僵尸網絡作為網絡安全中威脅最大的攻擊平臺之一,正被黑客發(fā)動一系列諸如DDoS攻擊、垃圾郵件、比特幣挖礦、勒索、網絡釣魚等多種惡意活動。不僅給用戶造成巨大的經濟損失,也使網絡安全面臨著嚴峻的考驗。因此,研究如何快速有效檢測出僵尸網絡顯得尤為重要。盡管研究人員已經提出了大量的基于網絡流量分析的方法或基于圖模型的僵尸網絡檢測方法。但由于僵尸程序不斷升級變異以及僵尸網絡結構、協(xié)議不斷復雜,使用單一的模型會導致誤報,漏報,甚至失效。一方面,攻擊者會通過模擬攻擊、隱蔽通道等多種先進技術來逃避基于網絡流量方法的檢測。另一方面,現(xiàn)有的基于圖的方法需要獲取整個網絡中全部主機間的所有通信數(shù)據(jù),真實環(huán)境中的網絡拓撲龐大、錯綜復雜導致檢測難度大,通用性差。本文的主要研究工作為:深入研究了包括Mirai,Zeus,BlackEnergy,Athena,Ares五種新型的僵尸網絡樣本。搭建部署其所依賴的環(huán)境后,通過Docker容器技術模擬了 305臺受感染的僵尸主機以及相應5臺控制與命令服務器,采用WireShark捕獲其產生的流量數(shù)據(jù),并與從某ISP網關上捕獲的背景流量混合構成本文實驗數(shù)據(jù)集。本文實驗中使用了 ... 

【文章頁數(shù)】：69 頁

【學位級別】：碩士

【文章目錄】：
致謝
摘要
ABSTRACT
1 引言
    1.1 研究背景及意義
    1.2 國內外研究現(xiàn)狀
    1.3 研究目標和內容
    1.4 論文結構
2 僵尸網絡相關知識
    2.1 僵尸網絡概述
        2.1.1 僵尸網絡的概念
        2.1.2 僵尸網絡的分類
        2.1.3 僵尸網絡的生命周期
        2.1.4 僵尸網絡的危害
        2.1.5 僵尸網絡追蹤、檢測及反制
    2.2 其他相關技術
        2.2.1 Docker容器技術
        2.2.2 網絡流量的捕獲與分析
    2.3 本章小結
3 基于網絡流量統(tǒng)計特征的僵尸網絡檢測
    3.1 數(shù)據(jù)集構建
        3.1.1 僵尸網絡樣本簡介
        3.1.2 僵尸網絡數(shù)據(jù)集描述
        3.1.3 網絡流量預處理
        3.1.4 網絡流量特征提取
    3.2 基于流量統(tǒng)計特征的檢測模型構建
        3.2.1 相似性分析
        3.2.2 穩(wěn)定性分析
        3.2.3 綜合分析
    3.3 評價指標
    3.4 實驗結果與分析
        3.4.1 相似性模型檢測結果與分析
        3.4.2 穩(wěn)定性模型檢測結果與分析
        3.4.3 綜合分析檢測結果與分析
    3.5 本章小節(jié)
4 基于圖特征的僵尸網絡檢測
    4.1 問題定義
    4.2 基于圖特征的僵尸網絡檢測框架
        4.2.1 圖特征提取
        4.2.2 圖檢測模型的構建
    4.3 關鍵算法
        4.3.1 推論
        4.3.2 算法簡介
    4.4 實驗結果與分析
    4.5 本章小節(jié)
5 基于網絡流量統(tǒng)計特征與圖特征分析的僵尸網絡檢測
    5.1 混合模型
        5.1.1 BotMark檢測框架
        5.1.2 投票機制
    5.2 實驗結果與分析
    5.3 相關工作對比
    5.4 本章小節(jié)
6 總結與展望
    6.1 工作總結
    6.2 未來展望
參考文獻
作者簡歷及攻讀碩士學位期間取得的研究成果
學位論文數(shù)據(jù)集


【參考文獻】：
期刊論文
[1]烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御[J]. 王勇,王鈺茗,張琳,張林鵬.  網絡與信息安全學報. 2017(01)

碩士論文
[1]基于網絡流量的Fast-Flux僵尸網絡檢測方法研究[D]. 王中晴.電子科技大學 2018
[2]基于模糊聚類的僵尸網絡反規(guī)避技術研究[D]. 趙相男.北京交通大學 2018



本文編號：3729013