P2P僵尸网络检测技术研究

发布时间：2017-09-05 19:15

  本文关键词：P2P僵尸网络检测技术研究

  更多相关文章： P2P僵尸网络 P2P流量过滤 端口扫描检测 DDoS攻击检测 垃圾邮件检测

【摘要】：僵尸网络是现在网络犯罪中的一项主要技术手段。利用僵尸网络，操控者可以获取感染主机的相关敏感信息，也可以通过控制大量的主机，进行一些网络恶意行为。新技术的使用使得僵尸网络更具攻击性和隐蔽性。特别是基于P2P通信协议的僵尸网络的出现，规避了传统集中式僵尸网络单点失效的缺陷，加大了检测的难度。 通过对P2P僵尸网络特性分析，本文集中于两点进行研究：P2P僵尸网络使用P2P协议进行通信；P2P僵尸网络在进行恶意网络行为时，必然会表现出不同于正常网络通信流的特征。 通过分析P2P协议在网络中所呈现的特点，采用多重过滤的方法识别网络中的P2P节点，通过聚类得到不同的P2P群，作为P2P僵尸网络的初步对象。相较于神经网络和自学习等检测P2P流量的方法，，多重过滤法不存在训练样本的局限性，对P2P僵尸网络流的通信流提取更加全面。所以本文中使用端口检测、应用层签名识别检测和P2P流量特征检测三种方法相结合进行P2P流量的检测。 僵尸网络存在多种恶意行为，本文中对三种主要的恶意行为进行检测，即端口扫描、DDoS攻击、发送垃圾邮件。对于端口扫描和DDoS攻击，在提取出特征序列以后，使用非参数自适应CUSUM算法进行波动的检测。对垃圾邮件，使用SMTP上下行流量比、SMTP闲置时间、主机对外连接数三种特性来检测。最终整合P2P检测和恶意流量检测的结果，判断是否存在P2P僵尸网络。 在实验中，对两种数据流进行检测，一为LBNL/ICSI Enterprise TracingProject所提供的网络数据，一为在实验室中布置Bot节点所获得的网络数据，以LBNL-Trace作为背景流量。实验结果证明，检测方法能够有效的检测出P2P僵尸网络。
【关键词】：P2P僵尸网络 P2P流量过滤 端口扫描检测 DDoS攻击检测 垃圾邮件检测
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2012
【分类号】：TP393.08
【目录】：

• 摘要4-5
• Abstract5-8
• 第1章 绪论8-13
• 1.1 课题来源8
• 1.2 研究目的和意义8-10
• 1.3 国内外研究现状10-12
• 1.4 本文研究内容及组织结构12-13
• 第2章 僵尸网络技术研究及检测系统设计13-28
• 2.1 主流僵尸网络介绍13-20
• 2.1.1 基于 IRC 协议的僵尸网络14-17
• 2.1.2 基于 HTTP 协议的僵尸网络17-19
• 2.1.3 基于 P2P 协议的僵尸网络19-20
• 2.2 僵尸网络中新技术应用20-23
• 2.2.1 DNS 快速变迁20-22
• 2.2.2 Rootkits 隐匿技术22
• 2.2.3 小活动比例22
• 2.2.4 多态性22-23
• 2.2.5 网络流混淆23
• 2.3 P2P 僵尸网络检测系统设计23-27
• 2.3.1 功能分析与设计24-26
• 2.3.2 检测流程26-27
• 2.4 本章小结27-28
• 第3章 P2P 协议特性分析及检测28-39
• 3.1 僵尸网络中 P2P 协议分析28-32
• 3.1.1 P2P 协议简介及发展历史28-30
• 3.1.2 僵尸网络中 P2P 协议特性分析30-32
• 3.2 P2P 流量检测32-38
• 3.2.1 端口检测32-33
• 3.2.2 应用层特征检测33-35
• 3.2.3 流特征检测35-38
• 3.3 本章小结38-39
• 第4章 僵尸网络恶意流量检测39-48
• 4.1 端口扫描39-41
• 4.1.1 端口扫描特性分析39-40
• 4.1.2 端口扫描特征序列提取40-41
• 4.2 DDoS 攻击41-42
• 4.2.1 DDoS 攻击特性分析41-42
• 4.2.2 DDoS 攻击特征序列提取42
• 4.3 检测特征序列42-45
• 4.3.1 数据转换43-44
• 4.3.2 CUSUM 关键算法44-45
• 4.4 垃圾邮件45-47
• 4.4.1 垃圾邮件特性分析45-46
• 4.4.2 垃圾邮件检测46-47
• 4.5 本章小结47-48
• 第5章 P2P 僵尸网络检测系统运行结果与分析48-62
• 5.1 P2P 僵尸网络检测系统运行环境介绍48-49
• 5.2 LBNL- Trace 测试结果49-54
• 5.2.1 P2P 流量测试50-51
• 5.2.2 端口扫描检测51-52
• 5.2.3 DDoS 攻击检测52-53
• 5.2.4 垃圾邮件检测53-54
• 5.2.5 检测结果54
• 5.3 实验室数据测试结果54-60
• 5.3.1 P2P 流量过滤测试54-55
• 5.3.2 端口扫描检测55-56
• 5.3.3 DDoS 攻击检测56-57
• 5.3.4 垃圾邮件检测57-59
• 5.3.5 检测结果59-60
• 5.4 结果分析60-61
• 5.5 本章小结61-62
• 结论62-63
• 参考文献63-68
• 致谢68

【参考文献】

中国期刊全文数据库 前9条

1 张冰;杜国琦;李静;;僵尸网络技术发展新趋势分析[J];电信科学;2011年02期

2 应凌云;冯登国;苏璞睿;;基于P2P的僵尸网络及其防御[J];电子学报;2009年01期

3 曲劲光;;DDoS攻击原理及抗DDoS设备的应用[J];电信工程技术与标准化;2011年10期

4 王威;方滨兴;崔翔;;基于终端行为特征的IRC僵尸网络检测[J];计算机学报;2009年10期

5 冉宏敏;柴胜;冯铁;张家晨;;P2P僵尸网络研究[J];计算机应用研究;2010年10期

6 诸葛建伟;韩心慧;周勇林;叶志远;邹维;;僵尸网络研究[J];软件学报;2008年03期

7 康治平;向宏;胡海波;;Windows系统Rootkit隐藏技术研究与实践[J];计算机工程与设计;2007年14期

8 涂凡;李之棠;任杰麟;;网络安全事件的关联分析方法的比较研究[J];信息安全与通信保密;2006年02期

9 杜跃进,崔翔;僵尸网络及其启发[J];中国数据通信;2005年05期

中国博士学位论文全文数据库 前2条

1 李润恒;大规模网络中僵尸网络分析技术研究[D];国防科学技术大学;2010年

2 郭睿;分布式拒绝服务攻击防御技术研究[D];东北大学;2008年

本文编号：799782