基于多维信息散度的僵尸网络快速检测方法

发布时间：2020-01-23 18:55

【摘要】：提出了一种基于多维度信息散度的僵尸网络快速检测方法.首先将网络流量中多个流量属性的概率分布按时间序列表征为多维信息散度向量,然后建立自回归滑动平均(ARMA)模型以检测该向量是否异常,藉此判断网络流量中是否含有僵尸网络CC(命令与控制)流量.实验表明:该方法不依赖先验知识,能高效准确地检测出网络流量中是否含有僵尸网络CC流量,具有很好的通用性、实时性以及较低的误检率.
【图文】：

Ｐｏｒｔ（２，，２）－０．３６０１，－０．６０２１－０．３７５６，－０．６２４４ＤｓｔＰｏｒｔ（３，３）－０．４３８２，０．５５１２，０．３６３５－０．２８８４，０．４１５４，０．６３９９式（２）和（３）中的惩罚因子Ｃ和遗忘因子λ决定异常检测的灵敏度，并影响僵尸网络检测的误报率与漏报率．本文实验中选取λ为０．０１１［１４］；Ｃ的选取基于最大限度地提高检测率（γＤＲ），并尽量降低误检率（γＥＲ）．由图２可见：基于ＰｋｔＬｅｎ（数据包长度），ＳｒｃＩＰ（源ＩＰ地址）和ＳｒｃＰｏｒｔ（源端口）属性的检测率变化不大，基于ＤｓｔＩＰ（目的ＩＰ地址）和ＤｓｔＰｏｒｔ（目的端口）属性的检测率在［－１，１］区间缓慢下降；误检率总体上呈下降趋势，至Ｃ＝０．３左右后趋于平缓．因此综合考虑选取Ｃ＝０．３．１—ＰｋｔＬｅｎ；２—ＳｒｃＩＰ；３—ＤｓｔＩＰ；４—ＳｒｃＰｏｒｔ；５—ＤｓｔＰｏｒｔ．图２惩罚因子对检测率与误检率的影响２．３检测结果分析为了验证本文方法检测僵尸网络的准确性，将９组僵尸网络Ｃ＆Ｃ流量随机注入到正常网络流量中的９个时间段内作为实验数据．为了实验方便，首先将上述１０组流量数据转化为各属性的分布向量，随后将９组Ｃ＆Ｃ流量的分布向量随机地加到背景流量中的９个时间段的分布向量上，这样就可以节省大量的数据包读取与分布向量计算操作．以Ｍａｔｌａｂ为实验工具，按照１．３节所述方法进行僵尸网络Ｃ＆Ｃ流量检测，实验１００次

【相似文献】

相关期刊论文 前10条

1 谢开斌;蔡皖东;蔡俊朝;;基于决策树的僵尸流量检测方法研究[J];信息安全与通信保密;2008年03期

2 沈利香;;僵尸网络传播模式分析和防治对策[J];常州工学院学报;2008年06期

3 徐原;;恶意代码数量激增 警惕其传播扩散[J];信息网络安全;2009年03期

4 蔡彬彬;赵巍;;国际互联网安全的重要威胁之一:僵尸网络[J];科技信息;2010年03期

5 蔡敏;;僵尸网络流的识别[J];信息网络安全;2010年04期

6 王明华;;网络安全波澜不惊[J];信息网络安全;2010年04期

7 于晓聪;董晓梅;于戈;秦玉海;;僵尸网络在线检测技术研究[J];武汉大学学报(信息科学版);2010年05期

8 朱帆;;僵尸网络检测和防范研究[J];现代商贸工业;2010年12期

9 张洁;;基于P2P的僵尸网络的检测技术[J];商场现代化;2011年03期

10 李基初;唐俊;;基于多智能体社会的僵尸网络协同防御模型[J];微电子学与计算机;2011年03期

相关会议论文 前9条

1 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年

2 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年

3 刘威;;DNS放大攻击的研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

4 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

5 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

6 金双民;段海新;郑辉;;IRC僵尸网络控制端识别系统的设计与实现[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

7 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

8 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 季大臣;刘向东;;Botnet网络组织机制研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

相关博士学位论文 前5条

1 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年

2 胡俊;在线社会网络上SPAM行为检测方法研究[D];华中科技大学;2011年

3 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

4 余俊丰;Web程序与数据安全研究[D];华中科技大学;2011年

5 高见;基于P2P的僵尸网络及关键技术研究[D];北京邮电大学;2011年

相关硕士学位论文 前10条

1 刘坛首;僵尸网络攻击模拟平台的研究与实现[D];西南交通大学;2014年

2 陈曦;微博社交僵尸的设计与实现[D];吉林大学;2014年

3 陈兆冲;僵尸工具类恶意代码的检测研究[D];电子科技大学;2009年

4 吴玲;蠕虫型僵尸工具的传播模型及检测技术研究[D];电子科技大学;2008年

5 满萍;受控僵尸网络攻击实验平台的研究与实现[D];北京邮电大学;2009年

6 李金良;僵尸网络及其防御研究[D];曲阜师范大学;2007年

7 姜一川;低交互恶意软件捕获技术的研究[D];复旦大学;2008年

8 刘彬斌;一种僵尸网络的拓扑分析及反制算法研究[D];电子科技大学;2009年

9 吴海飞;基于异常检测方法检测僵尸网络的研究[D];长春工业大学;2012年

10 刘资茂;Fast-flux僵尸检测方法研究与系统实现[D];华中科技大学;2013年

本文编号：2572376