基于HTTP协议的僵尸程序检测研究

发布时间：2019-08-14 17:12

【摘要】：近年来,随着网络的普及,网络安全也面临着越来越大的威胁,各种木马病毒层出不穷。其中,僵尸网络在分布式拒绝服务攻击(DDoS)、垃圾邮件(Spam)、网络钓鱼(phishing)、蠕虫(1worm)传播、窃取敏感信息等方面有着特有的优势,成为网络安全的重大威胁之一。据国家互联网应急中心统计,在中国大陆有近74万台主机被僵尸网络控制着。 早期的僵尸网络都是使用IRC协议来构建其控制与命令信道,但是随着研究人员对基于IRC协议的Bot认识不断深入,基于IRC协议的Bot越来越难以生存,于是黑客们开始用更加复杂的P2P协议与HTTP协议构建命令与控制信道。 基于新协议的Bot大量出现,研究新的检测技术来发现Bot的问题迫在眉睫。在检测IRC Bot中使用的终端检测、网络流量分析检测等具有良好的检测性能。本文首先学习了僵尸网络方面的相关知识,对僵尸网络有了比较全面的了解,分析了HTTP Bot的行为；然后研究了DCA算法的原理及应用；最后研究了APIHOOK技术。在对以上三种知识有了比较全面的了解后,总结前人研究Bot检测的方法,给出了一种检测HTTP Bot的方法。方法描述如下：用API HOOK工具截获系统中特定函数的调用,这些函数通常是Bot为完成其功能所必须要调用的函数。在获得了函数的调用序列后,将其映射为DCA算法的输入信号,将产生函数调用的进程PID号映射为抗原,经过DCA算法处理后得到输出数据,根据输出数据计算M(CAV值,MCAV表示抗原的异常指标,将MCAV值与异常阀值进行比较,判断抗原是否异常。在异常指标方面,引入了新的异常指标MAC,并与MCAV进行比较。 通过实验将DCA应用于HTTP Bot的检测,实验结果表明能够在感染主机上发现其异常进程,同时还表明使用异常指标MAC比使用MCAV具有更低的误报率。
【学位授予单位】：安徽理工大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【参考文献】

中国期刊全文数据库 前5条

1 陈岳兵;冯超;张权;唐朝京;;面向入侵检测的集成人工免疫系统[J];通信学报;2012年02期

2 诸葛建伟;唐勇;韩心慧;段海新;;蜜罐技术研究与应用进展[J];软件学报;2013年04期

3 陈岳兵;冯超;张权;唐朝京;;基于DCA的数据融合方法研究[J];信号处理;2011年01期

4 于晓聪;董晓梅;于戈;;基于主机行为异常的P2P僵尸网络在线检测方法[J];小型微型计算机系统;2012年01期

5 方贤进;宋丹劫;;树突细胞算法及其应用于Nmap端口扫描研究(英文)[J];中国通信;2012年03期

，

本文编号：2526690