目前僵尸網絡被認為是垃圾郵件的主要來源，有效的發(fā)現并檢測垃圾郵件僵尸網絡是阻止垃圾郵件攻擊的有效方法。 使用蜜罐對這些僵尸網絡進行捕獲和分析，可以發(fā)現僵尸主機在網絡中會存在多種異常行為：掃描開放的郵件代理、郵件發(fā)送速度快、同時連接多個郵件服務器發(fā)送郵件以及MX查詢異常等等。這些異常在僵尸網絡中比較普遍，可以作為異常特征來過濾僵尸主機。同時，僵尸網絡的郵件大小離散程度比郵件服務器要小的多，以此作為輔助手段能很好的區(qū)分僵尸主機和郵件服務器。 結合現有檢測算法的優(yōu)點，提出了一種郵件行為異常和郵件內容相似性匹配相結合的僵尸網絡檢測方法。檢測方法包含兩個模塊：異常行為告警模塊和內容聚類模塊。首先通過分析校園網的網絡流量找出網絡行為相對比較異常的計算機進行警告，在告警的同時還原得到每個告警計算機所發(fā)送的郵件；然后再重點分析這些還原得到的郵件，通過匹配郵件正文文本中的URL來估計這些計算機所屬僵尸網絡的規(guī)模。 檢測系統(tǒng)使用Libpcap庫進行數據包捕獲。與純粹基于內容的方法不同，檢測系統(tǒng)不需要經過大量的特征訓練，而且可以部署在網絡出口端。實驗結果表明，檢測算法能達到不錯的垃圾郵件檢測效果，...

【文章頁數】：62 頁

【學位級別】：碩士

【部分圖文】：

圖2-1集中式僵尸網絡拓撲圖

華中科技大學碩士學位論文集中式架構與網絡拓撲中的心型結構類似，由一臺或多臺計算機充當整個令控制服務器，命令控制服務器是網絡的心臟，而受感染的計算機則與控接相連。這類僵尸網絡結構比較簡單，為了保護自身防止被人發(fā)現一般都的通信內容進行加密，一般使用IRC協(xié)議....

圖2-2分布式僵尸網絡拓撲圖

華中科技大學碩士學位論文，它的失效對于僵尸網絡來說往往是致命的，即使使用更多的計算機來充制服務器也仍然不能保證他們經營的僵尸網絡不被摧毀。為了克服這個問式架構的僵尸網絡開始出現。分布式架構分布式僵尸網絡使用的是對等互聯網絡技術。在分布式僵尸網絡中，網絡計算機....

圖2-3Fast-flux僵尸網絡惡意內容感染示意圖

華中科技大學碩士學位論文Fast-flux是僵尸網絡所獨創(chuàng)的一項用來隱藏網絡釣魚和惡意軟件下載點的技術。它不再是一個垃圾郵件發(fā)送者和網絡釣魚者的測試概念，越來越多的垃圾郵件發(fā)送者正在利用這種技術。Fast-flux和DDNS類似，它通過使用大量受感染....

圖2-5Xarvester僵尸網絡所使用的模板文件每一個郵件模版代表一個垃圾郵件發(fā)送任務

圖2-5Xarvester僵尸網絡所使用的模板文件個郵件模版代表一個垃圾郵件發(fā)送任務。Spambot在接收郵件模版?zhèn)€電子郵箱列表文件，這個郵箱列表就是這些垃圾郵件的最終在完成模版發(fā)送任務后會將上次的發(fā)送結果上傳給控制服務器，這者能清楚的掌握他們的僵尸網絡到底成功的發(fā)送了多....

本文編號：4013154