网络异常检测研究与应用
发布时间:2021-09-04 13:05
随着IT架构的日益复杂,各种应用也不断涌现,网络和应用的边界变得越来越模糊,这使得基于单一边界和控制点的传统安全设备难以有效掌握整个网络的安全状态。一方面,网络攻击的广泛性、隐蔽性、持续性、复合性、多样性等特征使得传统网络攻击检测技术难以有效应对。另一方面,随着移动互联网、云计算等技术的发展,网络中的威胁情报信息越来越多,因此,如何高效智能的整合、处理外部与内部的大量非结构化数据,对多源数据进行有效关联、检索与情报追踪是网络安全发展的关键。近些年来,随着网络异常检测技术的不断发展、软件定义安全架构的出现、大数据技术的发展,上述的安全挑战带来的问题逐步得到了缓解。本文选取僵尸网络与Web攻击两种在网络中最常见、波及面最大的网络威胁,对僵尸网络C&C服务器检测与HTTP异常检测问题展开研究;同时,将异常检测算法封装为异常检测模块,在软件定义安全架构下实现异常检测模块与安全数据平台的集成,从而实现数据驱动的安全服务器编排。本文的具体研究内容如下:1.利用网络中广泛存在的多源异构数据,借鉴安全威胁情报、用户与实体行为分析(UEBA)等安全领域的新思路,基于统计分析、机器学习、深度学习对...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
图2-1中心结构僵尸网络示意图??如图2-1所示,中心结构的僵尸网络是基于客户端-服务器模式的,即所有??的bot主机都会与中心控制服务器进行通信
地址的列表,为了实现域名与IP地址间映射关系的频繁变化,僵尸网络的控制??者需要提供网络最底层的DNS服务器,该服务器根据特定的C&C域名每次返回??列表中不同的IP。基于Single-Flux的僵尸网络的原理示意如图2-2所示。??目??8??5??L二二?com??3?/?i?2.3.4?/?DNS???--?234娜變齡、^?%?Z???vww?example?com??图2-2基于Single-Flux的僵尸网络工作原理图??8??
服务器的IP地址修改频率相比于底层DNS服务器中C&C服务器的IP地址修改??频率要低得多,从而防止僵尸网络与C&C服务器被检测出来。基于Double-Flux??的僵尸网络的原理示意如图2-3所示。??4.3.21?\??m^-2?\?/?/??\L^?国??目,s?^?y-?3?/? ̄??2?3?令?//?\?wvrM>#xamptecom??-?八、\??wwwextrt^sie-com?遝參MS??图2-3基于Double-Flux的僵尸网络工作原理图??中心结构的核心优点是bot与C&C服务器之间的通信速度快[13]、实施简单,??这也是该结构被僵尸网络广泛采用的原因。但是,中心结构需要依赖在公网可达??的服务器才能实施,也就是需要有静态公网IP的服务器从而保证可以接受bot??发起连接并进行通信。??C&C服务器的存在是僵尸网络中受感染主机协同运行的基础,因此检测??C&C服务器并采取相应的防护策略才能有效遏制僵尸网络的危害。基于对国内??外相关研究的总结,僵尸网络C&C服务器的检测方法可以分为以下四种:基于??终端的C&C服务器检测、基于协议特征的C&C服务器检测、基于域名特征的??C&C服务器检测、基于网络流量分析的C&C服务器检测。??2.1.2基于终端的C&C服务器检测??基于终端的C&C服务器检测方法是目前僵尸网络C&C服务器检测的主要??方法。该方法分为两个步骤:第一步是利用蜜罐在网络中捕获恶意的样本;按照??蜜罐捕获恶意样本的方式,可以分为主动蜜罐与被动蜜罐两类;主动蜜罐通过在??内部构造漏洞并主动与恶意样本宿主机通信
【参考文献】:
期刊论文
[1]An adaptive system for detecting malicious queries in web attacks[J]. Ying DONG,Yuqing ZHANG,Hua MA,Qianru WU,Qixu LIU,Kai WANG,Wenjie WANG. Science China(Information Sciences). 2018(03)
[2]面向SDN环境的软件定义安全架构[J]. 刘文懋,裘晓峰,陈鹏程,文旭韬,何新新,汪东升,李军. 计算机科学与探索. 2015(01)
[3]僵尸网络综述[J]. 方滨兴,崔翔,王威. 计算机研究与发展. 2011(08)
[4]基于n-gram语言模型和链状朴素贝叶斯分类器的中文文本分类系统[J]. 毛伟,徐蔚然,郭军. 中文信息学报. 2006(03)
本文编号:3383320
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
图2-1中心结构僵尸网络示意图??如图2-1所示,中心结构的僵尸网络是基于客户端-服务器模式的,即所有??的bot主机都会与中心控制服务器进行通信
地址的列表,为了实现域名与IP地址间映射关系的频繁变化,僵尸网络的控制??者需要提供网络最底层的DNS服务器,该服务器根据特定的C&C域名每次返回??列表中不同的IP。基于Single-Flux的僵尸网络的原理示意如图2-2所示。??目??8??5??L二二?com??3?/?i?2.3.4?/?DNS???--?234娜變齡、^?%?Z???vww?example?com??图2-2基于Single-Flux的僵尸网络工作原理图??8??
服务器的IP地址修改频率相比于底层DNS服务器中C&C服务器的IP地址修改??频率要低得多,从而防止僵尸网络与C&C服务器被检测出来。基于Double-Flux??的僵尸网络的原理示意如图2-3所示。??4.3.21?\??m^-2?\?/?/??\L^?国??目,s?^?y-?3?/? ̄??2?3?令?//?\?wvrM>#xamptecom??-?八、\??wwwextrt^sie-com?遝參MS??图2-3基于Double-Flux的僵尸网络工作原理图??中心结构的核心优点是bot与C&C服务器之间的通信速度快[13]、实施简单,??这也是该结构被僵尸网络广泛采用的原因。但是,中心结构需要依赖在公网可达??的服务器才能实施,也就是需要有静态公网IP的服务器从而保证可以接受bot??发起连接并进行通信。??C&C服务器的存在是僵尸网络中受感染主机协同运行的基础,因此检测??C&C服务器并采取相应的防护策略才能有效遏制僵尸网络的危害。基于对国内??外相关研究的总结,僵尸网络C&C服务器的检测方法可以分为以下四种:基于??终端的C&C服务器检测、基于协议特征的C&C服务器检测、基于域名特征的??C&C服务器检测、基于网络流量分析的C&C服务器检测。??2.1.2基于终端的C&C服务器检测??基于终端的C&C服务器检测方法是目前僵尸网络C&C服务器检测的主要??方法。该方法分为两个步骤:第一步是利用蜜罐在网络中捕获恶意的样本;按照??蜜罐捕获恶意样本的方式,可以分为主动蜜罐与被动蜜罐两类;主动蜜罐通过在??内部构造漏洞并主动与恶意样本宿主机通信
【参考文献】:
期刊论文
[1]An adaptive system for detecting malicious queries in web attacks[J]. Ying DONG,Yuqing ZHANG,Hua MA,Qianru WU,Qixu LIU,Kai WANG,Wenjie WANG. Science China(Information Sciences). 2018(03)
[2]面向SDN环境的软件定义安全架构[J]. 刘文懋,裘晓峰,陈鹏程,文旭韬,何新新,汪东升,李军. 计算机科学与探索. 2015(01)
[3]僵尸网络综述[J]. 方滨兴,崔翔,王威. 计算机研究与发展. 2011(08)
[4]基于n-gram语言模型和链状朴素贝叶斯分类器的中文文本分类系统[J]. 毛伟,徐蔚然,郭军. 中文信息学报. 2006(03)
本文编号:3383320
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3383320.html
