为错误的正例率即漏报率,β为错误的负利率即错报率。5.如权利要求1所述的检测方法,其特征在于,步骤S2中的垃圾邮件分类器对待检测邮件进行分类包括步骤:S21、获取待检测邮件的内容数据,根据特征库确定的预订特征,提取所述数据的关键特征;S22、对所述关键特征,判断是否存在与之匹配的特征模型,如为是,则判定待检测为垃圾邮件;如为否,则执行步骤S23;S23、检测是否存...
【专利技术属性】
技术研发人员:孙广路,何勇军,马英财,杨赫,刘广明,
申请(专利权)人:哈尔滨理工大学,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。