高速网络环境下的P2P僵尸网络检测方法研究

发布时间：2017-09-26 12:34

  本文关键词：高速网络环境下的P2P僵尸网络检测方法研究

  更多相关文章： 高速网络 P2P僵尸网络 网络会话 随机森林

【摘要】：僵尸网络(Botnet)已经成为网络安全的主要威胁之一。早期的僵尸网络的通信协议主要采用IRC和HTTP协议,具有单点失效的问题,容易被发现和摧毁。随着P2P传输技术及僵尸网络的发展,目前新型的僵尸网络大多采用P2P技术构建僵尸网络命令和控制机制,形成具有分布式特点的僵尸网络。P2P僵尸网络不具有中心节点,相比其他类型的僵尸网络更具有威胁性和难以检测性。如何在实际网络环境中对P2P僵尸网络进行有效的检测和反制,也成为了网络安全领域讨论的热点。在现有检测方法的基础上,本文对P2P僵尸网络结构、CC通信特征以及P2P协议流量特点进一步进行分析,提出了基于过滤机制的P2P协议流量识别方法和基于网络会话特征的P2P僵尸网络检测方法。基于过滤机制的P2P协议流量识别方法是通过过滤已知非P2P协议流量的数据进而识别P2P协议流量。该方法能够快速过滤掉绝大部分的非P2P协议流量。基于网络会话特征的P2P僵尸网络检测方法在现有的基于数据流特征和基于流相似特征检测方法的基础上,通过分析数据会话中的数据包以及数据包分布等特征,结合现有分类算法来对P2P僵尸网络流量进行分类检测。该方法基于网络会话特征进行检测不仅能够有效减少数据流特征向量的个数还可以增加网络数据流特征区分度。结合这两种方法,该检测方法能够在高速网络环境中对P2P僵尸网络会话进行实时检测。然后,本文分析了高速网络环境中流量特点以及在高速网络中对P2P僵尸网络流量检测所面临的困难,设计并实现了高速网络环境下网络流量检测平台并详细阐述了检测平台的总体设计与各个模块的设计与实现。最后,本文采用真实数据集以及网络公开僵尸网络数据集对基于会话P2P僵尸网络检测方法进行实验验证和在线测试。通过实验结果可以看出该检测方法能够很好的适应于高速网络环境下的P2P僵尸网络检测。该检测平台为高速网络环境下P2P僵尸网络检测提供很好的参考。
【关键词】：高速网络 P2P僵尸网络 网络会话 随机森林
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 绪论10-17
• 1.1 研究背景及意义10-12
• 1.2 国内外研究现状12-15
• 1.3 主要研究内容15-16
• 1.4 论文组织结构16-17
• 第二章 P2P僵尸网络相关研究17-29
• 2.1 僵尸网络概述17-22
• 2.1.1 僵尸网络定义17-19
• 2.1.2 僵尸网络工作机制19-20
• 2.1.3 僵尸网络危害20-22
• 2.2 P2P僵尸网络研究22-28
• 2.2.1 P2P技术概述22-23
• 2.2.2 P2P僵尸网络结构研究23-26
• 2.2.3 P2P僵尸网络C&C通信流量分析26-28
• 2.3 本章小结28-29
• 第三章 高速网络环境下的P2P僵尸网络检测方法设计29-48
• 3.1 现有P2P僵尸网络检测方法分析30-32
• 3.1.1 基于主机行为的检测方法30-31
• 3.1.2 基于特征码的检测方法31
• 3.1.3 基于数据流行为特征的检测方法31-32
• 3.1.4 基于数据流相似性的检测方法32
• 3.2 整体检测方法设计32-33
• 3.3 P2P协议流量识别方法设计33-38
• 3.3.1 基于端口的过滤33-34
• 3.3.2 基于DNS查询的过滤34-35
• 3.3.3 基于会话的流计数和端口判断过滤35-37
• 3.3.4 识别方法设计37-38
• 3.4 基于会话的P2P僵尸网络检测方法设计38-47
• 3.4.1 C&C流量特征分析39-43
• 3.4.2 特征向量构建43-44
• 3.4.3 检测方法设计44-47
• 3.5 本章小结47-48
• 第四章 高速网络环境下的检测平台设计与实现48-65
• 4.1 总体架构设计48-49
• 4.2 相关模块设计与实现49-64
• 4.2.1 数据包采集模块设计与实现49-52
• 4.2.2 预处理模块设计与实现52-56
• 4.2.3 流重组和会话重组模块设计与实现56-60
• 4.2.4 P2P协议流量识别模块实现60-61
• 4.2.5 特征提取模块设计与实现61-62
• 4.2.6 P2P僵尸网络检测模块实现62-64
• 4.3 本章小结64-65
• 第五章 P2P僵尸网络检测方法实验结果与分析65-78
• 5.1 实验环境65-66
• 5.2 P2P协议流量识别方法实验与分析66-67
• 5.3 基于会话的P2P僵尸网络检测方法实验与分析67-73
• 5.3.1 实验数据集构建67-69
• 5.3.2 实验结果与分析69-73
• 5.4 检测方法在线测试73-77
• 5.4.1 数据包采集模块结果73-74
• 5.4.2 数据包预处理模块输出结果74-75
• 5.4.3 流重组和会话重组模块输出结果75-76
• 5.4.4 在线测试结果76-77
• 5.5 本章小结77-78
• 第六章 总结与展望78-80
• 6.1 论文工作总结78-79
• 6.2 后续工作展望79-80
• 致谢80-81
• 参考文献81-86
• 攻硕期间取得的成果86-87

【参考文献】

中国期刊全文数据库 前10条

1 穆筝;吴进;许书娟;;高速网络下P2P流量识别研究[J];信息网络安全;2015年05期

2 朱变;任国恒;朱海;王洪峰;;可信计算增强云环境下P2P技术的安全性研究[J];小型微型计算机系统;2015年03期

3 赵小欢;夏靖波;李明辉;;基于随机森林算法的网络流量分类方法[J];中国电子科学研究院学报;2013年02期

4 李雪峰;段海新;诸葛建伟;吴建平;;识别蜜罐网络的P2P僵尸网络构建机制[J];清华大学学报(自然科学版);2012年03期

5 李书豪;云晓春;郝志宇;翟立东;;MRRbot:基于冗余机制的多角色P2P僵尸网络模型[J];计算机研究与发展;2011年08期

6 方滨兴;崔翔;王威;;僵尸网络综述[J];计算机研究与发展;2011年08期

7 臧天宁;云晓春;张永铮;门朝光;崔翔;;基于通信特征和D-S证据理论分析僵尸网络相似度[J];通信学报;2011年04期

8 刘庆和;梁正友;;一种基于信息增益的特征优化选择方法[J];计算机工程与应用;2011年12期

9 王海龙;龚正虎;侯婕;;僵尸网络检测技术研究进展[J];计算机研究与发展;2010年12期

10 张琛;王亮;熊文柱;;P2P僵尸网络的检测技术[J];计算机应用;2010年S1期

中国博士学位论文全文数据库 前3条

1 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

2 彭建芬;P2P流量识别关键技术研究[D];北京邮电大学;2011年

3 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年

中国硕士学位论文全文数据库 前1条

1 杨小燕;P2P僵尸网络检测技术研究[D];湖南大学;2012年

，

本文编号：923570