本文關(guān)鍵詞：P2P僵尸網(wǎng)絡(luò)檢測技術(shù)研究

  更多相關(guān)文章： P2P僵尸網(wǎng)絡(luò) P2P流量過濾 端口掃描檢測 DDoS攻擊檢測 垃圾郵件檢測

【摘要】：僵尸網(wǎng)絡(luò)是現(xiàn)在網(wǎng)絡(luò)犯罪中的一項主要技術(shù)手段。利用僵尸網(wǎng)絡(luò)，操控者可以獲取感染主機的相關(guān)敏感信息，也可以通過控制大量的主機，進行一些網(wǎng)絡(luò)惡意行為。新技術(shù)的使用使得僵尸網(wǎng)絡(luò)更具攻擊性和隱蔽性。特別是基于P2P通信協(xié)議的僵尸網(wǎng)絡(luò)的出現(xiàn)，規(guī)避了傳統(tǒng)集中式僵尸網(wǎng)絡(luò)單點失效的缺陷，加大了檢測的難度。 通過對P2P僵尸網(wǎng)絡(luò)特性分析，本文集中于兩點進行研究：P2P僵尸網(wǎng)絡(luò)使用P2P協(xié)議進行通信；P2P僵尸網(wǎng)絡(luò)在進行惡意網(wǎng)絡(luò)行為時，必然會表現(xiàn)出不同于正常網(wǎng)絡(luò)通信流的特征。 通過分析P2P協(xié)議在網(wǎng)絡(luò)中所呈現(xiàn)的特點，采用多重過濾的方法識別網(wǎng)絡(luò)中的P2P節(jié)點，通過聚類得到不同的P2P群，作為P2P僵尸網(wǎng)絡(luò)的初步對象。相較于神經(jīng)網(wǎng)絡(luò)和自學(xué)習(xí)等檢測P2P流量的方法，，多重過濾法不存在訓(xùn)練樣本的局限性，對P2P僵尸網(wǎng)絡(luò)流的通信流提取更加全面。所以本文中使用端口檢測、應(yīng)用層簽名識別檢測和P2P流量特征檢測三種方法相結(jié)合進行P2P流量的檢測。 僵尸網(wǎng)絡(luò)存在多種惡意行為，本文中對三種主要的惡意行為進行檢測，即端口掃描、DDoS攻擊、發(fā)送垃圾郵件。對于端口掃描和DDoS攻擊，在提取出特征序列以后，使用非參數(shù)自適應(yīng)CUSUM算法進行波動的檢測。對垃圾郵件，使用SMTP上下行流量比、SMTP閑置時間、主機對外連接數(shù)三種特性來檢測。最終整合P2P檢測和惡意流量檢測的結(jié)果，判斷是否存在P2P僵尸網(wǎng)絡(luò)。 在實驗中，對兩種數(shù)據(jù)流進行檢測，一為LBNL/ICSI Enterprise TracingProject所提供的網(wǎng)絡(luò)數(shù)據(jù)，一為在實驗室中布置Bot節(jié)點所獲得的網(wǎng)絡(luò)數(shù)據(jù)，以LBNL-Trace作為背景流量。實驗結(jié)果證明，檢測方法能夠有效的檢測出P2P僵尸網(wǎng)絡(luò)。
【關(guān)鍵詞】：P2P僵尸網(wǎng)絡(luò) P2P流量過濾 端口掃描檢測 DDoS攻擊檢測 垃圾郵件檢測
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2012
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-8
• 第1章 緒論8-13
• 1.1 課題來源8
• 1.2 研究目的和意義8-10
• 1.3 國內(nèi)外研究現(xiàn)狀10-12
• 1.4 本文研究內(nèi)容及組織結(jié)構(gòu)12-13
• 第2章 僵尸網(wǎng)絡(luò)技術(shù)研究及檢測系統(tǒng)設(shè)計13-28
• 2.1 主流僵尸網(wǎng)絡(luò)介紹13-20
• 2.1.1 基于 IRC 協(xié)議的僵尸網(wǎng)絡(luò)14-17
• 2.1.2 基于 HTTP 協(xié)議的僵尸網(wǎng)絡(luò)17-19
• 2.1.3 基于 P2P 協(xié)議的僵尸網(wǎng)絡(luò)19-20
• 2.2 僵尸網(wǎng)絡(luò)中新技術(shù)應(yīng)用20-23
• 2.2.1 DNS 快速變遷20-22
• 2.2.2 Rootkits 隱匿技術(shù)22
• 2.2.3 小活動比例22
• 2.2.4 多態(tài)性22-23
• 2.2.5 網(wǎng)絡(luò)流混淆23
• 2.3 P2P 僵尸網(wǎng)絡(luò)檢測系統(tǒng)設(shè)計23-27
• 2.3.1 功能分析與設(shè)計24-26
• 2.3.2 檢測流程26-27
• 2.4 本章小結(jié)27-28
• 第3章 P2P 協(xié)議特性分析及檢測28-39
• 3.1 僵尸網(wǎng)絡(luò)中 P2P 協(xié)議分析28-32
• 3.1.1 P2P 協(xié)議簡介及發(fā)展歷史28-30
• 3.1.2 僵尸網(wǎng)絡(luò)中 P2P 協(xié)議特性分析30-32
• 3.2 P2P 流量檢測32-38
• 3.2.1 端口檢測32-33
• 3.2.2 應(yīng)用層特征檢測33-35
• 3.2.3 流特征檢測35-38
• 3.3 本章小結(jié)38-39
• 第4章 僵尸網(wǎng)絡(luò)惡意流量檢測39-48
• 4.1 端口掃描39-41
• 4.1.1 端口掃描特性分析39-40
• 4.1.2 端口掃描特征序列提取40-41
• 4.2 DDoS 攻擊41-42
• 4.2.1 DDoS 攻擊特性分析41-42
• 4.2.2 DDoS 攻擊特征序列提取42
• 4.3 檢測特征序列42-45
• 4.3.1 數(shù)據(jù)轉(zhuǎn)換43-44
• 4.3.2 CUSUM 關(guān)鍵算法44-45
• 4.4 垃圾郵件45-47
• 4.4.1 垃圾郵件特性分析45-46
• 4.4.2 垃圾郵件檢測46-47
• 4.5 本章小結(jié)47-48
• 第5章 P2P 僵尸網(wǎng)絡(luò)檢測系統(tǒng)運行結(jié)果與分析48-62
• 5.1 P2P 僵尸網(wǎng)絡(luò)檢測系統(tǒng)運行環(huán)境介紹48-49
• 5.2 LBNL- Trace 測試結(jié)果49-54
• 5.2.1 P2P 流量測試50-51
• 5.2.2 端口掃描檢測51-52
• 5.2.3 DDoS 攻擊檢測52-53
• 5.2.4 垃圾郵件檢測53-54
• 5.2.5 檢測結(jié)果54
• 5.3 實驗室數(shù)據(jù)測試結(jié)果54-60
• 5.3.1 P2P 流量過濾測試54-55
• 5.3.2 端口掃描檢測55-56
• 5.3.3 DDoS 攻擊檢測56-57
• 5.3.4 垃圾郵件檢測57-59
• 5.3.5 檢測結(jié)果59-60
• 5.4 結(jié)果分析60-61
• 5.5 本章小結(jié)61-62
• 結(jié)論62-63
• 參考文獻63-68
• 致謝68

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前9條

1 張冰;杜國琦;李靜;;僵尸網(wǎng)絡(luò)技術(shù)發(fā)展新趨勢分析[J];電信科學(xué);2011年02期

2 應(yīng)凌云;馮登國;蘇璞睿;;基于P2P的僵尸網(wǎng)絡(luò)及其防御[J];電子學(xué)報;2009年01期

3 曲勁光;;DDoS攻擊原理及抗DDoS設(shè)備的應(yīng)用[J];電信工程技術(shù)與標(biāo)準(zhǔn)化;2011年10期

4 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J];計算機學(xué)報;2009年10期

5 冉宏敏;柴勝;馮鐵;張家晨;;P2P僵尸網(wǎng)絡(luò)研究[J];計算機應(yīng)用研究;2010年10期

6 諸葛建偉;韓心慧;周勇林;葉志遠;鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報;2008年03期

7 康治平;向宏;胡海波;;Windows系統(tǒng)Rootkit隱藏技術(shù)研究與實踐[J];計算機工程與設(shè)計;2007年14期

8 涂凡;李之棠;任杰麟;;網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析方法的比較研究[J];信息安全與通信保密;2006年02期

9 杜躍進,崔翔;僵尸網(wǎng)絡(luò)及其啟發(fā)[J];中國數(shù)據(jù)通信;2005年05期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前2條

1 李潤恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2010年

2 郭睿;分布式拒絕服務(wù)攻擊防御技術(shù)研究[D];東北大學(xué);2008年

本文編號：799782