基于流相似性的两阶段P2P僵尸网络检测方法

发布时间：2018-05-20 12:40

  本文选题：僵尸网络检测 + 会话特征　； 参考：《电子科技大学学报》2017年06期

【摘要】：僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。
[Abstract]:Botnet has become one of the main threats to network security by using traditional malicious programs such as worms Trojans and rootkit to carry out distributed denial of service attacks send phishing links and provide malicious services. Since the typical characteristics of P2P botnets are decentralization and distribution, it is more difficult to detect botnets than IRCS-HTTP botnets. To solve this problem, a two-stage traffic classification method is proposed to detect P2P botnets. Firstly, the non-P2P traffic in network traffic is filtered according to the DNS query, flow count and port judgment of well-known port, and the session feature is extracted based on data flow characteristics and flow similarity. Finally, a random forest algorithm based on decision tree model is used to detect P2P botnet. The UNB ISCX botnet data set is used to verify the method. The experimental results show that the two-stage detection method is more accurate than the traditional P2P botnet detection method.
【作者单位】： 电子科技大学网络空间安全研究中心;电子科技大学计算机科学与工程学院;
【基金】：国家自然科学基金(61572115,61502086,61402080) 四川省重大基础研究课题(2016JY0007)
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 杜跃进;“僵尸网络”是这样破壳而出的[J];中国计算机用户;2005年32期

2 陈明奇,崔翔;“僵尸网络”的威胁及应对策略[J];信息网络安全;2005年05期

3 ;TrustedSource 3.0摧毁僵尸网络[J];信息安全与通信保密;2005年04期

4 范春风;;浅析“僵尸网络”[J];大学时代论坛;2006年02期

5 刘冬梅;;跟踪僵尸网络[J];信息技术与信息化;2006年06期

6 张辉;;僵尸网络的发现与追踪[J];电脑知识与技术(学术交流);2007年19期

7 韩心慧;郭晋鹏;周勇林;诸葛建伟;邹维;;僵尸网络活动调查分析[J];通信学报;2007年12期

8 纵鑫;李玉德;;“僵尸网络”的危害、特点及新型控制方式[J];法制与社会;2008年36期

9 诸葛建伟;韩心慧;周勇林;叶志远;邹维;;僵尸网络研究[J];软件学报;2008年03期

10 蔡慧梅;;僵尸网络的研究与发现[J];计算机安全;2008年04期

相关会议论文 前10条

1 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

2 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

3 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

4 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

5 刘海燕;王维锋;李永亮;;一个基于马尔可夫链的僵尸网络演化模型[A];2006年全国理论计算机科学学术年会论文集[C];2006年

6 季大臣;刘向东;;Botnet网络组织机制研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

7 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年

8 朱敏;钟力;何金勇;李蒙;;基于主机与网络协同的僵尸网络事件验证技术[A];全国计算机安全学术交流会论文集（第二十三卷）[C];2008年

9 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年

10 刘威;;DNS放大攻击的研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

相关重要报纸文章 前10条

1 ;僵尸网络成罪恶之源[N];网络世界;2007年

2 李若怡;信息官大战僵尸网络[N];人民邮电;2012年

3 FortiGuard 威胁研究与响应实验室;多重感染帮助僵尸网络深层攫利[N];网络世界;2013年

4 陈翔;僵尸网络也可以租赁[N];中国计算机报;2005年

5 ;警惕僵尸网络“还魂”[N];计算机世界;2005年

6 本报记者 张琳;刺向僵尸网络的剑[N];网络世界;2005年

7 朱杰;僵尸网络：上演真实的黑客帝国[N];中国计算机报;2006年

8 文东;打击僵尸网络,真的晚矣？[N];中国计算机报;2006年

9 王东岗 作者系山西省专用通信局运行维护处;僵尸网络的发现与控制[N];科学导报;2006年

10 ;僵尸网络：威胁互联网的黑色平台[N];人民邮电;2008年

相关博士学位论文 前10条

1 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年

2 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年

3 TRUONG DINH TU;[D];东南大学;2015年

4 何杰;基于网络流量的P2P僵尸网络实时检测技术研究[D];国防科学技术大学;2015年

5 王威;僵尸网络对抗技术研究[D];哈尔滨工业大学;2010年

6 李润恒;大规模网络中僵尸网络分析技术研究[D];国防科学技术大学;2010年

7 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年

8 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年

9 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

10 于晓聪;基于网络流量分析的僵尸网络在线检测技术的研究[D];东北大学;2011年

相关硕士学位论文 前10条

1 刘彬斌;一种僵尸网络的拓扑分析及反制算法研究[D];电子科技大学;2009年

2 糜利敏;僵尸网络建模研究[D];吉林大学;2010年

3 李乔;可控僵尸网络系统设计与实现[D];哈尔滨工业大学;2009年

4 李跃;面向移动网络的僵尸网络关键技术研究[D];西南交通大学;2013年

5 刘兴龙;应用于互联网攻防测试平台的僵尸网络设计与实现[D];哈尔滨工业大学;2012年

6 邢丽;基于支持向量机的僵尸网络检测方法的研究[D];大连海事大学;2015年

7 席瑞;基于相似性分析的僵尸网络检测研究与实现[D];电子科技大学;2014年

8 张可;基于BP神经网络的僵尸网络检测技术研究[D];电子科技大学;2014年

9 周琦;基于ESM模型的P2P僵尸网络检测方法研究[D];兰州大学;2015年

10 谢舜;基于流量分析的僵尸网络检测技术研究[D];西安电子科技大学;2014年

，

本文编号：1914656