【摘要】：僵尸網(wǎng)絡(luò)是指控制者通過僵尸程序控制大量被感染的計(jì)算機(jī)而形成的一種攻擊網(wǎng)絡(luò),惡意控制者可以利用該網(wǎng)絡(luò)發(fā)送垃圾郵件、發(fā)出惡意攻擊流量等多種形式的惡意行為。新式僵尸網(wǎng)絡(luò)利用P2P分布式協(xié)議進(jìn)行節(jié)點(diǎn)通信,保障了通信與命令信道的隱秘性,進(jìn)而使得僵尸網(wǎng)絡(luò)成為互聯(lián)網(wǎng)史上最嚴(yán)重的威脅之一。目前對P2P僵尸網(wǎng)絡(luò)的討論往往集中在分析其生存模型,并未研究出高效的僵尸網(wǎng)絡(luò)檢測技術(shù)。對于新式僵尸網(wǎng)絡(luò),現(xiàn)有的檢測系統(tǒng)必須具備先驗(yàn)知識,僅能檢測少數(shù)幾種僵尸網(wǎng)絡(luò)。本文首先介紹了當(dāng)前學(xué)術(shù)界對于僵尸網(wǎng)絡(luò)的基本認(rèn)識,給出僵尸網(wǎng)絡(luò)的定義和當(dāng)前檢測反制僵尸網(wǎng)絡(luò)的主流技術(shù),并分析其優(yōu)缺點(diǎn)。之后針對幾種常見僵尸程序分析其通訊流量特征和結(jié)構(gòu)特征,得出僵尸網(wǎng)絡(luò)的通用特征。最終設(shè)計(jì)出一種針對半分布僵尸網(wǎng)絡(luò)的檢測系統(tǒng),該系統(tǒng)包含捕獲模塊,惡意流量檢測模塊,數(shù)據(jù)存儲模塊,反制模塊,結(jié)果輸出模塊。惡意流量檢測模塊包含兩種檢測引擎,流量宏觀特征檢測引擎和惡意特征檢測引擎,流量宏觀特征檢測引擎從空間和時間兩個角度對僵尸流量進(jìn)行分析,篩選數(shù)據(jù)同步時間,數(shù)據(jù)包大小等信息,利用FCM聚類算法將可疑節(jié)點(diǎn)初步檢測,之后利用網(wǎng)絡(luò)結(jié)構(gòu)特征進(jìn)一步篩選僵尸節(jié)點(diǎn)。該方法在保證較高的正確性的前提下,不需要分析具體通信內(nèi)容,更不被通信協(xié)議所限制。深度包檢測模塊通過提取通信數(shù)據(jù)包的特征字進(jìn)行僵尸程序檢測,借此鑒定已知僵尸程序。反制模塊針對惡意流量檢測模塊的檢測結(jié)果進(jìn)行反制,降低僵尸網(wǎng)絡(luò)的危害。本文使用多種僵尸程序進(jìn)行驗(yàn)證都取得了良好的效果,證明了該系統(tǒng)的有效性。
[Abstract]:Botnet is an attack network formed by the control of a large number of infected computers by the botnet program. The malicious controller can use the network to send spam and send out malicious attack traffic and other forms of malicious behavior. The new botnet uses P2P distributed protocol for node communication, which ensures the privacy of communication and command channel, which makes botnet become one of the most serious threats in the history of Internet. At present, the discussion of P2P botnet is usually focused on analyzing its survival model, and no efficient botnet detection technology has been developed. For new botnets, existing detection systems must have prior knowledge and can detect only a few botnets. This paper first introduces the basic knowledge of botnet in academic circles, gives the definition of botnet and the mainstream technology of detecting anti-botnet, and analyzes its advantages and disadvantages. Then, the common features of botnet are obtained by analyzing the characteristics of traffic and structure of several common botnet programs. Finally, a detection system for semi-distributed botnet is designed. The system includes capture module, malicious traffic detection module, data storage module, counter-control module and result output module. The malicious traffic detection module includes two detection engines, the traffic macro feature detection engine and the malicious feature detection engine. The traffic macro feature detection engine analyzes the zombie traffic from two aspects of space and time, and selects the synchronization time of the data. The FCM clustering algorithm is used to detect the suspicious nodes, and then the zombie nodes are selected by using the network structure features. On the premise of high accuracy, the method does not need to analyze the concrete communication content, and is not restricted by the communication protocol. The depth packet detection module detects the zombie program by extracting the characteristic words of the communication packet, and then identifies the known zombie program. The counter-control module counteracts the detection result of malicious traffic detection module and reduces the harm of botnet. In this paper, a variety of zombie programs are used to verify the effectiveness of the system.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李可;方濱興;崔翔;劉奇旭;;僵尸網(wǎng)絡(luò)發(fā)展研究[J];計(jì)算機(jī)研究與發(fā)展;2016年10期

2 徐建;吳燁虹;程晶晶;;移動僵尸網(wǎng)絡(luò)研究與進(jìn)展[J];計(jì)算機(jī)技術(shù)與發(fā)展;2015年05期

3 陳杰;陳家琪;;基于終端通信特征的P2P僵尸主機(jī)檢測[J];信息技術(shù);2014年02期

4 司成祥;孫波;楊文瀚;張慧琳;薛曉楠;;基于分布式的僵尸網(wǎng)絡(luò)主動探測方法研究[J];通信學(xué)報;2013年S1期

5 張幼麟;;基于僵尸網(wǎng)絡(luò)分類的防御技術(shù)[J];計(jì)算機(jī)安全;2013年08期

6 李曉利;湯光明;初曉;;基于DNS查詢行為的Bot檢測[J];計(jì)算機(jī)工程與應(yīng)用;2015年01期

7 李鶴帥;朱俊虎;周天陽;王清賢;;P2P技術(shù)在僵尸網(wǎng)絡(luò)中的應(yīng)用研究[J];計(jì)算機(jī)工程;2012年14期

8 王天佐;王懷民;劉波;史佩昌;;僵尸網(wǎng)絡(luò)中的關(guān)鍵問題[J];計(jì)算機(jī)學(xué)報;2012年06期

9 戴維;;僵尸網(wǎng)絡(luò)檢測算法的比較研究[J];信息化研究;2011年03期

10 胡玲玲;楊壽保;王菁;;P2P網(wǎng)絡(luò)中Sybil攻擊的防御機(jī)制[J];計(jì)算機(jī)工程;2009年15期

相關(guān)博士學(xué)位論文 前1條

1 高見;基于P2P的僵尸網(wǎng)絡(luò)及關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

相關(guān)碩士學(xué)位論文 前6條

1 謝舜;基于流量分析的僵尸網(wǎng)絡(luò)檢測技術(shù)研究[D];西安電子科技大學(xué);2014年

2 湯偉;基于數(shù)據(jù)流特征向量識別的P2P僵尸網(wǎng)絡(luò)檢測方法研究[D];中國海洋大學(xué);2014年

3 李曉利;僵尸網(wǎng)絡(luò)檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

4 戴維;基于IRC協(xié)議的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的實(shí)現(xiàn)[D];電子科技大學(xué);2010年

5 黃萍;新型P2P僵尸網(wǎng)絡(luò)的研究[D];四川師范大學(xué);2010年

6 印杰;基于支持向量機(jī)的入侵檢測研究[D];南京理工大學(xué);2008年

，

本文編號：2314044