基于数据挖掘的僵尸网络行为学分析

发布时间：2020-05-20 16:44

【摘要】：目前以僵尸网络为载体的各种网络攻击活动是互联网所面临的最为严重的安全威胁之一。由于僵尸网络不断演化且僵尸网络行为学上的相关研究尚不完善,如何将行为学上的一些问题应用于僵尸网络研究,且将操纵者的心理结合分析僵尸网络的未来趋势等仍是一项持续而有挑战性的问题。针对以上问题,本文开展对僵尸网络行为学的分析研究。主要工作包含两个方面:在空间方面,提出基于Apriori算法的僵尸网络传播行为研究,设计四层哈希存储结构并将传播行为分为扫描行为和渗透行为。在扫描行为中,基于Apriori算法的僵尸网络控制器挖掘算法,将流数据过滤,按照扫描流模式生成模型设计实时脚印计算算法分析僵尸网络脚印增长行为;在渗透行为中,使用Apriori算法的渗透行为挖掘,分析僵尸网络指令控制行为。实验表明,上述方法能够高效工作,准确定位数据流中的僵尸网络流数据,且为行为学分析提供准确的模型图。在时间方面,提出基于ARIMA时间序列模型的僵尸网络通信活动行为研究,使用控制器归并算法和傅里叶变换将预处理过的流数据做进一步聚类,并将通信活动行为分为周期行为和隐蔽性行为。在周期行为中,使用ARIMA模型的僵尸网络通信周期挖掘算法,对僵尸网络活动做出预判;在隐蔽性行为中,通过三角拟合公式预判僵尸网络周期性传播规律,分析僵尸网络在增长情况下的隐蔽性特征。实验表明,此方法的预测模型可精准定位僵尸网络未来通信趋势,提供更准确的行为学分析方法。
【图文】：

专业学位硕士研究生学位论文 第三章 基于 Apriori 算法的僵尸网络表 3.6 僵尸网络 C&C 通信存储模型 BotIpAll 表id CncIpAll-ID Bot-IP1 1 1699560961表 3.7 僵尸网络 C&C 通信存储模型 BotFlow 表CncIpAll-ID flow1 (8465558325,1699560961,80,34983,0,0,486539264,…

图 3.7 僵尸网络域名对应 IP 统计图通过对数据集的分析发现有2,120个控制器域名和对应的 IP地址是独立的,即控制器域有一个对应 IP 地址，而 IP 地址也只有对应于一个控制器域名。作为攻击平台，僵尸网规模是重要的指标，控制器主机较少的僵尸网络，规模较小，不在本章研究范围。所以的实验数据包括 1212 个僵尸控制器域名,以及对应的控制器 IP。针对 1212 个域名，进行处理，，关联出僵尸网络 1098 个，这 1098 个僵尸网络中，僵尸网络最小的包含 1 个控制名及两个控制器 IP，最大的包含 11 个域名及 9537 个控制器 IP。僵尸网络控制器 IP 数量情况如图 3.8、表 3.11 所示。
【学位授予单位】：南京邮电大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08;TP311.13

【相似文献】

相关期刊论文 前10条

1 周翰逊;冯润泽;熊俊坤;杨阳;徐桐;李飞羽;郭薇;;主动良性僵尸网络的建模与分析[J];辽宁大学学报(自然科学版);2019年03期

2 ;新型僵尸网络扩张势不可挡 设备用户需尽快升级补丁[J];保密科学技术;2017年11期

3 胡树琪;;租售“僵尸网络”控制权行为的刑法思索[J];新闻前哨;2018年03期

4 ;专家发现新僵尸网络,能够控制路由器和摄像头[J];网络安全和信息化;2017年12期

5 周畅;黄征;;基于僵尸网络流量特征的深度学习检测[J];信息技术;2018年04期

6 吴迪;崔翔;刘奇旭;张方娇;;泛在僵尸网络发展研究[J];信息网络安全;2018年07期

7 陈瑞东;赵凌园;张小松;;基于模糊聚类的僵尸网络识别技术[J];计算机工程;2018年10期

8 云川;;利用机器学习鉴别僵尸网络面板[J];计算机与网络;2016年21期

9 刘卓军;;僵尸网络技术的挑战[J];中关村;2017年10期

10 王魁生;侯妍;;企业网的僵尸网络检测和防御[J];网络安全技术与应用;2015年11期

相关会议论文 前10条

1 刘海燕;王维锋;李永亮;;一个基于马尔可夫链的僵尸网络演化模型[A];2006年全国理论计算机科学学术年会论文集[C];2006年

2 朱敏;钟力;何金勇;李蒙;;基于主机与网络协同的僵尸网络事件验证技术[A];全国计算机安全学术交流会论文集（第二十三卷）[C];2008年

3 ;内蒙古通信管理局集中监测木马僵尸网络和移动互联网恶意程序[A];内蒙古通信（2017年第3期 第112期）[C];2017年

4 刘莹;王勇;孙强;王小亮;;基于sinkhole的僵尸网络检测技术的研究和实现[A];信息网络安全 2016增刊[C];2016年

5 蒋振超;邓永;姜青山;古亮;;一种基于两阶段字符级LSTM的僵尸网络检测方法[A];第32次全国计算机安全学术交流会论文集[C];2017年

6 李杰;;浅述物联网设备系统存在的安全风险及僵尸家电网络[A];第27次全国计算机安全学术交流会论文集[C];2012年

7 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年

8 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

10 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

相关重要报纸文章 前10条

1 实习记者 于紫月;僵尸网络横行，“豌豆射手”难觅[N];科技日报;2020年

2 Maria Korolov 编译 Charles;我们为何无法彻底清除僵尸网络？[N];计算机世界;2019年

3 安峥 编译;可能改变世界的十大突破性科技[N];解放日报;2017年

4 光明网记者 李政葳;亡羊补牢和体系规划应并行[N];光明日报;2017年

5 本报记者 赵明;“永恒之蓝”漏洞引发僵尸网络“挖矿”[N];中国计算机报;2017年

6 Check Point中国区大客户部总监 李若怡;传统僵尸网络防护手段已失效[N];中国计算机报;2012年

7 李若怡;信息官大战僵尸网络[N];人民邮电;2012年

8 李明;僵尸网络的演变与防御[N];人民邮电;2010年

9 斯蒂芬·加迪 美国东西文化研究中心研究员 本报特约编译 柴志廷;世界最大僵尸网络或藏非洲[N];世界报;2010年

10 柴志彬　编译;别让僵尸网住你[N];计算机世界;2010年

相关博士学位论文 前10条

1 卢嘉中;基于全网流量与日志深度分析的APT攻击建模与检测技术[D];电子科技大学;2019年

2 李可;基于行为分析的僵尸网络对抗技术研究[D];北京邮电大学;2017年

3 何杰;基于网络流量的P2P僵尸网络实时检测技术研究[D];国防科学技术大学;2015年

4 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年

5 耿贵宁;移动僵尸网络安全分析关键技术研究[D];北京邮电大学;2012年

6 TRUONG DINH TU;[D];东南大学;2015年

7 李雪峰;P2P僵尸网络体系结构研究[D];清华大学;2011年

8 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年

9 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年

10 于晓聪;基于网络流量分析的僵尸网络在线检测技术的研究[D];东北大学;2011年

相关硕士学位论文 前10条

1 张正平;周期性网络流量的特性与应用研究[D];南京航空航天大学;2019年

2 李雪妍;基于信誉评分算法的僵尸网络自动化检测技术研究[D];南京邮电大学;2019年

3 姚橹;基于数据挖掘的僵尸网络行为学分析[D];南京邮电大学;2019年

4 尚瑶瑶;基于网络流量统计特征与图分析的僵尸网络检测方法研究[D];北京交通大学;2019年

5 王洋;基于网络流量行为分析的僵尸网络检测和追踪方法研究[D];北京交通大学;2019年

6 周畅;基于深度学习的Web威胁情报挖掘算法研究[D];上海交通大学;2018年

7 钱R

本文编号：2672907