僵尸網(wǎng)絡(luò)是由數(shù)量眾多的被僵尸病毒感染的主機(jī)組建成的網(wǎng)絡(luò),業(yè)已成為網(wǎng)絡(luò)安全的主要威脅之一。它的威脅性主要體現(xiàn)在被用來(lái)執(zhí)行各種各樣的非法活動(dòng),其中發(fā)送垃圾郵件和執(zhí)行分布式拒絕服務(wù)攻擊是最主要的兩種非法活動(dòng)。早期的僵尸網(wǎng)絡(luò)多為集中式僵尸網(wǎng)絡(luò),它們擁有一個(gè)中央服務(wù)器用來(lái)轉(zhuǎn)發(fā)非法活動(dòng)的指令,中央服務(wù)器具有單點(diǎn)失效的缺點(diǎn)。隨著科技的發(fā)展,攻擊者逐漸將P2P技術(shù)應(yīng)用于僵尸網(wǎng)絡(luò),從而造就了 P2P僵尸網(wǎng)絡(luò)的誕生。這種新的僵尸網(wǎng)絡(luò)更加隱蔽,導(dǎo)致對(duì)它的檢測(cè)相比于傳統(tǒng)的僵尸網(wǎng)絡(luò)更加困難。因此盡快盡早地識(shí)別網(wǎng)絡(luò)中的僵尸機(jī)器以減少它們對(duì)網(wǎng)絡(luò)安全地威脅是十分重要的。在本文中,我們提出了一種能夠從巨大數(shù)量的網(wǎng)絡(luò)流量中識(shí)別P2P僵尸機(jī)的新方法。該方法首先對(duì)大規(guī)模的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行篩選,過(guò)濾掉絕大多數(shù)的不相關(guān)的流量。然后會(huì)根據(jù)P2P網(wǎng)絡(luò)的分布性的特點(diǎn),從網(wǎng)絡(luò)流量中識(shí)別出P2P相關(guān)的流量,這些流量既包含合法的P2P應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量,又包含P2P僵尸機(jī)產(chǎn)生的網(wǎng)絡(luò)流量。然后結(jié)合P2P僵尸網(wǎng)絡(luò)特有的持久性和周期性的特點(diǎn),分析各個(gè)主機(jī)的在線率,數(shù)據(jù)包大小和周期性等特征,將P2P僵尸機(jī)產(chǎn)生的網(wǎng)絡(luò)流量與合法的P2P應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流... 

【文章來(lái)源】：山東大學(xué)山東省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：55 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

U18年1月發(fā)起DDaS攻擊的境外僵尸機(jī)的分布情況L31

018年1月發(fā)起DDoS攻擊的境內(nèi)僵尸機(jī)的分布情況l3J

圖I-3GitIIub遭受DDoS攻擊前后的入站流量[’]


本文編號(hào)：3322813