本文關鍵詞：P2P僵尸網絡檢測技術研究

  更多相關文章： P2P僵尸網絡 P2P流量過濾 端口掃描檢測 DDoS攻擊檢測 垃圾郵件檢測

【摘要】：僵尸網絡是現(xiàn)在網絡犯罪中的一項主要技術手段。利用僵尸網絡，操控者可以獲取感染主機的相關敏感信息，也可以通過控制大量的主機，進行一些網絡惡意行為。新技術的使用使得僵尸網絡更具攻擊性和隱蔽性。特別是基于P2P通信協(xié)議的僵尸網絡的出現(xiàn)，規(guī)避了傳統(tǒng)集中式僵尸網絡單點失效的缺陷，加大了檢測的難度。 通過對P2P僵尸網絡特性分析，本文集中于兩點進行研究：P2P僵尸網絡使用P2P協(xié)議進行通信；P2P僵尸網絡在進行惡意網絡行為時，必然會表現(xiàn)出不同于正常網絡通信流的特征。 通過分析P2P協(xié)議在網絡中所呈現(xiàn)的特點，采用多重過濾的方法識別網絡中的P2P節(jié)點，通過聚類得到不同的P2P群，作為P2P僵尸網絡的初步對象。相較于神經網絡和自學習等檢測P2P流量的方法，，多重過濾法不存在訓練樣本的局限性，對P2P僵尸網絡流的通信流提取更加全面。所以本文中使用端口檢測、應用層簽名識別檢測和P2P流量特征檢測三種方法相結合進行P2P流量的檢測。 僵尸網絡存在多種惡意行為，本文中對三種主要的惡意行為進行檢測，即端口掃描、DDoS攻擊、發(fā)送垃圾郵件。對于端口掃描和DDoS攻擊，在提取出特征序列以后，使用非參數(shù)自適應CUSUM算法進行波動的檢測。對垃圾郵件，使用SMTP上下行流量比、SMTP閑置時間、主機對外連接數(shù)三種特性來檢測。最終整合P2P檢測和惡意流量檢測的結果，判斷是否存在P2P僵尸網絡。 在實驗中，對兩種數(shù)據流進行檢測，一為LBNL/ICSI Enterprise TracingProject所提供的網絡數(shù)據，一為在實驗室中布置Bot節(jié)點所獲得的網絡數(shù)據，以LBNL-Trace作為背景流量。實驗結果證明，檢測方法能夠有效的檢測出P2P僵尸網絡。
【關鍵詞】：P2P僵尸網絡 P2P流量過濾 端口掃描檢測 DDoS攻擊檢測 垃圾郵件檢測
【學位授予單位】：哈爾濱工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2012
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-8
• 第1章 緒論8-13
• 1.1 課題來源8
• 1.2 研究目的和意義8-10
• 1.3 國內外研究現(xiàn)狀10-12
• 1.4 本文研究內容及組織結構12-13
• 第2章 僵尸網絡技術研究及檢測系統(tǒng)設計13-28
• 2.1 主流僵尸網絡介紹13-20
• 2.1.1 基于 IRC 協(xié)議的僵尸網絡14-17
• 2.1.2 基于 HTTP 協(xié)議的僵尸網絡17-19
• 2.1.3 基于 P2P 協(xié)議的僵尸網絡19-20
• 2.2 僵尸網絡中新技術應用20-23
• 2.2.1 DNS 快速變遷20-22
• 2.2.2 Rootkits 隱匿技術22
• 2.2.3 小活動比例22
• 2.2.4 多態(tài)性22-23
• 2.2.5 網絡流混淆23
• 2.3 P2P 僵尸網絡檢測系統(tǒng)設計23-27
• 2.3.1 功能分析與設計24-26
• 2.3.2 檢測流程26-27
• 2.4 本章小結27-28
• 第3章 P2P 協(xié)議特性分析及檢測28-39
• 3.1 僵尸網絡中 P2P 協(xié)議分析28-32
• 3.1.1 P2P 協(xié)議簡介及發(fā)展歷史28-30
• 3.1.2 僵尸網絡中 P2P 協(xié)議特性分析30-32
• 3.2 P2P 流量檢測32-38
• 3.2.1 端口檢測32-33
• 3.2.2 應用層特征檢測33-35
• 3.2.3 流特征檢測35-38
• 3.3 本章小結38-39
• 第4章 僵尸網絡惡意流量檢測39-48
• 4.1 端口掃描39-41
• 4.1.1 端口掃描特性分析39-40
• 4.1.2 端口掃描特征序列提取40-41
• 4.2 DDoS 攻擊41-42
• 4.2.1 DDoS 攻擊特性分析41-42
• 4.2.2 DDoS 攻擊特征序列提取42
• 4.3 檢測特征序列42-45
• 4.3.1 數(shù)據轉換43-44
• 4.3.2 CUSUM 關鍵算法44-45
• 4.4 垃圾郵件45-47
• 4.4.1 垃圾郵件特性分析45-46
• 4.4.2 垃圾郵件檢測46-47
• 4.5 本章小結47-48
• 第5章 P2P 僵尸網絡檢測系統(tǒng)運行結果與分析48-62
• 5.1 P2P 僵尸網絡檢測系統(tǒng)運行環(huán)境介紹48-49
• 5.2 LBNL- Trace 測試結果49-54
• 5.2.1 P2P 流量測試50-51
• 5.2.2 端口掃描檢測51-52
• 5.2.3 DDoS 攻擊檢測52-53
• 5.2.4 垃圾郵件檢測53-54
• 5.2.5 檢測結果54
• 5.3 實驗室數(shù)據測試結果54-60
• 5.3.1 P2P 流量過濾測試54-55
• 5.3.2 端口掃描檢測55-56
• 5.3.3 DDoS 攻擊檢測56-57
• 5.3.4 垃圾郵件檢測57-59
• 5.3.5 檢測結果59-60
• 5.4 結果分析60-61
• 5.5 本章小結61-62
• 結論62-63
• 參考文獻63-68
• 致謝68

【參考文獻】

中國期刊全文數(shù)據庫 前9條

1 張冰;杜國琦;李靜;;僵尸網絡技術發(fā)展新趨勢分析[J];電信科學;2011年02期

2 應凌云;馮登國;蘇璞睿;;基于P2P的僵尸網絡及其防御[J];電子學報;2009年01期

3 曲勁光;;DDoS攻擊原理及抗DDoS設備的應用[J];電信工程技術與標準化;2011年10期

4 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網絡檢測[J];計算機學報;2009年10期

5 冉宏敏;柴勝;馮鐵;張家晨;;P2P僵尸網絡研究[J];計算機應用研究;2010年10期

6 諸葛建偉;韓心慧;周勇林;葉志遠;鄒維;;僵尸網絡研究[J];軟件學報;2008年03期

7 康治平;向宏;胡海波;;Windows系統(tǒng)Rootkit隱藏技術研究與實踐[J];計算機工程與設計;2007年14期

8 涂凡;李之棠;任杰麟;;網絡安全事件的關聯(lián)分析方法的比較研究[J];信息安全與通信保密;2006年02期

9 杜躍進,崔翔;僵尸網絡及其啟發(fā)[J];中國數(shù)據通信;2005年05期

中國博士學位論文全文數(shù)據庫 前2條

1 李潤恒;大規(guī)模網絡中僵尸網絡分析技術研究[D];國防科學技術大學;2010年

2 郭睿;分布式拒絕服務攻擊防御技術研究[D];東北大學;2008年

本文編號：799782