基于时空关联性的僵尸网络检测系统的研究与实现

发布时间：2017-10-09 19:45

  本文关键词：基于时空关联性的僵尸网络检测系统的研究与实现

  更多相关文章： 僵尸网络检测 加密流量识别 CC通信检测 时空关联性

【摘要】：僵尸网络是指控制者出于恶意目的使用僵尸程序感染大量网络主机并对其进行控制从而形成的一种攻击网络,它主要通过命令与控制(CC)信道进行通信。僵尸网络可以用来执行分布式拒绝服务(DDoS)攻击、发送垃圾邮件、窃取个人信息等网络恶意行为,从而给互联网安全带来了严重的威胁。随着僵尸网络技术的不断发展,新的僵尸类型及其变种屡见不鲜,僵尸网络的检测技术也在不断更新。然而时至今日,还没有一种方法能够对所有类型的僵尸网络进行检测,每种检测方法只能对部分僵尸样本或者某一个僵尸族有比较好的检测效果。但是在僵尸网络及其检测技术发展的历程中,可以看到：为了增强僵尸网络的鲁棒性和健壮性,越来越多的僵尸网络控制者倾向于使用加密的通信方式从而躲避检测；僵尸网络控制者通过CC信道向僵尸机发布命令从而对其进行控制,CC通信的检测能够很好地表征僵尸网络的存在；僵尸网络由于其群体性以及协同工作机制的存在,其内部主机产生的消息响应或行为响应具有一定的时空关联性。针对上述问题的存在,本文主要对加密流量识别、CC通信检测以及僵尸网络的时空关联性进行了研究与分析,在这些工作的基础上设计并实现了一个基于时空关联性的僵尸网络检测系统。本文的主要工作有：(1)利用流量加密前后有效负载的混乱性和随机性发生变化这一特性,提出了基于流的加密流量识别方法,使用相对熵和Monte CarloPI估计误差作为特征,与仅使用相对熵作为特征向量的方法相比,准确率较高且误报率低；(2)HTTP僵尸主机在与CC服务器进行通信时的流量属性不同于正常网络主机通信时的流量属性,在得到区分度明显的特性后,使用综合分析方法对网络通信流量进行处理,从而检测僵尸网络的CC通信；(3)对僵尸网络的时空关联性进行分析后,使用IP聚集的Bloom Filter算法和基于响应组密度的SPRT算法实现检测系统并对网络流量进行分析,判断是否有僵尸网络的存在。实验结果表明,该方法能有效地对僵尸网络进行检测,并能够将误报率和漏报率控制在一定的范围内。
【关键词】：僵尸网络检测 加密流量识别 C&C通信检测 时空关联性
【学位授予单位】：东南大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要5-6
• Abstract6-9
• 第一章 绪论9-17
• 1.1 研究背景9-10
• 1.2 国内外研究现状10-12
• 1.3 现有系统背景12-15
• 1.3.1 僵尸网络综合评价检测系统12-13
• 1.3.2 基于主动方式的僵尸网络检测系统13-14
• 1.3.3 基于关联分析的僵尸网络监测系统14-15
• 1.4 论文研究目标及内容15
• 1.5 论文组织结构15-17
• 第二章 相关知识和工作17-29
• 2.1 IP流17
• 2.2 僵尸网络17-20
• 2.2.1 僵尸网络生命周期17-18
• 2.2.2 僵尸网络主要类型18-20
• 2.3 加密流量识别20-23
• 2.3.1 数据包负载随机性检测21-22
• 2.3.2 基于有效负载的识别方法22
• 2.3.3 基于机器学习的识别方法22
• 2.3.4 混合方法22-23
• 2.4 C&C通信检测23-24
• 2.4.1 主动式C&C通信检测23-24
• 2.4.2 被动式C&C通信检测24
• 2.5 僵尸网络行为的时空关联性24-28
• 2.5.1 响应行为的时间相关性26
• 2.5.2 响应行为的空间相关性26-28
• 2.6 本章小结28-29
• 第三章 基于流的加密流量识别方法29-41
• 3.1 基于流的加密流量识别算法29-35
• 3.1.1 流的定义29
• 3.1.2 算法描述29-32
• 3.1.3 Monte Carlo PI估计误差32-33
• 3.1.4 相对熵33
• 3.1.5 特征选择33-34
• 3.1.6 缓存大小选择34
• 3.1.7 SVM算法34-35
• 3.2 实验结果与分析35-39
• 3.2.1 系统流程及功能概述35-36
• 3.2.2 数据集36-37
• 3.2.3 评估策略37
• 3.2.4 算法结果分析37-39
• 3.3 本章小结39-41
• 第四章 C&C通信检测41-55
• 4.1 僵尸网络C&C通信流量特性分析41-45
• 4.1.1 僵尸网络C&C通信流量的采集41-42
• 4.1.2 DNS流量的周期性42-44
• 4.1.3 通信数据流的规模44-45
• 4.2 基于流量特性的C&C通信检测方法45-50
• 4.2.1 检测方案概述45-46
• 4.2.2 特征码匹配46-47
• 4.2.3 DNS流量的周期性评价47-49
• 4.2.4 通信数据流的规模评价49
• 4.2.5 综合分析检测49-50
• 4.3 实验结果与分析50-53
• 4.3.1 数据集50-51
• 4.3.2 实验结果分析51-53
• 4.4 本章小结53-55
• 第五章 基于时空关联性的僵尸网络的检测55-67
• 5.1 基础算法简介55-56
• 5.1.1 Bloom Filter算法55
• 5.1.2 SPRT算法55-56
• 5.2 基于时空关联性的僵尸网络检测算法的设计56-60
• 5.2.1 IP聚集的Bloom Filter算法57-59
• 5.2.2 基于响应组密度的SPRT算法59-60
• 5.3 实验结果与分析60-66
• 5.3.1 系统模型及工作流程60-62
• 5.3.2 数据集62
• 5.3.3 算法结果分析62-66
• 5.4 本章小结66-67
• 第六章 总结与展望67-69
• 6.1 总结67-68
• 6.2 展望68-69
• 致谢69-71
• 参考文献71-73

【参考文献】

中国期刊全文数据库 前9条

1 赵博;郭虹;刘勤让;邬江兴;;基于加权累积和检验的加密流量盲识别算法[J];软件学报;2013年06期

2 徐峻岭;周毓明;陈林;徐宝文;;基于互信息的无监督特征选择[J];计算机研究与发展;2012年02期

3 李文忠;左万利;赫枫龄;;一种基于信息熵的多维流数据噪声检测算法[J];计算机科学;2012年02期

4 方滨兴;崔翔;王威;;僵尸网络综述[J];计算机研究与发展;2011年08期

5 张琛;王亮;熊文柱;;P2P僵尸网络的检测技术[J];计算机应用;2010年S1期

6 诸葛建伟;韩心慧;周勇林;叶志远;邹维;;僵尸网络研究[J];软件学报;2008年03期

7 徐燕;李锦涛;王斌;孙春明;;基于区分类别能力的高性能特征选择方法[J];软件学报;2008年01期

8 刘卫江;景泉;白磊;;利用Bloom filter实现长流识别[J];计算机应用研究;2008年01期

9 龚俭;彭艳兵;杨望;刘卫江;;基于BloomFilter的大规模异常TCP连接参数再现方法[J];软件学报;2006年03期

中国博士学位论文全文数据库 前1条

1 刘华文;基于信息熵的特征选择算法研究[D];吉林大学;2010年

中国硕士学位论文全文数据库 前1条

1 张军;基于关联分析的僵尸网络监测系统的研究与实现[D];东南大学;2015年

，

本文编号：1002089