僵尸網(wǎng)絡(luò)是由大量受控主機組成的一個攻擊平臺,攻擊者利用它可以發(fā)起分布式拒絕服務(wù)攻擊、垃圾郵件、網(wǎng)絡(luò)仿冒等各種攻擊,對網(wǎng)絡(luò)安全構(gòu)成了嚴重的威脅。因此,如何準確、高效的檢測出僵尸網(wǎng)絡(luò)已成為國內(nèi)外研究的熱點問題。僵尸網(wǎng)絡(luò)為了躲避檢測和封堵,提高自身的生存能力采取各種規(guī)避技術(shù),其中應(yīng)用最為廣泛的是基于DNS的規(guī)避技術(shù)。目前針對DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)檢測方法中存在以下問題:首先每種檢測方法只針對某一種類型的僵尸網(wǎng)絡(luò),只對指定類型的僵尸網(wǎng)絡(luò)有較高的檢測效率,無法應(yīng)用到實際環(huán)境的僵尸網(wǎng)絡(luò)檢測中去;其次每種檢測方法都是獨立整體,無法與其他僵尸網(wǎng)絡(luò)檢測方法進行關(guān)聯(lián)分析。對此,本文提出了一種基于模糊聚類的僵尸網(wǎng)絡(luò)反規(guī)避技術(shù),較好地解決了目前針對DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)檢測方法中存在的問題。主要工作包括:(1)為了有效地對基于DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)進行檢測,本文對僵尸網(wǎng)絡(luò)域名與正常網(wǎng)絡(luò)域名的DNS查詢特征進行對比分析,提取了 22個可以明顯區(qū)別僵尸網(wǎng)絡(luò)域名與正常網(wǎng)絡(luò)域名的特征,同時考慮到不同僵尸網(wǎng)絡(luò)之間特征的重疊性與高維特征在運算過程中存在的“維數(shù)災(zāi)難”問題,提出了一種前向選擇與后向消除結(jié)合的特征選擇方法...

【文章頁數(shù)】：73 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖１－１?２０１６年僵尸網(wǎng)絡(luò)規(guī)模分布??Ｆｉｇｕｒｅ?１－１?Ｂｏｔｎｅｔ?ｓｉｚｅ?ｄｉｓｔｒｉｂｕｔｉｏｎ?ｉｎ?２０１６??

測發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)中，規(guī)模在１００臺主機以上的僵尸網(wǎng)絡(luò)數(shù)量達４８９個，其中有??５２個僵尸網(wǎng)絡(luò)的規(guī)模甚至達到了?１０萬臺主機以上。２０１６年僵尸網(wǎng)絡(luò)的規(guī)模分布??如圖１－１所示。??單位（個）??４０００??３５００?｜響｜??３０００??２５００??２０００??１５００??１００....

圖２－１僵尸網(wǎng)絡(luò)生命周期??Ｆｉｇｕｒｅ?２－１?Ｌｉｆｅ?ｃｙｃｌｅ?ｏｆ?ｚｏｍｂｉｅ?ｎｅｔｗｏｒｋ??

２．１．２?僵尸網(wǎng)絡(luò)生命周期??從一個僵尸程序到由成千上萬臺受控主機組成的僵尸網(wǎng)絡(luò)，其中涉及僵尸網(wǎng)??絡(luò)生命的多個階段。僵尸網(wǎng)絡(luò)的生命周期如圖２－１所示，主要分為傳播過程、＇感染??過程、加入網(wǎng)絡(luò)、擴散階段、發(fā)起攻擊等階段［３２］。??７??

圖２－２集中式Ｃ＆Ｃ結(jié)構(gòu)??Ｆｉｇｕｒｅ?２－２?Ｃｅｎｔｒａｌｉｚｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??

?僵尸網(wǎng)絡(luò)相關(guān)研究??信息，網(wǎng)絡(luò)拓撲中沒有固定的中心服務(wù)器，因此不存在單點失效問題。如圖２－３所??示，控制者可以登錄網(wǎng)絡(luò)中任意一個感染僵尸程序的主機，將其作為Ｃ＆Ｃ服務(wù)器??發(fā)布命令。這種僵尸網(wǎng)絡(luò)一般采用Ｐ２Ｐ協(xié)議構(gòu)建其Ｃ＆Ｃ信道�；诜稚⑹剑茫Γ�??結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中的每個僵尸....

圖２－３分布式Ｃ＆Ｃ架構(gòu)??Ｆｉｇｕｒｅ?２－３?Ｄｉｓｔｒｉｂｕｔｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??１３??

?僵尸網(wǎng)絡(luò)相關(guān)研究??信息，網(wǎng)絡(luò)拓撲中沒有固定的中心服務(wù)器，因此不存在單點失效問題。如圖２－３所??示，控制者可以登錄網(wǎng)絡(luò)中任意一個感染僵尸程序的主機，將其作為Ｃ＆Ｃ服務(wù)器??發(fā)布命令。這種僵尸網(wǎng)絡(luò)一般采用Ｐ２Ｐ協(xié)議構(gòu)建其Ｃ＆Ｃ信道�；诜稚⑹剑茫Γ�??結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中的每個僵尸....

本文編號：4028695