本文關(guān)鍵詞：主機內(nèi)僵尸檢測研究，由筆耕文化傳播整理發(fā)布。

【摘要】：僵尸是被惡意軟件感染并被僵尸控制者通過命令與控制信道(如IRC, HTTP, P2P等)控制的主機，當僵尸大規(guī)模協(xié)同運行時便形成一個僵尸網(wǎng)絡(luò)。僵尸控制者可以利用僵尸網(wǎng)絡(luò)進行各種網(wǎng)絡(luò)犯罪，如傳播惡意軟件、發(fā)動DDoS攻擊、發(fā)送垃圾郵件、進行網(wǎng)絡(luò)釣魚等。僵尸網(wǎng)絡(luò)已經(jīng)成為大多數(shù)網(wǎng)絡(luò)犯罪行為的主要平臺。 本文第二章提出一種關(guān)聯(lián)簽名和行為檢測僵尸的多反饋方法——BotCatch。BotCatch包括五個模塊：分析引擎、簽名分析模塊、行為分析模塊、關(guān)聯(lián)引擎和多反饋模塊。分析引擎負責將可疑文件分配給簽名或行為分析模塊，它們分析該文件并生成各自檢測結(jié)果，關(guān)聯(lián)引擎關(guān)聯(lián)簽名和行為檢測生成最終檢測結(jié)果。多反饋模塊使用簽名、行為和關(guān)聯(lián)結(jié)果動態(tài)調(diào)整BotCatch，通過維護簽名數(shù)據(jù)庫優(yōu)化簽名分析模塊，通過維護樣本庫并指導(dǎo)該模塊的學習優(yōu)化行為分析模塊，，通過修改參數(shù)優(yōu)化關(guān)聯(lián)引擎。實驗結(jié)果表明：(1)BotCatch的關(guān)聯(lián)算法能夠有效的關(guān)聯(lián)簽名和行為檢測結(jié)果；(2)多反饋機制使得BotCatch能夠自適應(yīng)于樣本并逐漸變得穩(wěn)定和準確；(3)雖然其它關(guān)聯(lián)算法，如支持向量機也能夠關(guān)聯(lián)多種結(jié)果，然而擁有多反饋機制的BotCatch有更好的檢測結(jié)果。 本文第三章發(fā)現(xiàn)多進程僵尸的兩個特點：將惡意行為與CC連接分離、將惡意行為分配給多個進程。從理論上分析現(xiàn)有基于行為的僵尸檢測方法不能有效的檢測多進程僵尸的原因。提出實現(xiàn)多進程僵尸的兩個關(guān)鍵挑戰(zhàn)，并實現(xiàn)單進程和多進程Zeus僵尸的簡化版本。使用基于簽名和行為的檢測方法進行實驗，結(jié)果表明，多進程僵尸可以有效地降低檢測率。最后提出多進程僵尸的其它可能結(jié)構(gòu)和擴展規(guī)則，以期覆蓋多數(shù)情況。 本文第四章計劃通過深入分析當前不斷演變的社交僵尸采用的躲避機制，設(shè)計出更魯棒的特征和關(guān)聯(lián)機制。為實現(xiàn)該目標，我們收集現(xiàn)有社交僵尸樣本和它們的運行記錄，然后分析其躲避機制，包括四種基本躲避機制和四種高級躲避機制，使用三種現(xiàn)有檢測方法檢測收集的運行記錄，驗證躲避機制的有效性。通過對躲避機制的深入分析，我們設(shè)計分為基于生命周期和失敗信息九個新型特征，設(shè)計兩種新型關(guān)聯(lián)機制——時間關(guān)聯(lián)和空間關(guān)聯(lián)機制，時間關(guān)聯(lián)通過累積歷史信息應(yīng)對延遲響應(yīng)，空間關(guān)聯(lián)結(jié)合不同進程之間的關(guān)系應(yīng)對多進程僵尸。實驗結(jié)果表明，我們設(shè)計的新型特征和關(guān)聯(lián)機制能夠有效的應(yīng)對社交僵尸，使用隨機森林分類器得到檢測結(jié)果：0.3%誤報率、4.7%漏報率、0.963F-measure值和99.2%檢測率。
【關(guān)鍵詞】：僵尸網(wǎng)絡(luò) 主機內(nèi)檢測 行為分析 關(guān)聯(lián)引擎
【學位授予單位】：吉林大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-10
• 第1章 引言10-15
• 1.1 研究背景10-11
• 1.2 研究動機11-12
• 1.3 論文主要工作12-14
• 1.4 論文結(jié)構(gòu)14-15
• 第2章 BOTCATCH：使用簽名和行為的僵尸檢測15-35
• 2.1 相關(guān)工作15-17
• 2.1.1 基于簽名的僵尸檢測15
• 2.1.2 基于行為的僵尸檢測15-16
• 2.1.3 簽名和行為關(guān)聯(lián)的僵尸檢測16-17
• 2.2 系統(tǒng)概述17-22
• 2.2.1 系統(tǒng)架構(gòu)17-18
• 2.2.2 方法18-22
• 2.3 多反饋機制22-24
• 2.3.1 優(yōu)化簽名分析23
• 2.3.2 優(yōu)化行為分析23-24
• 2.3.3 優(yōu)化關(guān)聯(lián)引擎24
• 2.4 實驗24-30
• 2.4.1 系統(tǒng)實現(xiàn)24-25
• 2.4.2 數(shù)據(jù)收集25-26
• 2.4.3 評價指標26
• 2.4.4 不同參數(shù)影響26-30
• 2.5 實驗結(jié)果30-33
• 2.5.1 建立基準30-31
• 2.5.2 檢測結(jié)果31-33
• 2.5.3 性能負載33
• 2.6 小結(jié)33-35
• 第3章 躲避基于行為檢測方法的多進程機制35-45
• 3.1 相關(guān)工作35-36
• 3.2 多進程僵尸的躲避機制36-40
• 3.2.1 多進程僵尸的具體特征36-38
• 3.2.2 躲避基于行為的僵尸檢測方法38-40
• 3.3 多進程僵尸面對的挑戰(zhàn)40-41
• 3.3.1 自啟動機制40
• 3.3.2 進程間通信機制40-41
• 3.4 實驗41-44
• 3.4.1 原型架構(gòu)41-42
• 3.4.2 簽名分析42-43
• 3.4.3 行為分析43-44
• 3.5 多進程僵尸的擴展結(jié)構(gòu)44
• 3.6 小結(jié)44-45
• 第4章 應(yīng)對社交僵尸的躲避機制45-62
• 4.1 相關(guān)工作45-46
• 4.2 概述46-47
• 4.2.1 問題陳述46-47
• 4.2.2 數(shù)據(jù)收集47
• 4.3 躲避機制分析47-53
• 4.3.1 躲避機制介紹47-50
• 4.3.2 躲避機制的驗證50-53
• 4.4 新型檢測方法53-58
• 4.4.1 設(shè)計新特征53-56
• 4.4.2 新型關(guān)聯(lián)機制56-58
• 4.5 實驗58-61
• 4.5.1 檢測性能58-59
• 4.5.2 驗證特征的有效性59-60
• 4.5.3 驗證關(guān)聯(lián)機制60-61
• 4.6 小結(jié)61-62
• 第5章 總結(jié)62-65
• 5.1 討論62-64
• 5.1.1 局限性62-63
• 5.1.2 未來工作63-64
• 5.2 結(jié)論64-65
• 參考文獻65-71
• 作者簡介及在學期間所取得的科研成果71-73
• 致謝73

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 余煒;曾孝平;HAMID GholamHosseini;ANDREW Cameron;MICHAEL Harrison J;;Diagnosis of Vocal Cord Paralysis in Anaesthesia[J];Journal of Donghua University(English Edition);2011年01期

2 司馬莉萍;舒乃秋;李自品;黃勇;羅曉慶;;基于SVM和D-S證據(jù)理論的電力變壓器內(nèi)部故障部位識別[J];電力自動化設(shè)備;2012年11期

3 張友根;吳玲達;鄧維;宋漢辰;;融合時空上下文的手繪筆畫圖文分類[J];電子與信息學報;2013年01期

4 馬文龍;呂建新;吳虎勝;黃炯龍;;多傳感器信息融合在滾動軸承故障診斷中的應(yīng)用[J];傳感器與微系統(tǒng);2013年07期

5 莊子波;陳星;高浩;蔣立輝;;基于概率支持向量機的激光雷達風切變圖像的識別[J];北京理工大學學報;2014年04期

6 曹衛(wèi)華;杜楠;安劍奇;吳敏;;基于主客觀證據(jù)融合的高爐懸料預(yù)測方法[J];北京科技大學學報;2014年04期

7 高屹;;基于快速神經(jīng)網(wǎng)絡(luò)的HTTP僵尸網(wǎng)絡(luò)檢測算法[J];蘭州文理學院學報(自然科學版);2014年03期

8 李智;孫立鐫;;一種基于進化BP神經(jīng)網(wǎng)絡(luò)的文本分類算法[J];佳木斯大學學報(自然科學版);2009年02期

9 劉端陽;邱衛(wèi)杰;;基于SVM期望間隔的多標簽分類的主動學習[J];計算機科學;2011年04期

10 劉端陽;邱衛(wèi)杰;;基于平均期望間隔的多標簽分類主動學習方法[J];計算機工程;2011年15期

中國重要會議論文全文數(shù)據(jù)庫 前1條

1 劉林;李金屏;王真;;基于多顏色空間和累計直方圖的視頻場景分類[A];第十五屆全國圖象圖形學學術(shù)會議論文集[C];2010年

中國博士學位論文全文數(shù)據(jù)庫 前10條

1 陳進;高光譜圖像分類方法研究[D];國防科學技術(shù)大學;2010年

2 趙慧敏;柴油機非穩(wěn)態(tài)振動信號分析與智能故障診斷研究[D];天津大學;2010年

3 姚拓中;結(jié)合主動學習的視覺場景理解[D];浙江大學;2011年

4 陳偉;語音識別聲學建模中的主動學習研究[D];北京郵電大學;2011年

5 陳海林;基于判別學習的圖像目標分類研究[D];中國科學技術(shù)大學;2009年

6 漸令;基于核的學習算法與應(yīng)用[D];大連理工大學;2012年

7 辛知;程序多樣性技術(shù)研究[D];南京大學;2013年

8 王瑞;針對類別不平衡和代價敏感分類問題的特征選擇和分類算法[D];中國科學技術(shù)大學;2013年

9 蔣鴻玲;基于流量的僵尸網(wǎng)絡(luò)檢測方法研究[D];南開大學;2013年

10 尚海昆;電力變壓器局部放電信號的特征提取與模式識別方法研究[D];華北電力大學;2014年

  本文關(guān)鍵詞：主機內(nèi)僵尸檢測研究，由筆耕文化傳播整理發(fā)布。

本文編號：380035