隨著IT架構(gòu)的日益復(fù)雜,各種應(yīng)用也不斷涌現(xiàn),網(wǎng)絡(luò)和應(yīng)用的邊界變得越來越模糊,這使得基于單一邊界和控制點(diǎn)的傳統(tǒng)安全設(shè)備難以有效掌握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)。一方面,網(wǎng)絡(luò)攻擊的廣泛性、隱蔽性、持續(xù)性、復(fù)合性、多樣性等特征使得傳統(tǒng)網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)難以有效應(yīng)對(duì)。另一方面,隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算等技術(shù)的發(fā)展,網(wǎng)絡(luò)中的威脅情報(bào)信息越來越多,因此,如何高效智能的整合、處理外部與內(nèi)部的大量非結(jié)構(gòu)化數(shù)據(jù),對(duì)多源數(shù)據(jù)進(jìn)行有效關(guān)聯(lián)、檢索與情報(bào)追蹤是網(wǎng)絡(luò)安全發(fā)展的關(guān)鍵。近些年來,隨著網(wǎng)絡(luò)異常檢測(cè)技術(shù)的不斷發(fā)展、軟件定義安全架構(gòu)的出現(xiàn)、大數(shù)據(jù)技術(shù)的發(fā)展,上述的安全挑戰(zhàn)帶來的問題逐步得到了緩解。本文選取僵尸網(wǎng)絡(luò)與Web攻擊兩種在網(wǎng)絡(luò)中最常見、波及面最大的網(wǎng)絡(luò)威脅,對(duì)僵尸網(wǎng)絡(luò)C&C服務(wù)器檢測(cè)與HTTP異常檢測(cè)問題展開研究;同時(shí),將異常檢測(cè)算法封裝為異常檢測(cè)模塊,在軟件定義安全架構(gòu)下實(shí)現(xiàn)異常檢測(cè)模塊與安全數(shù)據(jù)平臺(tái)的集成,從而實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的安全服務(wù)器編排。本文的具體研究內(nèi)容如下:1.利用網(wǎng)絡(luò)中廣泛存在的多源異構(gòu)數(shù)據(jù),借鑒安全威脅情報(bào)、用戶與實(shí)體行為分析（UEBA）等安全領(lǐng)域的新思路,基于統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)對(duì)... 

【文章來源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：78 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２－１中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)示意圖??如圖２－１所示，中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)是基于客戶端－服務(wù)器模式的，即所有??的ｂｏｔ主機(jī)都會(huì)與中心控制服務(wù)器進(jìn)行通信

地址的列表，為了實(shí)現(xiàn)域名與ＩＰ地址間映射關(guān)系的頻繁變化，僵尸網(wǎng)絡(luò)的控制??者需要提供網(wǎng)絡(luò)最底層的ＤＮＳ服務(wù)器，該服務(wù)器根據(jù)特定的Ｃ＆Ｃ域名每次返回??列表中不同的ＩＰ�；冢樱椋睿纾欤澹疲欤酰慕┦W(wǎng)絡(luò)的原理示意如圖２－２所示。??目??８??５??Ｌ二二?ｃｏｍ??３?／?ｉ?２．３．４?／?ＤＮＳ???－－？２３４娜變齡、＾?％?Ｚ??？ｖｗｗ?ｅｘａｍｐｌｅ?ｃｏｍ??圖２－２基于Ｓｉｎｇｌｅ－Ｆｌｕｘ的僵尸網(wǎng)絡(luò)工作原理圖??８??

服務(wù)器的ＩＰ地址修改頻率相比于底層ＤＮＳ服務(wù)器中Ｃ＆Ｃ服務(wù)器的ＩＰ地址修改??頻率要低得多，從而防止僵尸網(wǎng)絡(luò)與Ｃ＆Ｃ服務(wù)器被檢測(cè)出來。基于Ｄｏｕｂｌｅ－Ｆｌｕｘ??的僵尸網(wǎng)絡(luò)的原理示意如圖２－３所示。??４．３．２１?＼??ｍ＾－２?＼?／?／??＼Ｌ＾?國??目，ｓ?＾?ｙ－?３?／?￣??２?３?令?／／?＼?ｗｖｒＭ＞＃ｘａｍｐｔｅｃｏｍ??－?八、＼??ｗｗｗｅｘｔｒｔ＾ｓｉｅ－ｃｏｍ?遝參ＭＳ??圖２－３基于Ｄｏｕｂｌｅ－Ｆｌｕｘ的僵尸網(wǎng)絡(luò)工作原理圖??中心結(jié)構(gòu)的核心優(yōu)點(diǎn)是ｂｏｔ與Ｃ＆Ｃ服務(wù)器之間的通信速度快［１３］、實(shí)施簡單，??這也是該結(jié)構(gòu)被僵尸網(wǎng)絡(luò)廣泛采用的原因。但是，中心結(jié)構(gòu)需要依賴在公網(wǎng)可達(dá)??的服務(wù)器才能實(shí)施，也就是需要有靜態(tài)公網(wǎng)ＩＰ的服務(wù)器從而保證可以接受ｂｏｔ??發(fā)起連接并進(jìn)行通信。??Ｃ＆Ｃ服務(wù)器的存在是僵尸網(wǎng)絡(luò)中受感染主機(jī)協(xié)同運(yùn)行的基礎(chǔ)，因此檢測(cè)??Ｃ＆Ｃ服務(wù)器并采取相應(yīng)的防護(hù)策略才能有效遏制僵尸網(wǎng)絡(luò)的危害�；趯�(duì)國內(nèi)??外相關(guān)研究的總結(jié)，僵尸網(wǎng)絡(luò)Ｃ＆Ｃ服務(wù)器的檢測(cè)方法可以分為以下四種：基于??終端的Ｃ＆Ｃ服務(wù)器檢測(cè)、基于協(xié)議特征的Ｃ＆Ｃ服務(wù)器檢測(cè)、基于域名特征的??Ｃ＆Ｃ服務(wù)器檢測(cè)、基于網(wǎng)絡(luò)流量分析的Ｃ＆Ｃ服務(wù)器檢測(cè)。??２．１．２基于終端的Ｃ＆Ｃ服務(wù)器檢測(cè)??基于終端的Ｃ＆Ｃ服務(wù)器檢測(cè)方法是目前僵尸網(wǎng)絡(luò)Ｃ＆Ｃ服務(wù)器檢測(cè)的主要??方法。該方法分為兩個(gè)步驟：第一步是利用蜜罐在網(wǎng)絡(luò)中捕獲惡意的樣本；按照??蜜罐捕獲惡意樣本的方式，可以分為主動(dòng)蜜罐與被動(dòng)蜜罐兩類；主動(dòng)蜜罐通過在??內(nèi)部構(gòu)造漏洞并主動(dòng)與惡意樣本宿主機(jī)通信

【參考文獻(xiàn)】：
期刊論文
[1]An adaptive system for detecting malicious queries in web attacks[J]. Ying DONG,Yuqing ZHANG,Hua MA,Qianru WU,Qixu LIU,Kai WANG,Wenjie WANG.  Science China（Information Sciences）. 2018(03)
[2]面向SDN環(huán)境的軟件定義安全架構(gòu)[J]. 劉文懋,裘曉峰,陳鵬程,文旭韜,何新新,汪東升,李軍.  計(jì)算機(jī)科學(xué)與探索. 2015(01)
[3]僵尸網(wǎng)絡(luò)綜述[J]. 方濱興,崔翔,王威.  計(jì)算機(jī)研究與發(fā)展. 2011(08)
[4]基于n-gram語言模型和鏈狀樸素貝葉斯分類器的中文文本分類系統(tǒng)[J]. 毛偉,徐蔚然,郭軍.  中文信息學(xué)報(bào). 2006(03)



本文編號(hào)：3383320