網(wǎng)絡(luò)安全是我們永遠(yuǎn)無法回避的話題,不法分子在互聯(lián)網(wǎng)上常常會使用域名作為傳播網(wǎng)絡(luò)攻擊的手段,比如連接木馬、僵尸網(wǎng)絡(luò)通信等。速變域名和域名生成算法等技術(shù)的應(yīng)用使得網(wǎng)絡(luò)攻擊更加隱蔽、惡意域名更難被識別,域名黑名單在這種情況下作用有限,而通過分析域名的DNS數(shù)據(jù)來識別檢測惡意域名成為一種更有效的方法。本文首先調(diào)研了惡意域名檢測的相關(guān)技術(shù),分析了當(dāng)前惡意域名檢測面臨的困難,總結(jié)了目前已有的技術(shù)方案以及相關(guān)研究成果,同時研究了機(jī)器學(xué)習(xí)分類模型和大數(shù)據(jù)技術(shù),利用HadooP、Spark、Kafka等搭建了大數(shù)據(jù)分析的基礎(chǔ)架構(gòu)。在此基礎(chǔ)上,本文從大量DNS數(shù)據(jù)入手,利用機(jī)器學(xué)習(xí)方法構(gòu)建了基于DNS行為特征的惡意域名檢測模型。通過分析DNS數(shù)據(jù)的統(tǒng)計分布,從4個維度提取了 22個特征,通過交叉驗(yàn)證比較隨機(jī)森林和梯度提升決策樹兩種分類模型,測試證明隨機(jī)森林在準(zhǔn)確率、召回率等指標(biāo)上具有優(yōu)勢。最后,基于大數(shù)據(jù)平臺設(shè)計和實(shí)現(xiàn)了惡意域名檢測系統(tǒng),并將構(gòu)建的檢測模型應(yīng)用到系統(tǒng)中。系統(tǒng)架構(gòu)的設(shè)計考慮了輸入來源、數(shù)據(jù)存儲、執(zhí)行效率、可擴(kuò)展性等一系列問題,最終劃分成4個功能模塊。為了保證系統(tǒng)能夠在高速網(wǎng)絡(luò)中保持穩(wěn)定可用,... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：78 頁

【學(xué)位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
第一章 緒論
    1.1 研究背景及意義
    1.2 研究現(xiàn)狀
    1.3 研究內(nèi)容
    1.4 論文組織結(jié)構(gòu)
第二章 相關(guān)技術(shù)研究
    2.1 惡意域名檢測技術(shù)分析
        2.1.1 惡意域名檢測面臨的困難
        2.1.2 惡意域名檢測的技術(shù)方案
    2.2 機(jī)器學(xué)習(xí)分類模型研究
        2.2.1 隨機(jī)森林模型
        2.2.2 梯度提升決策樹模型
    2.3 大數(shù)據(jù)技術(shù)研究
        2.3.1 Hadoop體系架構(gòu)
        2.3.2 Spark體系架構(gòu)
        2.3.3 Kafka體系架構(gòu)
第三章 惡意域名檢測模型的構(gòu)建
    3.1 數(shù)據(jù)準(zhǔn)備
        3.1.1 數(shù)據(jù)內(nèi)容
        3.1.2 數(shù)據(jù)標(biāo)注
    3.2 特征提取
        3.2.1 基于時間的特征
        3.2.2 基于DNS響應(yīng)報文的特征
        3.2.3 基于TTL的特征
        3.2.4 基于域名的特征
    3.3 特征選擇
        3.3.1 基于Sigmoid的特征選擇算法
        3.3.2 基于信息增益比的特征排序算法
        3.3.3 特征選擇過程
    3.4 模型訓(xùn)練
        3.4.1 初始訓(xùn)練數(shù)據(jù)處理
        3.4.2 模型選擇方法與評價指標(biāo)
        3.4.3 模型效果對比評估
        3.4.4 模型泛化能力檢驗(yàn)
第四章 惡意域名檢測系統(tǒng)的設(shè)計
    4.1 需求分析
        4.1.1 功能需求
        4.1.2 技術(shù)挑戰(zhàn)
    4.2 系統(tǒng)架構(gòu)設(shè)計
        4.2.1 功能架構(gòu)
        4.2.2 技術(shù)架構(gòu)
        4.2.3 數(shù)據(jù)架構(gòu)
    4.3 系統(tǒng)各模塊設(shè)計
        4.3.1 DNS數(shù)據(jù)獲取模塊
        4.3.2 數(shù)據(jù)處理模塊
        4.3.3 模型檢測模塊
        4.3.4 結(jié)果展示模塊
    4.4 數(shù)據(jù)庫設(shè)計
第五章 惡意域名檢測系統(tǒng)的實(shí)現(xiàn)和測試
    5.1 系統(tǒng)運(yùn)行環(huán)境配置
        5.1.1 軟硬件配置
        5.1.2 系統(tǒng)接入位置配置
    5.2 系統(tǒng)各模塊實(shí)現(xiàn)
        5.2.1 DNS數(shù)據(jù)獲取模塊
        5.2.2 數(shù)據(jù)處理模塊
        5.2.3 模型檢測模塊
        5.2.4 結(jié)果展示模塊
    5.3 系統(tǒng)測試
        5.3.1 功能測試
        5.3.2 性能測試
第六章 總結(jié)與展望
    6.1 研究工作總結(jié)
    6.2 不足和展望
參考文獻(xiàn)
致謝
攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文


【參考文獻(xiàn)】：
期刊論文
[1]基于Passive DNS的速變域名檢測[J]. 周昌令,陳愷,公緒曉,陳萍,馬皓.  北京大學(xué)學(xué)報(自然科學(xué)版). 2016(03)
[2]僵尸網(wǎng)絡(luò)研究[J]. 諸葛建偉,韓心慧,周勇林,葉志遠(yuǎn),鄒維.  軟件學(xué)報. 2008(03)
[3]高速網(wǎng)絡(luò)內(nèi)容監(jiān)控若干關(guān)鍵技術(shù)[J]. 程圣宇,白英杰,肖瀛,蘆東昕.  計算機(jī)應(yīng)用. 2003(S2)

碩士論文
[1]網(wǎng)絡(luò)數(shù)據(jù)獲取與協(xié)議還原系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D]. 楊帆.華中科技大學(xué) 2009
[2]Fast-flux服務(wù)網(wǎng)絡(luò)檢測方法研究[D]. 汪洋.華中科技大學(xué) 2009



本文編號：2911753