隨著IT架構(gòu)的日益復雜,各種應用也不斷涌現(xiàn),網(wǎng)絡和應用的邊界變得越來越模糊,這使得基于單一邊界和控制點的傳統(tǒng)安全設備難以有效掌握整個網(wǎng)絡的安全狀態(tài)。一方面,網(wǎng)絡攻擊的廣泛性、隱蔽性、持續(xù)性、復合性、多樣性等特征使得傳統(tǒng)網(wǎng)絡攻擊檢測技術(shù)難以有效應對。另一方面,隨著移動互聯(lián)網(wǎng)、云計算等技術(shù)的發(fā)展,網(wǎng)絡中的威脅情報信息越來越多,因此,如何高效智能的整合、處理外部與內(nèi)部的大量非結(jié)構(gòu)化數(shù)據(jù),對多源數(shù)據(jù)進行有效關(guān)聯(lián)、檢索與情報追蹤是網(wǎng)絡安全發(fā)展的關(guān)鍵。近些年來,隨著網(wǎng)絡異常檢測技術(shù)的不斷發(fā)展、軟件定義安全架構(gòu)的出現(xiàn)、大數(shù)據(jù)技術(shù)的發(fā)展,上述的安全挑戰(zhàn)帶來的問題逐步得到了緩解。本文選取僵尸網(wǎng)絡與Web攻擊兩種在網(wǎng)絡中最常見、波及面最大的網(wǎng)絡威脅,對僵尸網(wǎng)絡C&C服務器檢測與HTTP異常檢測問題展開研究;同時,將異常檢測算法封裝為異常檢測模塊,在軟件定義安全架構(gòu)下實現(xiàn)異常檢測模塊與安全數(shù)據(jù)平臺的集成,從而實現(xiàn)數(shù)據(jù)驅(qū)動的安全服務器編排。本文的具體研究內(nèi)容如下:1.利用網(wǎng)絡中廣泛存在的多源異構(gòu)數(shù)據(jù),借鑒安全威脅情報、用戶與實體行為分析（UEBA）等安全領域的新思路,基于統(tǒng)計分析、機器學習、深度學習對... 

【文章來源】：北京郵電大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：78 頁

【學位級別】：碩士

【部分圖文】：

圖２－１中心結(jié)構(gòu)僵尸網(wǎng)絡示意圖??如圖２－１所示，中心結(jié)構(gòu)的僵尸網(wǎng)絡是基于客戶端－服務器模式的，即所有??的ｂｏｔ主機都會與中心控制服務器進行通信

地址的列表，為了實現(xiàn)域名與ＩＰ地址間映射關(guān)系的頻繁變化，僵尸網(wǎng)絡的控制??者需要提供網(wǎng)絡最底層的ＤＮＳ服務器，該服務器根據(jù)特定的Ｃ＆Ｃ域名每次返回??列表中不同的ＩＰ。基于Ｓｉｎｇｌｅ－Ｆｌｕｘ的僵尸網(wǎng)絡的原理示意如圖２－２所示。??目??８??５??Ｌ二二?ｃｏｍ??３?／?ｉ?２．３．４?／?ＤＮＳ???－－？２３４娜變齡、＾?％?Ｚ??？ｖｗｗ?ｅｘａｍｐｌｅ?ｃｏｍ??圖２－２基于Ｓｉｎｇｌｅ－Ｆｌｕｘ的僵尸網(wǎng)絡工作原理圖??８??

服務器的ＩＰ地址修改頻率相比于底層ＤＮＳ服務器中Ｃ＆Ｃ服務器的ＩＰ地址修改??頻率要低得多，從而防止僵尸網(wǎng)絡與Ｃ＆Ｃ服務器被檢測出來�；冢模铮酰猓欤澹疲欤酰�??的僵尸網(wǎng)絡的原理示意如圖２－３所示。??４．３．２１?＼??ｍ＾－２?＼?／?／??＼Ｌ＾?國??目，ｓ?＾?ｙ－?３?／?￣??２?３?令?／／?＼?ｗｖｒＭ＞＃ｘａｍｐｔｅｃｏｍ??－?八、＼??ｗｗｗｅｘｔｒｔ＾ｓｉｅ－ｃｏｍ?遝參ＭＳ??圖２－３基于Ｄｏｕｂｌｅ－Ｆｌｕｘ的僵尸網(wǎng)絡工作原理圖??中心結(jié)構(gòu)的核心優(yōu)點是ｂｏｔ與Ｃ＆Ｃ服務器之間的通信速度快［１３］、實施簡單，??這也是該結(jié)構(gòu)被僵尸網(wǎng)絡廣泛采用的原因。但是，中心結(jié)構(gòu)需要依賴在公網(wǎng)可達??的服務器才能實施，也就是需要有靜態(tài)公網(wǎng)ＩＰ的服務器從而保證可以接受ｂｏｔ??發(fā)起連接并進行通信。??Ｃ＆Ｃ服務器的存在是僵尸網(wǎng)絡中受感染主機協(xié)同運行的基礎，因此檢測??Ｃ＆Ｃ服務器并采取相應的防護策略才能有效遏制僵尸網(wǎng)絡的危害�；趯鴥�(nèi)??外相關(guān)研究的總結(jié)，僵尸網(wǎng)絡Ｃ＆Ｃ服務器的檢測方法可以分為以下四種：基于??終端的Ｃ＆Ｃ服務器檢測、基于協(xié)議特征的Ｃ＆Ｃ服務器檢測、基于域名特征的??Ｃ＆Ｃ服務器檢測、基于網(wǎng)絡流量分析的Ｃ＆Ｃ服務器檢測。??２．１．２基于終端的Ｃ＆Ｃ服務器檢測??基于終端的Ｃ＆Ｃ服務器檢測方法是目前僵尸網(wǎng)絡Ｃ＆Ｃ服務器檢測的主要??方法。該方法分為兩個步驟：第一步是利用蜜罐在網(wǎng)絡中捕獲惡意的樣本；按照??蜜罐捕獲惡意樣本的方式，可以分為主動蜜罐與被動蜜罐兩類；主動蜜罐通過在??內(nèi)部構(gòu)造漏洞并主動與惡意樣本宿主機通信

【參考文獻】：
期刊論文
[1]An adaptive system for detecting malicious queries in web attacks[J]. Ying DONG,Yuqing ZHANG,Hua MA,Qianru WU,Qixu LIU,Kai WANG,Wenjie WANG.  Science China（Information Sciences）. 2018(03)
[2]面向SDN環(huán)境的軟件定義安全架構(gòu)[J]. 劉文懋,裘曉峰,陳鵬程,文旭韜,何新新,汪東升,李軍.  計算機科學與探索. 2015(01)
[3]僵尸網(wǎng)絡綜述[J]. 方濱興,崔翔,王威.  計算機研究與發(fā)展. 2011(08)
[4]基于n-gram語言模型和鏈狀樸素貝葉斯分類器的中文文本分類系統(tǒng)[J]. 毛偉,徐蔚然,郭軍.  中文信息學報. 2006(03)



本文編號：3383320