本文關(guān)鍵詞：基于流量分析的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究與實(shí)現(xiàn)

  更多相關(guān)文章： 僵尸網(wǎng)絡(luò) 流量分析 時(shí)空相關(guān)性

【摘要】：從采用IRC協(xié)議的“egg drop bot”到高度模塊化的AgoBot,僵尸程序從最初的網(wǎng)絡(luò)聊天室輔助軟件,逐漸成為威脅網(wǎng)絡(luò)安全的主流惡意軟件之一。在僵尸網(wǎng)絡(luò)的攻防博弈中,IRC協(xié)議被HTTP、P2P等協(xié)議取代,并利用fast-flux,Domain-flux,URL-flux等技術(shù)加強(qiáng)僵尸網(wǎng)絡(luò)通信的隱蔽性。同時(shí),僵尸網(wǎng)絡(luò)也摒棄了傳統(tǒng)的中心式CC(Command and Control)信道結(jié)構(gòu),采用了更加靈活和健壯的分布式CC信道結(jié)構(gòu)。異常分析、DNS流量檢測(cè)及流量聚類(lèi)檢測(cè)等僵尸網(wǎng)絡(luò)檢測(cè)手段是當(dāng)前較為常見(jiàn)的檢測(cè)手段。然而,這些檢測(cè)手段存在部署困難、難以應(yīng)用于分布式僵尸網(wǎng)絡(luò)的檢測(cè)等缺點(diǎn)。為了有效的對(duì)分布式僵尸網(wǎng)絡(luò)進(jìn)行檢測(cè),論文對(duì)分布式僵尸網(wǎng)絡(luò)的生命周期、組成要素等重要特征進(jìn)行了分析研究,發(fā)現(xiàn)分布式僵尸網(wǎng)絡(luò)中的節(jié)點(diǎn)之間的通信數(shù)據(jù)包具有時(shí)空相關(guān)性。而這種相關(guān)性可以采用流量分析技術(shù)進(jìn)行檢測(cè),論文將時(shí)空相關(guān)性這一檢測(cè)點(diǎn)與流量分析技術(shù)相結(jié)合,設(shè)計(jì)并實(shí)現(xiàn)了基于時(shí)空相關(guān)性的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng),該檢測(cè)系統(tǒng)通過(guò)分析被檢測(cè)網(wǎng)絡(luò)中的通信流量,最終得出檢測(cè)結(jié)果。該檢測(cè)系統(tǒng)由數(shù)據(jù)包聚合模塊、時(shí)空相關(guān)關(guān)系獲取模塊及僵尸主機(jī)檢測(cè)模塊構(gòu)成。數(shù)據(jù)包聚合模塊首先抓取原始的網(wǎng)絡(luò)數(shù)據(jù)包,然后按照數(shù)據(jù)包之間的時(shí)空相關(guān)性將原始數(shù)據(jù)包進(jìn)行聚合。時(shí)空相關(guān)關(guān)系獲取模塊負(fù)責(zé)對(duì)滿足時(shí)間間隔閾值和出現(xiàn)次數(shù)閾值的可信二層相關(guān)關(guān)系進(jìn)行提取,然后在此基礎(chǔ)上,進(jìn)行多層相關(guān)關(guān)系的獲取。僵尸網(wǎng)絡(luò)檢測(cè)模塊采用層次聚類(lèi)算法,將小于距離閾值的主機(jī)節(jié)點(diǎn)聚合為一個(gè)簇,直到簇的數(shù)目不再發(fā)生變化,從而完成最終的檢測(cè),找出可能的僵尸主機(jī)。為了驗(yàn)證該檢測(cè)系統(tǒng),論文設(shè)計(jì)了測(cè)試方案,并在實(shí)驗(yàn)室搭建了測(cè)試環(huán)境,進(jìn)行了驗(yàn)證。實(shí)驗(yàn)結(jié)果表明,論文所實(shí)現(xiàn)的檢測(cè)系統(tǒng)能夠有效的檢測(cè)分布式僵尸網(wǎng)絡(luò)。
【關(guān)鍵詞】：僵尸網(wǎng)絡(luò) 流量分析 時(shí)空相關(guān)性
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• ABSTRACT6-9
• 第一章 緒論9-16
• 1.1 研究的背景與意義9-10
• 1.2 研究現(xiàn)狀10-14
• 1.3 研究?jī)?nèi)容14-15
• 1.4 本論文的結(jié)構(gòu)安排15-16
• 第二章 僵尸網(wǎng)絡(luò)特征解析16-33
• 2.1 僵尸網(wǎng)絡(luò)的發(fā)展和分類(lèi)16-20
• 2.2 僵尸網(wǎng)絡(luò)基本要素20-25
• 2.3 僵尸網(wǎng)絡(luò)生命周期分析25-29
• 2.4 基于僵尸網(wǎng)絡(luò)特征的檢測(cè)技術(shù)29-32
• 2.5 本章小結(jié)32-33
• 第三章 基于時(shí)空相關(guān)關(guān)系的檢測(cè)模型設(shè)計(jì)33-44
• 3.1 分布式僵尸網(wǎng)絡(luò)檢測(cè)概述33-34
• 3.2 分布式僵尸網(wǎng)絡(luò)的時(shí)空相關(guān)關(guān)系34-36
• 3.3 基于時(shí)空相關(guān)關(guān)系的檢測(cè)框架36-43
• 3.3.1 數(shù)據(jù)包聚合38-39
• 3.3.2 時(shí)空相關(guān)關(guān)系獲取39-41
• 3.3.3 檢測(cè)41-43
• 3.4 本章小結(jié)43-44
• 第四章 檢測(cè)模型的實(shí)現(xiàn)44-58
• 4.1 數(shù)據(jù)包聚合模塊的實(shí)現(xiàn)44-50
• 4.1.1 原始數(shù)據(jù)包獲取44-48
• 4.1.2 數(shù)據(jù)包聚合48-49
• 4.1.3 數(shù)據(jù)包過(guò)濾49-50
• 4.2 時(shí)空相關(guān)關(guān)系獲得模塊的實(shí)現(xiàn)50-54
• 4.2.1 二層時(shí)空相關(guān)關(guān)系獲取51-52
• 4.2.2 多層時(shí)空相關(guān)關(guān)系提取52-54
• 4.3 僵尸網(wǎng)絡(luò)檢測(cè)模塊的實(shí)現(xiàn)54-57
• 4.4 本章小結(jié)57-58
• 第五章 檢測(cè)模型測(cè)試與分析58-74
• 5.1 實(shí)驗(yàn)環(huán)境部署58-61
• 5.1.1 實(shí)驗(yàn)環(huán)境拓?fù)?/span>58-59
• 5.1.2 實(shí)驗(yàn)環(huán)境配置59-61
• 5.2 實(shí)驗(yàn)場(chǎng)景61-66
• 5.3 實(shí)驗(yàn)結(jié)果分析66-70
• 5.4 檢測(cè)框架評(píng)估70-71
• 5.5 僵尸網(wǎng)絡(luò)預(yù)防措施71-72
• 5.6 本章小結(jié)72-74
• 第六章 全文總結(jié)與展望74-76
• 6.1 全文總結(jié)74-75
• 6.2 后續(xù)工作展望75-76
• 致謝76-77
• 參考文獻(xiàn)77-80
• 在學(xué)期間取得的與學(xué)位論文相關(guān)的研究成果80-81

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前3條

1 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計(jì)算機(jī)研究與發(fā)展;2011年08期

2 柴勝;胡亮;梁波;;一種p2p Botnet在線檢測(cè)方法研究[J];電子學(xué)報(bào);2011年04期

3 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報(bào);2008年03期

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前1條

1 王威;僵尸網(wǎng)絡(luò)對(duì)抗技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2010年

，

本文編號(hào)：935685