Spamming Botnet网络行为分析及检测算法设计与实现

发布时间：2024-11-30 23:05

　　目前僵尸网络被认为是垃圾邮件的主要来源，有效的发现并检测垃圾邮件僵尸网络是阻止垃圾邮件攻击的有效方法。 使用蜜罐对这些僵尸网络进行捕获和分析，可以发现僵尸主机在网络中会存在多种异常行为：扫描开放的邮件代理、邮件发送速度快、同时连接多个邮件服务器发送邮件以及MX查询异常等等。这些异常在僵尸网络中比较普遍，可以作为异常特征来过滤僵尸主机。同时，僵尸网络的邮件大小离散程度比邮件服务器要小的多，以此作为辅助手段能很好的区分僵尸主机和邮件服务器。 结合现有检测算法的优点，提出了一种邮件行为异常和邮件内容相似性匹配相结合的僵尸网络检测方法。检测方法包含两个模块：异常行为告警模块和内容聚类模块。首先通过分析校园网的网络流量找出网络行为相对比较异常的计算机进行警告，在告警的同时还原得到每个告警计算机所发送的邮件；然后再重点分析这些还原得到的邮件，通过匹配邮件正文文本中的URL来估计这些计算机所属僵尸网络的规模。 检测系统使用Libpcap库进行数据包捕获。与纯粹基于内容的方法不同，检测系统不需要经过大量的特征训练，而且可以部署在网络出口端。实验结果表明，检测算法能达到不错的垃圾邮件检测效果，...

【文章页数】：62 页

【学位级别】：硕士

【部分图文】：

图2-1集中式僵尸网络拓扑图

华中科技大学硕士学位论文集中式架构与网络拓扑中的心型结构类似，由一台或多台计算机充当整个令控制服务器，命令控制服务器是网络的心脏，而受感染的计算机则与控接相连。这类僵尸网络结构比较简单，为了保护自身防止被人发现一般都的通信内容进行加密，一般使用IRC协议....

图2-2分布式僵尸网络拓扑图

华中科技大学硕士学位论文，它的失效对于僵尸网络来说往往是致命的，即使使用更多的计算机来充制服务器也仍然不能保证他们经营的僵尸网络不被摧毁。为了克服这个问式架构的僵尸网络开始出现。分布式架构分布式僵尸网络使用的是对等互联网络技术。在分布式僵尸网络中，网络计算机....

图2-3Fast-flux僵尸网络恶意内容感染示意图

华中科技大学硕士学位论文Fast-flux是僵尸网络所独创的一项用来隐藏网络钓鱼和恶意软件下载点的技术。它不再是一个垃圾邮件发送者和网络钓鱼者的测试概念，越来越多的垃圾邮件发送者正在利用这种技术。Fast-flux和DDNS类似，它通过使用大量受感染....

图2-5Xarvester僵尸网络所使用的模板文件每一个邮件模版代表一个垃圾邮件发送任务

图2-5Xarvester僵尸网络所使用的模板文件个邮件模版代表一个垃圾邮件发送任务。Spambot在接收邮件模版个电子邮箱列表文件，这个邮箱列表就是这些垃圾邮件的最终在完成模版发送任务后会将上次的发送结果上传给控制服务器，这者能清楚的掌握他们的僵尸网络到底成功的发送了多....

本文编号：4013154