本文關(guān)鍵詞：基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的研究與實(shí)現(xiàn)

  更多相關(guān)文章： 僵尸網(wǎng)絡(luò)檢測 加密流量識別 CC通信檢測 時空關(guān)聯(lián)性

【摘要】：僵尸網(wǎng)絡(luò)是指控制者出于惡意目的使用僵尸程序感染大量網(wǎng)絡(luò)主機(jī)并對其進(jìn)行控制從而形成的一種攻擊網(wǎng)絡(luò),它主要通過命令與控制(CC)信道進(jìn)行通信。僵尸網(wǎng)絡(luò)可以用來執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件、竊取個人信息等網(wǎng)絡(luò)惡意行為,從而給互聯(lián)網(wǎng)安全帶來了嚴(yán)重的威脅。隨著僵尸網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,新的僵尸類型及其變種屢見不鮮,僵尸網(wǎng)絡(luò)的檢測技術(shù)也在不斷更新。然而時至今日,還沒有一種方法能夠?qū)λ蓄愋偷慕┦W(wǎng)絡(luò)進(jìn)行檢測,每種檢測方法只能對部分僵尸樣本或者某一個僵尸族有比較好的檢測效果。但是在僵尸網(wǎng)絡(luò)及其檢測技術(shù)發(fā)展的歷程中,可以看到：為了增強(qiáng)僵尸網(wǎng)絡(luò)的魯棒性和健壯性,越來越多的僵尸網(wǎng)絡(luò)控制者傾向于使用加密的通信方式從而躲避檢測；僵尸網(wǎng)絡(luò)控制者通過CC信道向僵尸機(jī)發(fā)布命令從而對其進(jìn)行控制,CC通信的檢測能夠很好地表征僵尸網(wǎng)絡(luò)的存在；僵尸網(wǎng)絡(luò)由于其群體性以及協(xié)同工作機(jī)制的存在,其內(nèi)部主機(jī)產(chǎn)生的消息響應(yīng)或行為響應(yīng)具有一定的時空關(guān)聯(lián)性。針對上述問題的存在,本文主要對加密流量識別、CC通信檢測以及僵尸網(wǎng)絡(luò)的時空關(guān)聯(lián)性進(jìn)行了研究與分析,在這些工作的基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了一個基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)檢測系統(tǒng)。本文的主要工作有：(1)利用流量加密前后有效負(fù)載的混亂性和隨機(jī)性發(fā)生變化這一特性,提出了基于流的加密流量識別方法,使用相對熵和Monte CarloPI估計(jì)誤差作為特征,與僅使用相對熵作為特征向量的方法相比,準(zhǔn)確率較高且誤報率低；(2)HTTP僵尸主機(jī)在與CC服務(wù)器進(jìn)行通信時的流量屬性不同于正常網(wǎng)絡(luò)主機(jī)通信時的流量屬性,在得到區(qū)分度明顯的特性后,使用綜合分析方法對網(wǎng)絡(luò)通信流量進(jìn)行處理,從而檢測僵尸網(wǎng)絡(luò)的CC通信；(3)對僵尸網(wǎng)絡(luò)的時空關(guān)聯(lián)性進(jìn)行分析后,使用IP聚集的Bloom Filter算法和基于響應(yīng)組密度的SPRT算法實(shí)現(xiàn)檢測系統(tǒng)并對網(wǎng)絡(luò)流量進(jìn)行分析,判斷是否有僵尸網(wǎng)絡(luò)的存在。實(shí)驗(yàn)結(jié)果表明,該方法能有效地對僵尸網(wǎng)絡(luò)進(jìn)行檢測,并能夠?qū)⒄`報率和漏報率控制在一定的范圍內(nèi)。
【關(guān)鍵詞】：僵尸網(wǎng)絡(luò)檢測 加密流量識別 C&C通信檢測 時空關(guān)聯(lián)性
【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-9
• 第一章 緒論9-17
• 1.1 研究背景9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-12
• 1.3 現(xiàn)有系統(tǒng)背景12-15
• 1.3.1 僵尸網(wǎng)絡(luò)綜合評價檢測系統(tǒng)12-13
• 1.3.2 基于主動方式的僵尸網(wǎng)絡(luò)檢測系統(tǒng)13-14
• 1.3.3 基于關(guān)聯(lián)分析的僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)14-15
• 1.4 論文研究目標(biāo)及內(nèi)容15
• 1.5 論文組織結(jié)構(gòu)15-17
• 第二章 相關(guān)知識和工作17-29
• 2.1 IP流17
• 2.2 僵尸網(wǎng)絡(luò)17-20
• 2.2.1 僵尸網(wǎng)絡(luò)生命周期17-18
• 2.2.2 僵尸網(wǎng)絡(luò)主要類型18-20
• 2.3 加密流量識別20-23
• 2.3.1 數(shù)據(jù)包負(fù)載隨機(jī)性檢測21-22
• 2.3.2 基于有效負(fù)載的識別方法22
• 2.3.3 基于機(jī)器學(xué)習(xí)的識別方法22
• 2.3.4 混合方法22-23
• 2.4 C&C通信檢測23-24
• 2.4.1 主動式C&C通信檢測23-24
• 2.4.2 被動式C&C通信檢測24
• 2.5 僵尸網(wǎng)絡(luò)行為的時空關(guān)聯(lián)性24-28
• 2.5.1 響應(yīng)行為的時間相關(guān)性26
• 2.5.2 響應(yīng)行為的空間相關(guān)性26-28
• 2.6 本章小結(jié)28-29
• 第三章 基于流的加密流量識別方法29-41
• 3.1 基于流的加密流量識別算法29-35
• 3.1.1 流的定義29
• 3.1.2 算法描述29-32
• 3.1.3 Monte Carlo PI估計(jì)誤差32-33
• 3.1.4 相對熵33
• 3.1.5 特征選擇33-34
• 3.1.6 緩存大小選擇34
• 3.1.7 SVM算法34-35
• 3.2 實(shí)驗(yàn)結(jié)果與分析35-39
• 3.2.1 系統(tǒng)流程及功能概述35-36
• 3.2.2 數(shù)據(jù)集36-37
• 3.2.3 評估策略37
• 3.2.4 算法結(jié)果分析37-39
• 3.3 本章小結(jié)39-41
• 第四章 C&C通信檢測41-55
• 4.1 僵尸網(wǎng)絡(luò)C&C通信流量特性分析41-45
• 4.1.1 僵尸網(wǎng)絡(luò)C&C通信流量的采集41-42
• 4.1.2 DNS流量的周期性42-44
• 4.1.3 通信數(shù)據(jù)流的規(guī)模44-45
• 4.2 基于流量特性的C&C通信檢測方法45-50
• 4.2.1 檢測方案概述45-46
• 4.2.2 特征碼匹配46-47
• 4.2.3 DNS流量的周期性評價47-49
• 4.2.4 通信數(shù)據(jù)流的規(guī)模評價49
• 4.2.5 綜合分析檢測49-50
• 4.3 實(shí)驗(yàn)結(jié)果與分析50-53
• 4.3.1 數(shù)據(jù)集50-51
• 4.3.2 實(shí)驗(yàn)結(jié)果分析51-53
• 4.4 本章小結(jié)53-55
• 第五章 基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)的檢測55-67
• 5.1 基礎(chǔ)算法簡介55-56
• 5.1.1 Bloom Filter算法55
• 5.1.2 SPRT算法55-56
• 5.2 基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)檢測算法的設(shè)計(jì)56-60
• 5.2.1 IP聚集的Bloom Filter算法57-59
• 5.2.2 基于響應(yīng)組密度的SPRT算法59-60
• 5.3 實(shí)驗(yàn)結(jié)果與分析60-66
• 5.3.1 系統(tǒng)模型及工作流程60-62
• 5.3.2 數(shù)據(jù)集62
• 5.3.3 算法結(jié)果分析62-66
• 5.4 本章小結(jié)66-67
• 第六章 總結(jié)與展望67-69
• 6.1 總結(jié)67-68
• 6.2 展望68-69
• 致謝69-71
• 參考文獻(xiàn)71-73

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前9條

1 趙博;郭虹;劉勤讓;鄔江興;;基于加權(quán)累積和檢驗(yàn)的加密流量盲識別算法[J];軟件學(xué)報;2013年06期

2 徐峻嶺;周毓明;陳林;徐寶文;;基于互信息的無監(jiān)督特征選擇[J];計(jì)算機(jī)研究與發(fā)展;2012年02期

3 李文忠;左萬利;赫楓齡;;一種基于信息熵的多維流數(shù)據(jù)噪聲檢測算法[J];計(jì)算機(jī)科學(xué);2012年02期

4 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計(jì)算機(jī)研究與發(fā)展;2011年08期

5 張琛;王亮;熊文柱;;P2P僵尸網(wǎng)絡(luò)的檢測技術(shù)[J];計(jì)算機(jī)應(yīng)用;2010年S1期

6 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報;2008年03期

7 徐燕;李錦濤;王斌;孫春明;;基于區(qū)分類別能力的高性能特征選擇方法[J];軟件學(xué)報;2008年01期

8 劉衛(wèi)江;景泉;白磊;;利用Bloom filter實(shí)現(xiàn)長流識別[J];計(jì)算機(jī)應(yīng)用研究;2008年01期

9 龔儉;彭艷兵;楊望;劉衛(wèi)江;;基于BloomFilter的大規(guī)模異常TCP連接參數(shù)再現(xiàn)方法[J];軟件學(xué)報;2006年03期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 劉華文;基于信息熵的特征選擇算法研究[D];吉林大學(xué);2010年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 張軍;基于關(guān)聯(lián)分析的僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)的研究與實(shí)現(xiàn)[D];東南大學(xué);2015年

，

本文編號：1002089