一种关联网络和主机行为的延迟僵尸检测方法

发布时间：2018-03-01 13:16

  本文关键词： 僵尸检测 延迟僵尸 滑动时间窗口 关联引擎 僵尸网络　出处：《计算机学报》2014年01期 　论文类型：期刊论文

【摘要】：僵尸网络对现有计算机网络安全构成了巨大的威胁.新型僵尸经常采用隐蔽技术躲避安全系统的检测.采用延迟响应手段的僵尸在网络活动和主机行为之间插入随机时间的延迟,迷惑现有使用关联的检测方法.针对延迟僵尸的网络活动和主机行为,提出了一个新的关联检测方法.针对延迟僵尸的网络活动和主机行为可能分散在不同时间窗口的问题,使用滑动时间窗口迭代算法,提高了检测准确率.针对单纯主机检测方法需要全局部署问题,使用推荐算法关联网络和主机行为,提高了检测的健壮性和准确率.分析了滑动时间窗口大小和主机检测工具部署率对检测准确率的影响.实验结果表明,方法能有效检测延迟僵尸,当网络中主机检测工具的部署率达到80%时,包括未部署检测工具的主机在内,准确率约为88%.
[Abstract]:Botnets pose a great threat to the security of existing computer networks. New botnets often use covert techniques to avoid detection of security systems. Zombies using delayed response methods plug in between network activity and host behavior. The delay in random time, This paper proposes a new association detection method for the network activity and host behavior of the deferred zombies, aiming at the problem that the network activity and host behavior of the delayed zombies may be scattered in different time windows. The sliding time window iteration algorithm is used to improve the detection accuracy. To solve the problem of global deployment of the simple host detection method, the recommendation algorithm is used to correlate the network and host behavior. The influence of the size of sliding time window and the deployment rate of host detection tools on the detection accuracy is analyzed. The experimental results show that the method can effectively detect delayed zombies. When the deployment rate of the host detection tool in the network reaches 80%, including the host that does not deploy the detection tool, the accuracy is about 88%.
【作者单位】： 吉林大学计算机科学与技术学院;符号计算与知识工程教育部重点实验室(吉林大学);
【基金】：国家自然科学基金(61170265) 吉林大学基本科研业务费项目(201003035,201103253)资助~~
【分类号】：TP393.08

【共引文献】

中国期刊全文数据库 前3条

1 韩兰胜;高昆仑;赵保华;赵东艳;王于波;金文德;;基于API函数及其参数相结合的恶意软件行为检测[J];计算机应用研究;2013年11期

2 陈炎明;李旺林;陈希;关静雅;;基于执行路径的嵌入式计量软件后门检测[J];湖北工业大学学报;2014年01期

3 朱克楠;尹宝林;冒亚明;胡英男;;基于有效窗口和朴素贝叶斯的恶意代码分类[J];计算机研究与发展;2014年02期

【相似文献】

中国期刊全文数据库 前10条

1 陈明奇;崔翔;;电信网络的新威胁——“僵尸网络”及其生命周期的研究[J];电信科学;2006年02期

2 谢开斌;蔡皖东;蔡俊朝;;基于决策树的僵尸流量检测方法研究[J];信息安全与通信保密;2008年03期

3 蔡隽;童峥嵘;;基于IRC协议的僵尸网络及检测方案的研究[J];中原工学院学报;2008年01期

4 纵鑫;李玉德;;“僵尸网络”的危害、特点及新型控制方式[J];法制与社会;2008年36期

5 沈利香;;僵尸网络传播模式分析和防治对策[J];常州工学院学报;2008年06期

6 陈琳羽;;浅析信息网络安全威胁[J];办公自动化;2009年02期

7 杨婧;张凤斌;;服务器漫游防御DDoS攻击研究[J];计算机安全;2009年02期

8 徐原;;恶意代码数量激增 警惕其传播扩散[J];信息网络安全;2009年03期

9 刘洋;;基于分布式计算平台构建僵尸网络参考方案及可行性分析[J];河南科学;2009年11期

10 王海龙;胡宁;龚正虎;;Bot_CODA:僵尸网络协同检测体系结构[J];通信学报;2009年S1期

中国重要会议论文全文数据库 前10条

1 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年

2 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年

3 刘威;;DNS放大攻击的研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

4 李毅;顾健;;反垃圾邮件产品检测技术研究及检测工具开发[A];第二十次全国计算机安全学术交流会论文集[C];2005年

5 蒋硕;余朝辉;吴昌琦;;DB压接头带线检测工具[A];四川省电子学会生产技术专委会先进制造技术成果交流会论文集[C];2005年

6 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

7 张镭;李悟;李剑颖;谢强;翟仁友;;一种颅内血肿自动容积检测工具的初步临床评价[A];中华医学会第十三届全国放射学大会论文汇编（下册）[C];2006年

8 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

9 金双民;段海新;郑辉;;IRC僵尸网络控制端识别系统的设计与实现[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

10 伏利芝;;如何自行检测数控机床精度[A];第十届粤港机电工程技术与应用研讨会暨梁天培教授纪念会文集[C];2008年

中国重要报纸全文数据库 前10条

1 江苏 曾庆祝;电子邮件检测工具大放送[N];电脑报;2001年

2 吴志军邋郝成涛;“军事群体心理应激预警检测工具”问世[N];解放军报;2008年

3 四维工作室;电子邮件检测工具大集合[N];电脑报;2001年

4 记者 胡晓峰;易高推出PSPC专用检测套装[N];中国船舶报;2008年

5 乐天邋编译;Linux能够补上技术缺口吗？[N];计算机世界;2007年

6 李晓蕾;二手家电被“马路收购队”垄断[N];中国经营报;2006年

7 李晓蕾;“马路收购队”把控二手家电部分市场[N];中国高新技术产业导报;2006年

8 编译 皙子;药物滥用检测工具面世[N];医药经济报;2009年

9 编译 沈建苗;尝试清除Rootkit[N];计算机世界;2006年

10 记者 顾钢;德实现空中检测天然气管线[N];科技日报;2007年

中国博士学位论文全文数据库 前10条

1 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

2 史文明;无线传感器网络中面向取证的安全方法研究[D];武汉大学;2013年

3 陈辉;数据流频繁模式挖掘及数据预测算法研究[D];华中科技大学;2008年

4 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年

5 万良;基于行为时序逻辑TLA的系统、规则与协议检测的研究[D];贵州大学;2009年

6 胡俊;在线社会网络上SPAM行为检测方法研究[D];华中科技大学;2011年

7 骆翔宇;多智能体系统的符号模型检测[D];中山大学;2006年

8 门鹏;基于Petri网的Web服务组合相关技术研究[D];西安电子科技大学;2009年

9 余俊丰;Web程序与数据安全研究[D];华中科技大学;2011年

10 高见;基于P2P的僵尸网络及关键技术研究[D];北京邮电大学;2011年

中国硕士学位论文全文数据库 前10条

1 孟照国;一种基于流分析的源码检测工具[D];吉林大学;2012年

2 姚欲东;基于SaaS模式的Web安全集群检测工具的需求分析与架构设计[D];北京邮电大学;2012年

3 杨先强;针对云计算IaaS层的高危安全漏洞检测工具的设计与实现[D];北京邮电大学;2013年

4 张志超;基于主机标识的多路径TCP设计与实现[D];清华大学;2012年

5 成淑萍;基于网络流量的僵尸网络动态检测平台的研究[D];四川师范大学;2013年

6 姜学哲;基于规则的代码检测工具的实现[D];吉林大学;2005年

7 郭军;基于OSSIM技术的信息安全集成管理系统分析与设计[D];合肥工业大学;2009年

8 陈兆冲;僵尸工具类恶意代码的检测研究[D];电子科技大学;2009年

9 李金良;僵尸网络及其防御研究[D];曲阜师范大学;2007年

10 吴玲;蠕虫型僵尸工具的传播模型及检测技术研究[D];电子科技大学;2008年

，

本文编号：1552096