基于模糊聚类的僵尸网络反规避技术研究

发布时间：2025-01-18 13:50

　　僵尸网络是由大量受控主机组成的一个攻击平台,攻击者利用它可以发起分布式拒绝服务攻击、垃圾邮件、网络仿冒等各种攻击,对网络安全构成了严重的威胁。因此,如何准确、高效的检测出僵尸网络已成为国内外研究的热点问题。僵尸网络为了躲避检测和封堵,提高自身的生存能力采取各种规避技术,其中应用最为广泛的是基于DNS的规避技术。目前针对DNS规避技术的僵尸网络检测方法中存在以下问题:首先每种检测方法只针对某一种类型的僵尸网络,只对指定类型的僵尸网络有较高的检测效率,无法应用到实际环境的僵尸网络检测中去;其次每种检测方法都是独立整体,无法与其他僵尸网络检测方法进行关联分析。对此,本文提出了一种基于模糊聚类的僵尸网络反规避技术,较好地解决了目前针对DNS规避技术的僵尸网络检测方法中存在的问题。主要工作包括:(1)为了有效地对基于DNS规避技术的僵尸网络进行检测,本文对僵尸网络域名与正常网络域名的DNS查询特征进行对比分析,提取了 22个可以明显区别僵尸网络域名与正常网络域名的特征,同时考虑到不同僵尸网络之间特征的重叠性与高维特征在运算过程中存在的“维数灾难”问题,提出了一种前向选择与后向消除结合的特征选择方法...

【文章页数】：73 页

【学位级别】：硕士

【部分图文】：

图１－１?２０１６年僵尸网络规模分布??Ｆｉｇｕｒｅ?１－１?Ｂｏｔｎｅｔ?ｓｉｚｅ?ｄｉｓｔｒｉｂｕｔｉｏｎ?ｉｎ?２０１６??

测发现的僵尸网络中，规模在１００台主机以上的僵尸网络数量达４８９个，其中有??５２个僵尸网络的规模甚至达到了?１０万台主机以上。２０１６年僵尸网络的规模分布??如图１－１所示。??单位（个）??４０００??３５００?｜響｜??３０００??２５００??２０００??１５００??１００....

图２－１僵尸网络生命周期??Ｆｉｇｕｒｅ?２－１?Ｌｉｆｅ?ｃｙｃｌｅ?ｏｆ?ｚｏｍｂｉｅ?ｎｅｔｗｏｒｋ??

２．１．２?僵尸网络生命周期??从一个僵尸程序到由成千上万台受控主机组成的僵尸网络，其中涉及僵尸网??络生命的多个阶段。僵尸网络的生命周期如图２－１所示，主要分为传播过程、＇感染??过程、加入网络、扩散阶段、发起攻击等阶段［３２］。??７??

图２－２集中式Ｃ＆Ｃ结构??Ｆｉｇｕｒｅ?２－２?Ｃｅｎｔｒａｌｉｚｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??

?僵尸网络相关研究??信息，网络拓扑中没有固定的中心服务器，因此不存在单点失效问题。如图２－３所??示，控制者可以登录网络中任意一个感染僵尸程序的主机，将其作为Ｃ＆Ｃ服务器??发布命令。这种僵尸网络一般采用Ｐ２Ｐ协议构建其Ｃ＆Ｃ信道。基于分散式Ｃ＆Ｃ??结构的僵尸网络中的每个僵尸....

图２－３分布式Ｃ＆Ｃ架构??Ｆｉｇｕｒｅ?２－３?Ｄｉｓｔｒｉｂｕｔｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??１３??

?僵尸网络相关研究??信息，网络拓扑中没有固定的中心服务器，因此不存在单点失效问题。如图２－３所??示，控制者可以登录网络中任意一个感染僵尸程序的主机，将其作为Ｃ＆Ｃ服务器??发布命令。这种僵尸网络一般采用Ｐ２Ｐ协议构建其Ｃ＆Ｃ信道。基于分散式Ｃ＆Ｃ??结构的僵尸网络中的每个僵尸....

本文编号：4028695