主机内僵尸检测研究

发布时间：2017-05-19 22:11

  本文关键词：主机内僵尸检测研究，由笔耕文化传播整理发布。

【摘要】：僵尸是被恶意软件感染并被僵尸控制者通过命令与控制信道(如IRC, HTTP, P2P等)控制的主机，当僵尸大规模协同运行时便形成一个僵尸网络。僵尸控制者可以利用僵尸网络进行各种网络犯罪，如传播恶意软件、发动DDoS攻击、发送垃圾邮件、进行网络钓鱼等。僵尸网络已经成为大多数网络犯罪行为的主要平台。 本文第二章提出一种关联签名和行为检测僵尸的多反馈方法——BotCatch。BotCatch包括五个模块：分析引擎、签名分析模块、行为分析模块、关联引擎和多反馈模块。分析引擎负责将可疑文件分配给签名或行为分析模块，它们分析该文件并生成各自检测结果，关联引擎关联签名和行为检测生成最终检测结果。多反馈模块使用签名、行为和关联结果动态调整BotCatch，通过维护签名数据库优化签名分析模块，通过维护样本库并指导该模块的学习优化行为分析模块，，通过修改参数优化关联引擎。实验结果表明：(1)BotCatch的关联算法能够有效的关联签名和行为检测结果；(2)多反馈机制使得BotCatch能够自适应于样本并逐渐变得稳定和准确；(3)虽然其它关联算法，如支持向量机也能够关联多种结果，然而拥有多反馈机制的BotCatch有更好的检测结果。 本文第三章发现多进程僵尸的两个特点：将恶意行为与CC连接分离、将恶意行为分配给多个进程。从理论上分析现有基于行为的僵尸检测方法不能有效的检测多进程僵尸的原因。提出实现多进程僵尸的两个关键挑战，并实现单进程和多进程Zeus僵尸的简化版本。使用基于签名和行为的检测方法进行实验，结果表明，多进程僵尸可以有效地降低检测率。最后提出多进程僵尸的其它可能结构和扩展规则，以期覆盖多数情况。 本文第四章计划通过深入分析当前不断演变的社交僵尸采用的躲避机制，设计出更鲁棒的特征和关联机制。为实现该目标，我们收集现有社交僵尸样本和它们的运行记录，然后分析其躲避机制，包括四种基本躲避机制和四种高级躲避机制，使用三种现有检测方法检测收集的运行记录，验证躲避机制的有效性。通过对躲避机制的深入分析，我们设计分为基于生命周期和失败信息九个新型特征，设计两种新型关联机制——时间关联和空间关联机制，时间关联通过累积历史信息应对延迟响应，空间关联结合不同进程之间的关系应对多进程僵尸。实验结果表明，我们设计的新型特征和关联机制能够有效的应对社交僵尸，使用随机森林分类器得到检测结果：0.3%误报率、4.7%漏报率、0.963F-measure值和99.2%检测率。
【关键词】：僵尸网络 主机内检测 行为分析 关联引擎
【学位授予单位】：吉林大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• Abstract5-10
• 第1章 引言10-15
• 1.1 研究背景10-11
• 1.2 研究动机11-12
• 1.3 论文主要工作12-14
• 1.4 论文结构14-15
• 第2章 BOTCATCH：使用签名和行为的僵尸检测15-35
• 2.1 相关工作15-17
• 2.1.1 基于签名的僵尸检测15
• 2.1.2 基于行为的僵尸检测15-16
• 2.1.3 签名和行为关联的僵尸检测16-17
• 2.2 系统概述17-22
• 2.2.1 系统架构17-18
• 2.2.2 方法18-22
• 2.3 多反馈机制22-24
• 2.3.1 优化签名分析23
• 2.3.2 优化行为分析23-24
• 2.3.3 优化关联引擎24
• 2.4 实验24-30
• 2.4.1 系统实现24-25
• 2.4.2 数据收集25-26
• 2.4.3 评价指标26
• 2.4.4 不同参数影响26-30
• 2.5 实验结果30-33
• 2.5.1 建立基准30-31
• 2.5.2 检测结果31-33
• 2.5.3 性能负载33
• 2.6 小结33-35
• 第3章 躲避基于行为检测方法的多进程机制35-45
• 3.1 相关工作35-36
• 3.2 多进程僵尸的躲避机制36-40
• 3.2.1 多进程僵尸的具体特征36-38
• 3.2.2 躲避基于行为的僵尸检测方法38-40
• 3.3 多进程僵尸面对的挑战40-41
• 3.3.1 自启动机制40
• 3.3.2 进程间通信机制40-41
• 3.4 实验41-44
• 3.4.1 原型架构41-42
• 3.4.2 签名分析42-43
• 3.4.3 行为分析43-44
• 3.5 多进程僵尸的扩展结构44
• 3.6 小结44-45
• 第4章 应对社交僵尸的躲避机制45-62
• 4.1 相关工作45-46
• 4.2 概述46-47
• 4.2.1 问题陈述46-47
• 4.2.2 数据收集47
• 4.3 躲避机制分析47-53
• 4.3.1 躲避机制介绍47-50
• 4.3.2 躲避机制的验证50-53
• 4.4 新型检测方法53-58
• 4.4.1 设计新特征53-56
• 4.4.2 新型关联机制56-58
• 4.5 实验58-61
• 4.5.1 检测性能58-59
• 4.5.2 验证特征的有效性59-60
• 4.5.3 验证关联机制60-61
• 4.6 小结61-62
• 第5章 总结62-65
• 5.1 讨论62-64
• 5.1.1 局限性62-63
• 5.1.2 未来工作63-64
• 5.2 结论64-65
• 参考文献65-71
• 作者简介及在学期间所取得的科研成果71-73
• 致谢73

【共引文献】

中国期刊全文数据库 前10条

1 余炜;曾孝平;HAMID GholamHosseini;ANDREW Cameron;MICHAEL Harrison J;;Diagnosis of Vocal Cord Paralysis in Anaesthesia[J];Journal of Donghua University(English Edition);2011年01期

2 司马莉萍;舒乃秋;李自品;黄勇;罗晓庆;;基于SVM和D-S证据理论的电力变压器内部故障部位识别[J];电力自动化设备;2012年11期

3 张友根;吴玲达;邓维;宋汉辰;;融合时空上下文的手绘笔画图文分类[J];电子与信息学报;2013年01期

4 马文龙;吕建新;吴虎胜;黄炯龙;;多传感器信息融合在滚动轴承故障诊断中的应用[J];传感器与微系统;2013年07期

5 庄子波;陈星;高浩;蒋立辉;;基于概率支持向量机的激光雷达风切变图像的识别[J];北京理工大学学报;2014年04期

6 曹卫华;杜楠;安剑奇;吴敏;;基于主客观证据融合的高炉悬料预测方法[J];北京科技大学学报;2014年04期

7 高屹;;基于快速神经网络的HTTP僵尸网络检测算法[J];兰州文理学院学报(自然科学版);2014年03期

8 李智;孙立镌;;一种基于进化BP神经网络的文本分类算法[J];佳木斯大学学报(自然科学版);2009年02期

9 刘端阳;邱卫杰;;基于SVM期望间隔的多标签分类的主动学习[J];计算机科学;2011年04期

10 刘端阳;邱卫杰;;基于平均期望间隔的多标签分类主动学习方法[J];计算机工程;2011年15期

中国重要会议论文全文数据库 前1条

1 刘林;李金屏;王真;;基于多颜色空间和累计直方图的视频场景分类[A];第十五届全国图象图形学学术会议论文集[C];2010年

中国博士学位论文全文数据库 前10条

1 陈进;高光谱图像分类方法研究[D];国防科学技术大学;2010年

2 赵慧敏;柴油机非稳态振动信号分析与智能故障诊断研究[D];天津大学;2010年

3 姚拓中;结合主动学习的视觉场景理解[D];浙江大学;2011年

4 陈伟;语音识别声学建模中的主动学习研究[D];北京邮电大学;2011年

5 陈海林;基于判别学习的图像目标分类研究[D];中国科学技术大学;2009年

6 渐令;基于核的学习算法与应用[D];大连理工大学;2012年

7 辛知;程序多样性技术研究[D];南京大学;2013年

8 王瑞;针对类别不平衡和代价敏感分类问题的特征选择和分类算法[D];中国科学技术大学;2013年

9 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

10 尚海昆;电力变压器局部放电信号的特征提取与模式识别方法研究[D];华北电力大学;2014年

  本文关键词：主机内僵尸检测研究，由笔耕文化传播整理发布。

本文编号：380035