基于网络流量的Fast-Flux僵尸网络检测方法研究

发布时间：2020-11-21 00:13

　　 Fast-Flux技术利用快速变换域名相关IP地址的机制提高了攻击者被追踪溯源的难度。因此,攻击者也越来越倾向于将Fast-Flux技术应用到僵尸网络当中,以逃避安全研究人员的追踪和检测。如何有效检测Fast-Flux僵尸网络成为当前网络安全领域研究的热点问题。现有的检测方法大都集中在流量分析上,虽然可以在一定程度上识别Fast-Flux僵尸网络,但是存在较高的误报率和漏报率,且验证环境局限于离线环境。所以,如何在真实的高速网络环境下实现Fast-Flux僵尸网络的有效检测是亟待解决的难题。针对上述问题,本文通过深入分析Fast-Flux僵尸网络的基本原理和网络拓扑结构,并在此基础上,进一步研究现有Fast-Flux僵尸网络的相关学术成果,提出了两阶段Fast-Flux僵尸网络检测方案。该方案主要包括两种方法:基于实时特征的可疑Fast-Flux流量过滤和基于混合关联的Fast-Flux僵尸网络检测。基于实时特征的可疑Fast-Flux流量过滤方法主要是通过DNS协议、黑白名单和Fast-Flux僵尸网络实时特征三种过滤手段筛选出可疑的Fast-Flux流量。该方法缩减了系统所需处理的总数据流量,降低了不相关数据对算法的干扰,进而提高了系统的检测性能和效率。已有的Fast-Flux僵尸网络检测特征大都集中于局部特征,本文依据二部图思想,通过分析域名与IP地址之间的全局关联关系,结合现有基于时间的检测方法的优势,提出了基于混合关联的Fast-Flux僵尸网络检测方法,增加了Fast-Flux僵尸网络特征向量的维度。该方法根据提取的特征向量,首次将具有检测速度快和检测精度高的XGBoost机器学习算法应用到Fast-Flux僵尸网络检测中,进一步提高检测精度。此外,本方法还能有效识别处于构建或者消亡状态的Fast-Flux域名。最后,本文用公开的ISOT僵尸网络数据集进行测试,实验结果表明本文所提出的方法具有较高的检测效率和准确率。同时,针对高速网络中流量捕获和解析的难点,结合论文中提出的两种方法,设计并实现了适用于高速网络环境的Fast-Flux僵尸网络检测原型系统。实际在线网络流量评估结果表明,该原型系统可以很好的满足高速网络下Fast-Flux僵尸网络的检测需求。提出的检测方法和实现的检测系统为现有高速网络环境下Fast-Flux僵尸网络的检测提供了有力的支持。
【学位单位】：电子科技大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP393.08
【文章目录】：
摘要
abstract
第一章 绪论
    1.1 研究背景及意义
    1.2 国内外研究现状
    1.3 本文主要研究内容
    1.4 本文的组织结构
    1.5 本章小结
第二章 Fast-Flux僵尸网络相关内容研究
    2.1 僵尸网络概述
        2.1.1 僵尸网络的定义
        2.1.2 僵尸网络的结构
        2.1.3 僵尸网络的生命周期
    2.2 Fast-Flux僵尸网络研究
        2.2.1 DNS技术概述
        2.2.2 Fast-Flux技术概述
        2.2.3 Fast-Flux僵尸网络的种类
    2.3 本章小结
第三章 基于DNS流量的Fast-Flux僵尸网络检测方法研究
    3.1 检测方法整体流程
    3.2 基于实时特征的可疑Fast-Flux流量过滤方法设计
        3.2.1 过滤方法整体设计
        3.2.2 基于黑/白名单的过滤方法
        3.2.3 基于实时特征的过滤方法
    3.3 基于混合关联的Fast-Flux僵尸网络检测方法设计
        3.3.1 检测方法整体设计
        3.3.2 基于全局关联的特征提取方法
        3.3.3 基于时间的局部特征提取方法
        3.3.4 XGBoost检测方法
    3.4 本章小结
第四章 高速网络下Fast-Flux僵尸网络检测原型系统的实现
    4.1 系统设计目标
        4.1.1 系统设计难点
        4.1.2 系统目标
    4.2 网络部署
    4.3 系统架构设计
    4.4 系统模块设计与实现
        4.4.1 网络数据流量采集模块设计与实现
        4.4.2 数据预处理模块设计与实现
        4.4.3 数据过滤模块设计与实现
        4.4.4 特征提取模块设计与实现
        4.4.5 Fast-Flux僵尸网络检测模块设计与实现
    4.5 本章小结
第五章 算法评估与系统测试
    5.1 实验环境
    5.2 实验数据集
    5.3 可疑Fast-Flux流量过滤方法实验与分析
    5.4 基于混合关联的Fast-Flux僵尸网络检测方法实验与分析
    5.5 系统在线测试
        5.5.1 数据采集模块测试
        5.5.2 数据预处理和过滤模块测试
        5.5.3 在线检测结果测试
    5.6 本章小结
第六章 总结与展望
    6.1 工作总结
    6.2 工作展望
致谢
参考文献
攻读硕士学位期间取得的成果

【相似文献】

相关期刊论文 前10条

1 ;新型僵尸网络扩张势不可挡 设备用户需尽快升级补丁[J];保密科学技术;2017年11期

2 胡树琪;;租售“僵尸网络”控制权行为的刑法思索[J];新闻前哨;2018年03期

3 ;专家发现新僵尸网络,能够控制路由器和摄像头[J];网络安全和信息化;2017年12期

4 周畅;黄征;;基于僵尸网络流量特征的深度学习检测[J];信息技术;2018年04期

5 吴迪;崔翔;刘奇旭;张方娇;;泛在僵尸网络发展研究[J];信息网络安全;2018年07期

6 陈瑞东;赵凌园;张小松;;基于模糊聚类的僵尸网络识别技术[J];计算机工程;2018年10期

7 云川;;利用机器学习鉴别僵尸网络面板[J];计算机与网络;2016年21期

8 刘卓军;;僵尸网络技术的挑战[J];中关村;2017年10期

9 王魁生;侯妍;;企业网的僵尸网络检测和防御[J];网络安全技术与应用;2015年11期

10 陈伟;周诗文;殷承宇;;流量自适应的移动僵尸网络云控机制研究[J];通信学报;2014年11期

相关博士学位论文 前10条

1 李可;基于行为分析的僵尸网络对抗技术研究[D];北京邮电大学;2017年

2 何杰;基于网络流量的P2P僵尸网络实时检测技术研究[D];国防科学技术大学;2015年

3 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年

4 耿贵宁;移动僵尸网络安全分析关键技术研究[D];北京邮电大学;2012年

5 TRUONG DINH TU;[D];东南大学;2015年

6 李雪峰;P2P僵尸网络体系结构研究[D];清华大学;2011年

7 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年

8 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年

9 于晓聪;基于网络流量分析的僵尸网络在线检测技术的研究[D];东北大学;2011年

10 王一川;云环境下DoS攻防理论与技术研究[D];西安电子科技大学;2014年

相关硕士学位论文 前10条

1 崔卓群;基于数据挖掘的僵尸主机检测的研究与实现[D];北京邮电大学;2018年

2 王鹏飞;基于周期性通讯行为的P2P僵尸网络检测[D];山东大学;2018年

3 袁辰;基于对抗模型的恶意域名检测方法的研究与实现[D];北京建筑大学;2018年

4 陈松健;移动僵尸网络的命令与控制信息隐匿技术研究[D];南京邮电大学;2018年

5 Asante Isaac Osei;对银行系统的案例研究—加纳GCB银行攻击[D];华中师范大学;2018年

6 周亚胜;基于行为分析的僵尸网络画像技术研究[D];西安电子科技大学;2018年

7 胡渊博;基于多特征的SMS僵尸网络检测技术研究[D];西安电子科技大学;2018年

8 路一鸣;基于移动平台僵尸网络的反追踪技术的研究与实验[D];北京邮电大学;2015年

9 陈良;基于云平台的僵尸网络反追踪技术的研究与实验[D];北京邮电大学;2014年

10 王中晴;基于网络流量的Fast-Flux僵尸网络检测方法研究[D];电子科技大学;2018年

本文编号：2892226