基于网络流量统计特征与图分析的僵尸网络检测方法研究

发布时间：2023-01-08 19:03

　　僵尸网络作为网络安全中威胁最大的攻击平台之一,正被黑客发动一系列诸如DDoS攻击、垃圾邮件、比特币挖矿、勒索、网络钓鱼等多种恶意活动。不仅给用户造成巨大的经济损失,也使网络安全面临着严峻的考验。因此,研究如何快速有效检测出僵尸网络显得尤为重要。尽管研究人员已经提出了大量的基于网络流量分析的方法或基于图模型的僵尸网络检测方法。但由于僵尸程序不断升级变异以及僵尸网络结构、协议不断复杂,使用单一的模型会导致误报,漏报,甚至失效。一方面,攻击者会通过模拟攻击、隐蔽通道等多种先进技术来逃避基于网络流量方法的检测。另一方面,现有的基于图的方法需要获取整个网络中全部主机间的所有通信数据,真实环境中的网络拓扑庞大、错综复杂导致检测难度大,通用性差。本文的主要研究工作为:深入研究了包括Mirai,Zeus,BlackEnergy,Athena,Ares五种新型的僵尸网络样本。搭建部署其所依赖的环境后,通过Docker容器技术模拟了 305台受感染的僵尸主机以及相应5台控制与命令服务器,采用WireShark捕获其产生的流量数据,并与从某ISP网关上捕获的背景流量混合构成本文实验数据集。本文实验中使用了 ... 

【文章页数】：69 页

【学位级别】：硕士

【文章目录】：
致谢
摘要
ABSTRACT
1 引言
    1.1 研究背景及意义
    1.2 国内外研究现状
    1.3 研究目标和内容
    1.4 论文结构
2 僵尸网络相关知识
    2.1 僵尸网络概述
        2.1.1 僵尸网络的概念
        2.1.2 僵尸网络的分类
        2.1.3 僵尸网络的生命周期
        2.1.4 僵尸网络的危害
        2.1.5 僵尸网络追踪、检测及反制
    2.2 其他相关技术
        2.2.1 Docker容器技术
        2.2.2 网络流量的捕获与分析
    2.3 本章小结
3 基于网络流量统计特征的僵尸网络检测
    3.1 数据集构建
        3.1.1 僵尸网络样本简介
        3.1.2 僵尸网络数据集描述
        3.1.3 网络流量预处理
        3.1.4 网络流量特征提取
    3.2 基于流量统计特征的检测模型构建
        3.2.1 相似性分析
        3.2.2 稳定性分析
        3.2.3 综合分析
    3.3 评价指标
    3.4 实验结果与分析
        3.4.1 相似性模型检测结果与分析
        3.4.2 稳定性模型检测结果与分析
        3.4.3 综合分析检测结果与分析
    3.5 本章小节
4 基于图特征的僵尸网络检测
    4.1 问题定义
    4.2 基于图特征的僵尸网络检测框架
        4.2.1 图特征提取
        4.2.2 图检测模型的构建
    4.3 关键算法
        4.3.1 推论
        4.3.2 算法简介
    4.4 实验结果与分析
    4.5 本章小节
5 基于网络流量统计特征与图特征分析的僵尸网络检测
    5.1 混合模型
        5.1.1 BotMark检测框架
        5.1.2 投票机制
    5.2 实验结果与分析
    5.3 相关工作对比
    5.4 本章小节
6 总结与展望
    6.1 工作总结
    6.2 未来展望
参考文献
作者简历及攻读硕士学位期间取得的研究成果
学位论文数据集


【参考文献】：
期刊论文
[1]乌克兰电力系统BlackEnergy病毒分析与防御[J]. 王勇,王钰茗,张琳,张林鹏.  网络与信息安全学报. 2017(01)

硕士论文
[1]基于网络流量的Fast-Flux僵尸网络检测方法研究[D]. 王中晴.电子科技大学 2018
[2]基于模糊聚类的僵尸网络反规避技术研究[D]. 赵相男.北京交通大学 2018



本文编号：3729013