【摘要】：目前主流的僵尸網(wǎng)絡(luò)檢測方法主要利用網(wǎng)絡(luò)流量分析技術(shù),這往往需要數(shù)據(jù)包的內(nèi)部信息,或者依賴于外部系統(tǒng)提供的信息或僵尸主機的惡意行為,并且大多數(shù)方法不能自動存儲僵尸網(wǎng)絡(luò)的流量特征,不具有聯(lián)想記憶功能.為此提出了一種基于BP神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測方法,通過大量的僵尸網(wǎng)絡(luò)和正常流量樣本訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)分類器,使其學(xué)會辨認僵尸網(wǎng)絡(luò)的流量,自動記憶僵尸流量特征,從而有效檢測出被感染的主機.該神經(jīng)網(wǎng)絡(luò)分類器以主機對為分析對象,提取2個主機間通信的流量特征,將主機對的特征向量作為輸入,有效地區(qū)分出正常主機和僵尸主機.實驗表明,該方法的檢測率達到99%,誤報率在1%以下,具有良好的性能.
[Abstract]:At present, the mainstream botnet detection methods mainly use network traffic analysis technology, which often requires the internal information of the packet, or depends on the information provided by the external system or the malicious behavior of the zombie host. And most of the methods can not automatically store the botnet traffic characteristics, do not have associative memory function. In this paper, a botnet detection method based on BP neural network is proposed. The BP neural network classifier is trained by a large number of botnet and normal flow samples, so that it can recognize the botnet traffic and automatically memorize the botnet traffic characteristics. In order to effectively detect the infected host. The neural network classifier takes the host pair as the analysis object, extracts the traffic characteristics of the communication between the two hosts, takes the feature vector of the host pair as the input, and effectively distinguishes the normal host from the zombie host. The experimental results show that the detection rate of this method is 99% and the false alarm rate is less than 1%.
【作者單位】： 南開大學(xué)信息技術(shù)科學(xué)學(xué)院;
【基金】：國家科技支撐計劃基金資助項目(2012BAF12B00) 天津市重點基金資助項目(11jczdjc28100)
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前3條

1 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計算機研究與發(fā)展;2011年08期

2 金鑫;李潤恒;甘亮;李政儀;;基于通信特征曲線動態(tài)時間彎曲距離的IRC僵尸網(wǎng)絡(luò)同源判別方法[J];計算機研究與發(fā)展;2012年03期

3 江健;諸葛建偉;段海新;吳建平;;僵尸網(wǎng)絡(luò)機理與防御技術(shù)[J];軟件學(xué)報;2012年01期

【共引文獻】

相關(guān)期刊論文 前10條

1 許力文;喬麗娟;李壯;;P2P僵尸網(wǎng)絡(luò)安全機制研究[J];計算機安全;2013年01期

2 陳向東;李靜蕾;;僵尸網(wǎng)絡(luò)攻擊原理及檢測技術(shù)研究[J];濟南職業(yè)學(xué)院學(xué)報;2012年01期

3 馮麗萍;韓琦;王鴻斌;康蘇明;;P2P僵尸網(wǎng)絡(luò)的有效免疫措施[J];計算機應(yīng)用;2012年09期

4 馮麗萍;韓琦;王鴻斌;;具有變化感染率的僵尸網(wǎng)絡(luò)傳播模型[J];計算機科學(xué);2012年11期

5 李躍;翟立東;王宏霞;時金橋;;一種基于社交網(wǎng)絡(luò)的移動僵尸網(wǎng)絡(luò)研究[J];計算機研究與發(fā)展;2012年S2期

6 李世淙;云曉春;張永錚;;一種基于分層聚類方法的木馬通信行為檢測模型[J];計算機研究與發(fā)展;2012年S2期

7 歐陽賠;蘇璞睿;和亮;;僵尸網(wǎng)絡(luò)仿真系統(tǒng)設(shè)計與實現(xiàn)[J];計算機應(yīng)用與軟件;2013年01期

8 宋元章;何俊婷;張波;王俊杰;王安邦;;基于流角色檢測P2P botnet[J];通信學(xué)報;2012年S1期

9 張敏;張陽;;基于分布式防火墻控制僵尸網(wǎng)絡(luò)的研究與設(shè)計[J];西南民族大學(xué)學(xué)報(自然科學(xué)版);2012年04期

10 黃萍;;手機僵尸網(wǎng)絡(luò)綜述[J];現(xiàn)代計算機(專業(yè)版);2012年22期

相關(guān)博士學(xué)位論文 前2條

1 盧華瑋;面向可信計算的分布式故障檢測系統(tǒng)研究[D];重慶大學(xué);2012年

2 宋禮鵬;網(wǎng)絡(luò)病毒動態(tài)交互模型及防御研究[D];中北大學(xué);2012年

相關(guān)碩士學(xué)位論文 前2條

1 張治起;僵尸網(wǎng)絡(luò)命令控制信道研究[D];北京郵電大學(xué);2012年

2 廖海慶;基于聚類分析的IRC僵尸網(wǎng)絡(luò)檢測系統(tǒng)研究及實現(xiàn)[D];上海交通大學(xué);2012年

【二級參考文獻】

相關(guān)期刊論文 前7條

1 肖輝,胡運發(fā);基于分段時間彎曲距離的時間序列挖掘[J];計算機研究與發(fā)展;2005年01期

2 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡(luò)檢測技術(shù)研究進展[J];計算機研究與發(fā)展;2010年12期

3 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J];計算機學(xué)報;2009年10期

4 李潤恒;王明華;賈焰;;基于通信特征提取和IP聚集的僵尸網(wǎng)絡(luò)相似性度量模型[J];計算機學(xué)報;2010年01期

5 孫彥東;李東;;僵尸網(wǎng)絡(luò)綜述[J];計算機應(yīng)用;2006年07期

6 諸葛建偉;韓心慧;周勇林;葉志遠;鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報;2008年03期

7 諸葛建偉;韓心慧;周勇林;宋程昱;郭晉鵬;鄒維;;HoneyBow:一個基于高交互式蜜罐技術(shù)的惡意代碼自動捕獲器[J];通信學(xué)報;2007年12期

【相似文獻】

相關(guān)期刊論文 前10條

1 陸偉宙;余順爭;;僵尸網(wǎng)絡(luò)檢測方法研究[J];電信科學(xué);2007年12期

2 胡鴻;袁津生;郭敏哲;;基于TCP緩存的DDoS攻擊檢測算法[J];計算機工程;2009年16期

3 張國玲;甘井中;黃立和;蘇建燁;;一種基于BP神經(jīng)網(wǎng)絡(luò)和小波變換的網(wǎng)絡(luò)流量預(yù)測模型[J];玉林師范學(xué)院學(xué)報;2008年05期

4 吳文清,趙黎明,劉嘉q;基于混沌理論的網(wǎng)絡(luò)流量BP神經(jīng)網(wǎng)絡(luò)預(yù)測[J];計算機工程與應(yīng)用;2005年17期

5 戴維;;僵尸網(wǎng)絡(luò)檢測算法的比較研究[J];信息化研究;2011年03期

6 張立燕;馬華林;;基于神經(jīng)網(wǎng)絡(luò)和馬爾柯夫鏈的網(wǎng)絡(luò)流量預(yù)測方法[J];數(shù)字技術(shù)與應(yīng)用;2011年03期

7 謝開斌;蔡皖東;蔡俊朝;;基于決策樹的僵尸流量檢測方法研究[J];信息安全與通信保密;2008年03期

8 郭敏哲;袁津生;王雅超;;網(wǎng)絡(luò)釣魚Web頁面檢測算法[J];計算機工程;2008年20期

9 郭守團;徐志根;;基于BP神經(jīng)網(wǎng)絡(luò)的垃圾郵件過濾器研究[J];計算機安全;2009年12期

10 周振吉;吳禮發(fā);梁其川;李華波;;一種混合式僵尸主機檢測算法的設(shè)計與實現(xiàn)[J];微型機與應(yīng)用;2010年16期

相關(guān)會議論文 前10條

1 王風(fēng)宇;云曉春;曹震中;;多時間尺度同步的高速網(wǎng)絡(luò)流量異常檢測[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

2 雷霆;余鎮(zhèn)危;;網(wǎng)絡(luò)流量行為分析的一維元胞自動機模型[A];2007年全國開放式分布與并行計算機學(xué)術(shù)會議論文集(下冊)[C];2007年

3 周汝強;高軍;胡光岷;姚興苗;;基于層疊模型的網(wǎng)絡(luò)流量異常檢測[A];2006中國西部青年通信學(xué)術(shù)會議論文集[C];2006年

4 賀龍濤;隋杰;;網(wǎng)絡(luò)內(nèi)容檢測中的串匹配算法實現(xiàn)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（下冊）[C];2007年

5 王維濤;安洪勇;;基于Sniffer技術(shù)的局域網(wǎng)網(wǎng)絡(luò)流量分析[A];2008'中國信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（二）[C];2008年

6 雷霆;余鎮(zhèn)危;;網(wǎng)絡(luò)流量的平均場模型及其動力學(xué)行為分析[A];2009中國控制與決策會議論文集（3）[C];2009年

7 陳磊;;IP網(wǎng)絡(luò)流量的識別與管理[A];中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2009年年會論文集（上冊）[C];2009年

8 路蘭;楊洪勇;;互聯(lián)網(wǎng)絡(luò)模型及其抗毀性分析[A];2009年中國智能自動化會議論文集（第五分冊）[東南大學(xué)學(xué)報（增刊）][C];2009年

9 秦首科;常建龍;谷姍姍;周傲英;;數(shù)據(jù)流上的綜合性突變檢測算法[A];第二十二屆中國數(shù)據(jù)庫學(xué)術(shù)會議論文集（技術(shù)報告篇）[C];2005年

10 范瑛;;改進蟻群算法結(jié)合BP網(wǎng)絡(luò)用于入侵檢測[A];中國運籌學(xué)會模糊信息與模糊工程分會第五屆學(xué)術(shù)年會論文集[C];2010年

相關(guān)重要報紙文章 前10條

1 ;啟明星辰天sネ綈踩蠹芠N];中國計算機報;2007年

2 ;用壓縮，出口不窄[N];網(wǎng)絡(luò)世界;2004年

3 中科院計算所 李洋;使用Webalizer進行網(wǎng)絡(luò)流量日志分析[N];計算機世界;2006年

4 曹江華;部署網(wǎng)絡(luò)分析儀EtherApe[N];計算機世界;2007年

5 林大龍;保護好自己的網(wǎng)絡(luò)流量[N];中國計算機報;2008年

6 中國移動研究院 李洋　博士;網(wǎng)絡(luò)流量盡在掌控[N];計算機世界;2009年

7 本報記者 朱杰;中小企業(yè)網(wǎng)絡(luò)也能云安全[N];中國計算機報;2009年

8 本報記者 那罡;智能控制讓網(wǎng)絡(luò)流量更安全[N];中國計算機報;2010年

9 陳紹瑜;優(yōu)化處理網(wǎng)絡(luò)流量[N];中國計算機報;2004年

10 常熟市地方稅務(wù)局信息中心 秦青松;監(jiān)控異常網(wǎng)絡(luò)流量[N];網(wǎng)絡(luò)世界;2007年

相關(guān)博士學(xué)位論文 前10條

1 秦首科;數(shù)據(jù)流上的異常檢測[D];復(fù)旦大學(xué);2006年

2 黎耀;IPv6環(huán)境下異常檢測系統(tǒng)的關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2006年

3 徐圖;超球體多類支持向量機及其在DDoS攻擊檢測中的應(yīng)用[D];西南交通大學(xué);2008年

4 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測[D];北京郵電大學(xué);2011年

5 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測[D];北京郵電大學(xué);2011年

6 李目海;基于流量的分布式拒絕服務(wù)攻擊檢測[D];華東師范大學(xué);2010年

7 林冠洲;網(wǎng)絡(luò)流量識別關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

8 馬曉艷;網(wǎng)絡(luò)流量模型化與擁塞控制研究[D];北京化工大學(xué);2012年

9 楊越;基于超統(tǒng)計理論的網(wǎng)絡(luò)流量異常檢測方法研究[D];華中科技大學(xué);2010年

10 夏正敏;基于分形的網(wǎng)絡(luò)流量分析及異常檢測技術(shù)研究[D];上海交通大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 杜瑞峰;網(wǎng)絡(luò)流量監(jiān)測技術(shù)的研究及其在安全管理中的應(yīng)用[D];中南大學(xué);2005年

2 胡鴻;基于TCP緩存的DDoS攻擊檢測算法的研究與實現(xiàn)[D];北京林業(yè)大學(xué);2009年

3 莊巖;僵尸終端檢測算法與研究[D];鄭州大學(xué);2011年

4 吳文清;基于系統(tǒng)動力學(xué)的網(wǎng)絡(luò)業(yè)務(wù)研究[D];天津大學(xué);2004年

5 周虹;網(wǎng)絡(luò)信息流量測量儀設(shè)計與實現(xiàn)[D];中南大學(xué);2008年

6 王翔宇;基于IP流量的僵尸網(wǎng)絡(luò)檢測模型的設(shè)計與實現(xiàn)[D];上海交通大學(xué);2011年

7 苗序娟;網(wǎng)絡(luò)流量的檢測與分析[D];天津工業(yè)大學(xué);2005年

8 陳亞軍;自相似網(wǎng)絡(luò)流量的產(chǎn)生與研究[D];武漢科技大學(xué);2005年

9 龍洋;DCS系統(tǒng)網(wǎng)絡(luò)流量監(jiān)測的研究[D];華北電力大學(xué)（河北）;2009年

10 彭瑋琳;基于Linux的網(wǎng)絡(luò)流量監(jiān)控技術(shù)研究[D];北方工業(yè)大學(xué);2011年

，

本文編號：2276034