基于异常网络行为的远控木马检测模型
发布时间:2020-12-26 01:09
网络的飞速发展,极大地便利了信息的交互,为人们的学习,生活和工作带来了更加丰富的体验。但是由于网络平台的开放性强,以及各种安全机制的不完善,可能会存在一些攻击者利用远程控制类木马进行远程控制和信息窃取。此类木马感染的主机数量庞大,具有高隐蔽性和长持久性。由于这些木马的传播方式以及自身特性严重的影响了网络安全环境,因此对当前远控木马的检测现状进行了研究分析,对比了每项检测技术的优点和不足后提出了一种基于异常网络行为的远控木马检测方法并构建了检测模型。此模型能够有效挖掘网络中存在的远控木马通信信息,支持安全人员的分析取证。针对远控类木马的工作方式,以及在网络中的通信特点,提出了多元适用于发现远控类木马异常网络行为的网络特征,并设计了多元特征的提取方法。在设计中,这些多元的特征不仅仅来自于单一维度,而是结合了会话和流两个维度。网络行为特征的确定,为后续实现一个更加高效的远控类木马检测模型提供基础。在获取有效特征后,提出并实现了一个流量检测方案。在此方案中,从数据和算法双维度解决了流量检测中出现的数据不平衡问题,并在木马检测中首次引入了一个高效的检测算法。以数据维度来看,总体样本中,远控类木马...
【文章来源】:北京工业大学北京市 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
计算机恶意程序类型分布
后续发现 SMOTE 算法会面临数据集重叠的问题,由此,采用名为Borderline-SMOTE 的算法,增加了原始数据集中的少数类合成了新的数据集。然后在算法层面上选择了首次被用于木马检测的 XGBoost[18]算法,通过数据层和算法层有效解决了不平衡数据集的分类问题的同时,有着很好的检测效果。通过对远控木马检测模型的实现,以及两轮的实验结果比较,表明了在平衡数据集上训练出的模型能够很大程度上降低小样本的漏报,证明所提出的模型能够在混合通信的条件下达到很好的远控木马检测效果,并具备检测未知木马的能力。1.5 论文的结构安排本课题的研究目标为设计一款能够发现远控木马异常网络行为的检测模型,能够快速、准确地从大规模的网络流量中识别出已知的远控木马流量和未知的远控木马流量,从而有效控制个人信息的泄露,维护整个网络空间的安全。本文共分为五章,论文组织结构如图 1-2 所示,其中每个章节的内容如下:
北京工业大学工学硕士学位论文(4) 远程监控:目标机的屏幕和用户击键信息的泄露,意味着入侵者可以获取目标用户应用程序的账号密码,医疗记录,银行账户,信用卡以及其他的个人通讯等机密信息;通过激活系统的网络摄像头等,捕获用户的音频、视频,侵犯用户隐私;也就是用户在目标电脑上做的一切都可以被记录下来。
【参考文献】:
期刊论文
[1]互联网流量分类中流量特征研究[J]. 刘珍,王若愚,蔡先发,唐德玉. 计算机应用研究. 2017(01)
[2]基于随机森林的分层木马检测技术研究[J]. 吴金龙,石晓飞,许佳,史军. 通信技术. 2016(04)
[3]一种关于决策树检测网页挂马的研究[J]. 朱俚治. 计算机与数字工程. 2015(08)
[4]代价敏感学习中的损失函数设计[J]. 李秋洁,赵亚琴,顾洲. 控制理论与应用. 2015(05)
[5]远控型木马通信三阶段流量行为特征分析[J]. 李巍,李丽辉,李佳,林绅文. 信息网络安全. 2015(05)
[6]基于多数据流分析的木马检测方法[J]. 胥攀,刘胜利,兰景宏,肖达. 计算机应用研究. 2015(03)
[7]一种改进的基于攻击树的木马分析与检测[J]. 牛冰茹,刘培玉,段林珊. 计算机应用与软件. 2014(03)
[8]企业网络防病毒解决方案与实践[J]. 汪余宏. 计算机时代. 2013(07)
[9]浅析计算机网络完全问题[J]. 刘汉超. 中小企业管理与科技(下旬刊). 2013(02)
[10]基于网络流量特征的未知木马检测技术及其实现[J]. 彭国军,王泰格,邵玉如,刘梦冷. 信息网络安全. 2012(10)
博士论文
[1]面向互联网应用的不平衡数据分类技术研究[D]. 李虎.国防科学技术大学 2016
硕士论文
[1]木马攻击及检测系统的研究与实现[D]. 吕维.内蒙古大学 2014
[2]高隐藏性木马的深度检测技术实现研究[D]. 王鼎.电子科技大学 2010
本文编号:2938738
【文章来源】:北京工业大学北京市 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
计算机恶意程序类型分布
后续发现 SMOTE 算法会面临数据集重叠的问题,由此,采用名为Borderline-SMOTE 的算法,增加了原始数据集中的少数类合成了新的数据集。然后在算法层面上选择了首次被用于木马检测的 XGBoost[18]算法,通过数据层和算法层有效解决了不平衡数据集的分类问题的同时,有着很好的检测效果。通过对远控木马检测模型的实现,以及两轮的实验结果比较,表明了在平衡数据集上训练出的模型能够很大程度上降低小样本的漏报,证明所提出的模型能够在混合通信的条件下达到很好的远控木马检测效果,并具备检测未知木马的能力。1.5 论文的结构安排本课题的研究目标为设计一款能够发现远控木马异常网络行为的检测模型,能够快速、准确地从大规模的网络流量中识别出已知的远控木马流量和未知的远控木马流量,从而有效控制个人信息的泄露,维护整个网络空间的安全。本文共分为五章,论文组织结构如图 1-2 所示,其中每个章节的内容如下:
北京工业大学工学硕士学位论文(4) 远程监控:目标机的屏幕和用户击键信息的泄露,意味着入侵者可以获取目标用户应用程序的账号密码,医疗记录,银行账户,信用卡以及其他的个人通讯等机密信息;通过激活系统的网络摄像头等,捕获用户的音频、视频,侵犯用户隐私;也就是用户在目标电脑上做的一切都可以被记录下来。
【参考文献】:
期刊论文
[1]互联网流量分类中流量特征研究[J]. 刘珍,王若愚,蔡先发,唐德玉. 计算机应用研究. 2017(01)
[2]基于随机森林的分层木马检测技术研究[J]. 吴金龙,石晓飞,许佳,史军. 通信技术. 2016(04)
[3]一种关于决策树检测网页挂马的研究[J]. 朱俚治. 计算机与数字工程. 2015(08)
[4]代价敏感学习中的损失函数设计[J]. 李秋洁,赵亚琴,顾洲. 控制理论与应用. 2015(05)
[5]远控型木马通信三阶段流量行为特征分析[J]. 李巍,李丽辉,李佳,林绅文. 信息网络安全. 2015(05)
[6]基于多数据流分析的木马检测方法[J]. 胥攀,刘胜利,兰景宏,肖达. 计算机应用研究. 2015(03)
[7]一种改进的基于攻击树的木马分析与检测[J]. 牛冰茹,刘培玉,段林珊. 计算机应用与软件. 2014(03)
[8]企业网络防病毒解决方案与实践[J]. 汪余宏. 计算机时代. 2013(07)
[9]浅析计算机网络完全问题[J]. 刘汉超. 中小企业管理与科技(下旬刊). 2013(02)
[10]基于网络流量特征的未知木马检测技术及其实现[J]. 彭国军,王泰格,邵玉如,刘梦冷. 信息网络安全. 2012(10)
博士论文
[1]面向互联网应用的不平衡数据分类技术研究[D]. 李虎.国防科学技术大学 2016
硕士论文
[1]木马攻击及检测系统的研究与实现[D]. 吕维.内蒙古大学 2014
[2]高隐藏性木马的深度检测技术实现研究[D]. 王鼎.电子科技大学 2010
本文编号:2938738
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2938738.html
