【摘要】：目前主流的僵尸網(wǎng)絡檢測方法主要利用網(wǎng)絡流量分析技術,這往往需要數(shù)據(jù)包的內(nèi)部信息,或者依賴于外部系統(tǒng)提供的信息或僵尸主機的惡意行為,并且大多數(shù)方法不能自動存儲僵尸網(wǎng)絡的流量特征,不具有聯(lián)想記憶功能.為此提出了一種基于BP神經(jīng)網(wǎng)絡的僵尸網(wǎng)絡檢測方法,通過大量的僵尸網(wǎng)絡和正常流量樣本訓練BP神經(jīng)網(wǎng)絡分類器,使其學會辨認僵尸網(wǎng)絡的流量,自動記憶僵尸流量特征,從而有效檢測出被感染的主機.該神經(jīng)網(wǎng)絡分類器以主機對為分析對象,提取2個主機間通信的流量特征,將主機對的特征向量作為輸入,有效地區(qū)分出正常主機和僵尸主機.實驗表明,該方法的檢測率達到99%,誤報率在1%以下,具有良好的性能.
[Abstract]:At present, the mainstream botnet detection methods mainly use network traffic analysis technology, which often requires the internal information of the packet, or depends on the information provided by the external system or the malicious behavior of the zombie host. And most of the methods can not automatically store the botnet traffic characteristics, do not have associative memory function. In this paper, a botnet detection method based on BP neural network is proposed. The BP neural network classifier is trained by a large number of botnet and normal flow samples, so that it can recognize the botnet traffic and automatically memorize the botnet traffic characteristics. In order to effectively detect the infected host. The neural network classifier takes the host pair as the analysis object, extracts the traffic characteristics of the communication between the two hosts, takes the feature vector of the host pair as the input, and effectively distinguishes the normal host from the zombie host. The experimental results show that the detection rate of this method is 99% and the false alarm rate is less than 1%.
【作者單位】： 南開大學信息技術科學學院;
【基金】：國家科技支撐計劃基金資助項目(2012BAF12B00) 天津市重點基金資助項目(11jczdjc28100)
【分類號】：TP393.08

【參考文獻】

相關期刊論文 前3條

1 方濱興;崔翔;王威;;僵尸網(wǎng)絡綜述[J];計算機研究與發(fā)展;2011年08期

2 金鑫;李潤恒;甘亮;李政儀;;基于通信特征曲線動態(tài)時間彎曲距離的IRC僵尸網(wǎng)絡同源判別方法[J];計算機研究與發(fā)展;2012年03期

3 江健;諸葛建偉;段海新;吳建平;;僵尸網(wǎng)絡機理與防御技術[J];軟件學報;2012年01期

【共引文獻】

相關期刊論文 前10條

1 許力文;喬麗娟;李壯;;P2P僵尸網(wǎng)絡安全機制研究[J];計算機安全;2013年01期

2 陳向東;李靜蕾;;僵尸網(wǎng)絡攻擊原理及檢測技術研究[J];濟南職業(yè)學院學報;2012年01期

3 馮麗萍;韓琦;王鴻斌;康蘇明;;P2P僵尸網(wǎng)絡的有效免疫措施[J];計算機應用;2012年09期

4 馮麗萍;韓琦;王鴻斌;;具有變化感染率的僵尸網(wǎng)絡傳播模型[J];計算機科學;2012年11期

5 李躍;翟立東;王宏霞;時金橋;;一種基于社交網(wǎng)絡的移動僵尸網(wǎng)絡研究[J];計算機研究與發(fā)展;2012年S2期

6 李世淙;云曉春;張永錚;;一種基于分層聚類方法的木馬通信行為檢測模型[J];計算機研究與發(fā)展;2012年S2期

7 歐陽賠;蘇璞睿;和亮;;僵尸網(wǎng)絡仿真系統(tǒng)設計與實現(xiàn)[J];計算機應用與軟件;2013年01期

8 宋元章;何俊婷;張波;王俊杰;王安邦;;基于流角色檢測P2P botnet[J];通信學報;2012年S1期

9 張敏;張陽;;基于分布式防火墻控制僵尸網(wǎng)絡的研究與設計[J];西南民族大學學報(自然科學版);2012年04期

10 黃萍;;手機僵尸網(wǎng)絡綜述[J];現(xiàn)代計算機(專業(yè)版);2012年22期

相關博士學位論文 前2條

1 盧華瑋;面向可信計算的分布式故障檢測系統(tǒng)研究[D];重慶大學;2012年

2 宋禮鵬;網(wǎng)絡病毒動態(tài)交互模型及防御研究[D];中北大學;2012年

相關碩士學位論文 前2條

1 張治起;僵尸網(wǎng)絡命令控制信道研究[D];北京郵電大學;2012年

2 廖海慶;基于聚類分析的IRC僵尸網(wǎng)絡檢測系統(tǒng)研究及實現(xiàn)[D];上海交通大學;2012年

【二級參考文獻】

相關期刊論文 前7條

1 肖輝,胡運發(fā);基于分段時間彎曲距離的時間序列挖掘[J];計算機研究與發(fā)展;2005年01期

2 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡檢測技術研究進展[J];計算機研究與發(fā)展;2010年12期

3 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡檢測[J];計算機學報;2009年10期

4 李潤恒;王明華;賈焰;;基于通信特征提取和IP聚集的僵尸網(wǎng)絡相似性度量模型[J];計算機學報;2010年01期

5 孫彥東;李東;;僵尸網(wǎng)絡綜述[J];計算機應用;2006年07期

6 諸葛建偉;韓心慧;周勇林;葉志遠;鄒維;;僵尸網(wǎng)絡研究[J];軟件學報;2008年03期

7 諸葛建偉;韓心慧;周勇林;宋程昱;郭晉鵬;鄒維;;HoneyBow:一個基于高交互式蜜罐技術的惡意代碼自動捕獲器[J];通信學報;2007年12期

【相似文獻】

相關期刊論文 前10條

1 陸偉宙;余順爭;;僵尸網(wǎng)絡檢測方法研究[J];電信科學;2007年12期

2 胡鴻;袁津生;郭敏哲;;基于TCP緩存的DDoS攻擊檢測算法[J];計算機工程;2009年16期

3 張國玲;甘井中;黃立和;蘇建燁;;一種基于BP神經(jīng)網(wǎng)絡和小波變換的網(wǎng)絡流量預測模型[J];玉林師范學院學報;2008年05期

4 吳文清,趙黎明,劉嘉q;基于混沌理論的網(wǎng)絡流量BP神經(jīng)網(wǎng)絡預測[J];計算機工程與應用;2005年17期

5 戴維;;僵尸網(wǎng)絡檢測算法的比較研究[J];信息化研究;2011年03期

6 張立燕;馬華林;;基于神經(jīng)網(wǎng)絡和馬爾柯夫鏈的網(wǎng)絡流量預測方法[J];數(shù)字技術與應用;2011年03期

7 謝開斌;蔡皖東;蔡俊朝;;基于決策樹的僵尸流量檢測方法研究[J];信息安全與通信保密;2008年03期

8 郭敏哲;袁津生;王雅超;;網(wǎng)絡釣魚Web頁面檢測算法[J];計算機工程;2008年20期

9 郭守團;徐志根;;基于BP神經(jīng)網(wǎng)絡的垃圾郵件過濾器研究[J];計算機安全;2009年12期

10 周振吉;吳禮發(fā);梁其川;李華波;;一種混合式僵尸主機檢測算法的設計與實現(xiàn)[J];微型機與應用;2010年16期

相關會議論文 前10條

1 王風宇;云曉春;曹震中;;多時間尺度同步的高速網(wǎng)絡流量異常檢測[A];全國網(wǎng)絡與信息安全技術研討會論文集（上冊）[C];2007年

2 雷霆;余鎮(zhèn)危;;網(wǎng)絡流量行為分析的一維元胞自動機模型[A];2007年全國開放式分布與并行計算機學術會議論文集(下冊)[C];2007年

3 周汝強;高軍;胡光岷;姚興苗;;基于層疊模型的網(wǎng)絡流量異常檢測[A];2006中國西部青年通信學術會議論文集[C];2006年

4 賀龍濤;隋杰;;網(wǎng)絡內(nèi)容檢測中的串匹配算法實現(xiàn)研究[A];全國網(wǎng)絡與信息安全技術研討會論文集（下冊）[C];2007年

5 王維濤;安洪勇;;基于Sniffer技術的局域網(wǎng)網(wǎng)絡流量分析[A];2008'中國信息技術與應用學術論壇論文集（二）[C];2008年

6 雷霆;余鎮(zhèn)危;;網(wǎng)絡流量的平均場模型及其動力學行為分析[A];2009中國控制與決策會議論文集（3）[C];2009年

7 陳磊;;IP網(wǎng)絡流量的識別與管理[A];中國通信學會信息通信網(wǎng)絡技術委員會2009年年會論文集（上冊）[C];2009年

8 路蘭;楊洪勇;;互聯(lián)網(wǎng)絡模型及其抗毀性分析[A];2009年中國智能自動化會議論文集（第五分冊）[東南大學學報（增刊）][C];2009年

9 秦首科;常建龍;谷姍姍;周傲英;;數(shù)據(jù)流上的綜合性突變檢測算法[A];第二十二屆中國數(shù)據(jù)庫學術會議論文集（技術報告篇）[C];2005年

10 范瑛;;改進蟻群算法結(jié)合BP網(wǎng)絡用于入侵檢測[A];中國運籌學會模糊信息與模糊工程分會第五屆學術年會論文集[C];2010年

相關重要報紙文章 前10條

1 ;啟明星辰天sネ綈踩蠹芠N];中國計算機報;2007年

2 ;用壓縮，出口不窄[N];網(wǎng)絡世界;2004年

3 中科院計算所 李洋;使用Webalizer進行網(wǎng)絡流量日志分析[N];計算機世界;2006年

4 曹江華;部署網(wǎng)絡分析儀EtherApe[N];計算機世界;2007年

5 林大龍;保護好自己的網(wǎng)絡流量[N];中國計算機報;2008年

6 中國移動研究院 李洋　博士;網(wǎng)絡流量盡在掌控[N];計算機世界;2009年

7 本報記者 朱杰;中小企業(yè)網(wǎng)絡也能云安全[N];中國計算機報;2009年

8 本報記者 那罡;智能控制讓網(wǎng)絡流量更安全[N];中國計算機報;2010年

9 陳紹瑜;優(yōu)化處理網(wǎng)絡流量[N];中國計算機報;2004年

10 常熟市地方稅務局信息中心 秦青松;監(jiān)控異常網(wǎng)絡流量[N];網(wǎng)絡世界;2007年

相關博士學位論文 前10條

1 秦首科;數(shù)據(jù)流上的異常檢測[D];復旦大學;2006年

2 黎耀;IPv6環(huán)境下異常檢測系統(tǒng)的關鍵技術研究[D];華中科技大學;2006年

3 徐圖;超球體多類支持向量機及其在DDoS攻擊檢測中的應用[D];西南交通大學;2008年

4 王新良;僵尸網(wǎng)絡異常流量分析與檢測[D];北京郵電大學;2011年

5 王新良;僵尸網(wǎng)絡異常流量分析與檢測[D];北京郵電大學;2011年

6 李目海;基于流量的分布式拒絕服務攻擊檢測[D];華東師范大學;2010年

7 林冠洲;網(wǎng)絡流量識別關鍵技術研究[D];北京郵電大學;2011年

8 馬曉艷;網(wǎng)絡流量模型化與擁塞控制研究[D];北京化工大學;2012年

9 楊越;基于超統(tǒng)計理論的網(wǎng)絡流量異常檢測方法研究[D];華中科技大學;2010年

10 夏正敏;基于分形的網(wǎng)絡流量分析及異常檢測技術研究[D];上海交通大學;2012年

相關碩士學位論文 前10條

1 杜瑞峰;網(wǎng)絡流量監(jiān)測技術的研究及其在安全管理中的應用[D];中南大學;2005年

2 胡鴻;基于TCP緩存的DDoS攻擊檢測算法的研究與實現(xiàn)[D];北京林業(yè)大學;2009年

3 莊巖;僵尸終端檢測算法與研究[D];鄭州大學;2011年

4 吳文清;基于系統(tǒng)動力學的網(wǎng)絡業(yè)務研究[D];天津大學;2004年

5 周虹;網(wǎng)絡信息流量測量儀設計與實現(xiàn)[D];中南大學;2008年

6 王翔宇;基于IP流量的僵尸網(wǎng)絡檢測模型的設計與實現(xiàn)[D];上海交通大學;2011年

7 苗序娟;網(wǎng)絡流量的檢測與分析[D];天津工業(yè)大學;2005年

8 陳亞軍;自相似網(wǎng)絡流量的產(chǎn)生與研究[D];武漢科技大學;2005年

9 龍洋;DCS系統(tǒng)網(wǎng)絡流量監(jiān)測的研究[D];華北電力大學（河北）;2009年

10 彭瑋琳;基于Linux的網(wǎng)絡流量監(jiān)控技術研究[D];北方工業(yè)大學;2011年

，

本文編號：2276034