学位论文 > 优秀研究生学位论文题录展示

僵尸网络异常流量分析与检测

作 者: 王新良
导 师: 雷振明
学 校: 北京邮电大学
专 业: 信号与信息处理
关键词: 高速网络 僵尸网络检测 流统计特征 行为 指纹特征
分类号: TP393.08
类 型: 博士论文
年 份: 2011年
下 载: 243次
引 用: 0次
阅 读: 论文下载
 

内容摘要


僵尸网络被不法分子用于拒绝服务攻击、发送垃圾邮件、窃取金融信息等,对国家网络安全造成了较大的威胁,如何能够准确地实现僵尸网络异常检测是亟待解决的一个问题。本文首先基于蜜罐技术获取可疑僵尸IP,并针对每天可疑IP的个数及其产生的异常流量统计规律进行深入的分析,以便能够利用获取的可疑IP集合更好地实现高速网络流量过滤,达到有效缩减高速网络流量的目的;然后,本文通过对指纹特征提取技术的研究提高指纹特征的提取效率,为基于指纹特征的僵尸网络检测算法性能的提高提供基础,更好地完成已知类型僵尸网络的检测;最后,通过将基于指纹特征的僵尸网络检测算法、基于流统计特征的僵尸网络检测算法和基于行为的僵尸网络检测算法相结合,以便能够更加准确的检测未知类型的僵尸网络。主要研究内容和创新点如下:蜜罐异常流量分析及实验统计模型。本文针对部署在数据中心的蜜罐进行470天的不间断数据监测,提出了蜜罐服务器每天的攻击人数分布统计模型,指出每天的扫描攻击人数在某一个较短的时间段内是服从正态分布的,而服务器所在网络的安全状况随网络环境及网络安全措施的变化而变化,因此不同时间段内,扫描人数的均值和方差会发生变化,因此尽管扫描人数在某一个网络环境相对稳定的时间段内服从正态分布,但其是非平稳的。攻击人数的分布统计模型为评估僵尸网络可疑IP规模提供一定的实验统计基础;同时,本文对攻击者攻击频率、端口攻击频率等统计特征分布进行了详细分析,分析指出,网络安全人员应该对所占比例小、网络安全危害大的可疑IP、可疑端口、可疑网段进行过滤,使有限的网络安全资源重点关注可疑对象,以便能够更好的解决网络安全问题。僵尸网络指纹特征自动提取技术研究。指纹特征自动提取算法能够有效实现指纹特征地自动提取,为僵尸网络检测提供基础,但僵尸网络流量有其固有的流量特性,已有的指纹特征提取算法并不能完全适用于僵尸网络指纹特征的自动提取。本文提出的指纹特征自动提取算法及系统设计框架是在已有算法的基础上,依据僵尸网络指纹特征分布的特点进行改进,能够自适应地对不同功能的数据流分别进行指纹特征提取。基于改进后的僵尸网络指纹特征提取算法对采集的僵尸网络异常流量数据进行指纹特征提取,实验结果表明,改进后算法获取的有效指纹特征数要远远优于改进前算法提取的有效特征数,从而能够更好地完成僵尸网络的异常检测。基于行为特征的僵尸网络检测算法研究内容具体如下:1)僵尸网络传播特性研究。蠕虫传播过程根据不同的网络环境,基于传染病模型进行建模分析。而僵尸网络传播过程与蠕虫有所不同,受感染的僵尸主机根据分工不同实现合作,用于僵尸程序传播的主机只是受感染主机的一部份,即传播受控。基于僵尸网络传播特性,在SIR (Susceptibles, Infectives, Recovered)模型基础上根据僵尸网络传播特点进行建模,分析了僵尸网络感染的主机数与传播比例之间的关系,并引入稳定传播持续时间的定义,用于量化分析网络稳定性。使用该模型从理论上分析了传播比例、预期达到的僵尸网络规模和网络稳定性之间的关系,指出僵尸网络传播的受控特性能够很好的适应僵尸网络规模日趋分散化的发展趋势。2)高速网络中的扫描行为检测算法研究。为有效地检测存在于高速链路中的扫描攻击,在扫描检测算法TRW (Threshold RandomWalk)的基础上,基于蜜罐对TRW算法进行了改进,并对其性能进行了深入的分析,分析表明改进算法能更加快速确定扫描源。同时着重分析了在选择性系统采样下,Snort、TRW和TRWHP (Threshold Random Walk Based on Honeypot)三种扫描检测算法的异常检测准确率,实验结果表明在同样的采样比率下,改进算法TRWHP与TRW算法相比,误报率相差不大,但漏报率指标则得到显著改善,获得较好的检测性能。同时,针对已有的基于数据报文长度的选择性采样方法,从理论上分析了其对扫描检测算法性能的影响。同时,研究基于报文长度的选择性采样方法和系统采样方法对TRW算法检测性能的影响。实验结果表明,在确保两种采样方法采样前后报文数相等的情况下,基于数据报文长度的选择性采样方法对TRW算法的检测性能影响较小,能够获得更高的扫描成功检测率。通过研究各种采样技术对各种扫描检测算法的影响,为在高速链路中扫描异常流量的检测提供相应的实验基础。3)基于多级分类器的僵尸网络检测算法研究。僵尸网络各种变种层出不穷,已有的异常检测算法尽管在一定程度上具有检测未知类型僵尸网络的能力,但模型的泛化能力及检测准确性仍有待提高。本文提出的基于多级分类器的僵尸网络异常检测结构,第一级分类器提出一种新的周期性通信检测方法,该方法与频谱分析的方法相比算法复杂度低,能够在线、实时检测僵尸网络;第二级分类器则利用周期通信IP对的统计特征基于决策树算法进行僵尸网络的异常检测。实验结果表明,周期性通信检测算法针对异常的检测准确率高,但存在误判率偏高的问题。而多级分类器构造的模型则在保证异常检测准确率的基础上,有效降低了误判率,达到了6.5%的较好水平。因此,多级分类器构造的模型对未知类型的僵尸网络具有良好的检测性能。基于流统计特征的僵尸网络检测技术研究。本文将基于指纹特征的检测方法与基于流统计特征的检测算法相结合,提出二级僵尸网络检测结构实现高速网络流量中的IRC僵尸网络异常检测。首先,基于IRC协议的指纹特征完成IRC流量的准确检测。然后利用特征选择算法完成特征集合的筛选,并针对不同特征子集基于LADTree分类算法进行僵尸网络异常检测。实验结果表明基于获取的特征子集1和特征子集2利用LADTree分类算法,分别针对不同时间段的测试数据集进行僵尸网络检测,异常检测准确率和正常检测准确率分别达到83.3%和93%以上,表明本文提出的二级僵尸网络检测结构具有良好的检测效果和泛化能力。

全文目录


摘要  4-7
ABSTRACT  7-14
第一章 绪论  14-28
  1.1 互联网的发展现状  14-15
  1.2 网络安全的发展现状  15-16
  1.3 网络安全检测技术  16-20
  1.4 僵尸网络的研究意义  20-21
  1.5 僵尸网络检测面临的问题  21-22
  1.6 论文研究内容和创新点  22-25
    1.6.1 蜜罐异常流量分析及实验统计模型  22-23
    1.6.2 僵尸网络指纹特征自动提取技术研究  23
    1.6.3 基于行为的僵尸网络检测算法研究  23-24
    1.6.4 基于流统计特征的僵尸网络检测技术研究  24-25
  1.7 论文结构  25-28
第二章 僵尸网络研究现状  28-40
  2.1 僵尸网络定义  28
  2.2 僵尸网络研究  28-30
  2.3 僵尸网络检测技术研究  30-40
    2.3.1 主动检测技术  30-31
    2.3.2 被动检测技术  31-38
    2.3.3 采样技术对僵尸网络异常检测的影响  38-40
第三章 蜜罐异常流量分析及实验统计模型  40-59
  3.1 概述  40-41
  3.2 基于蜜罐技术的异常数据采集和预处理  41-43
    3.2.1 数据采集方法  41
    3.2.2 蜜罐配置  41
    3.2.3 预处理  41-42
    3.2.4 网络流量分析系统  42-43
  3.3 异常流量数据分析和实验统计模型  43-57
    3.3.1 攻击类别  43-44
    3.3.2 攻击人数分析  44-51
    3.3.3 攻击者攻击频率分析  51-53
    3.3.4 各端口攻击频率情况分析  53-54
    3.3.5 IP出现的天数分布  54-55
    3.3.6 IP人数在各省的人数分布  55
    3.3.7 同一C网内的IP个数分布  55-56
    3.3.8 同一B网内的IP个数分布  56-57
  3.4 本章小结  57-59
第四章 僵尸网络指纹特征自动提取技术研究  59-73
  4.1 概述  59
  4.2 相关工作  59-60
  4.3 样本流量采集  60-62
    4.3.1 离线样本流量采集环境  60-61
    4.3.2 在线样本流量采集环境  61-62
  4.4 僵尸网络指纹特征自动提取算法原理  62-63
  4.5 僵尸网络指纹特征自动提取系统设计框架  63-68
    4.5.1 流特征提取模块  63-64
    4.5.2 K-means聚类模块  64-66
    4.5.3 Shingle提取算法模块  66-67
    4.5.4 Shingle拼接算法模块  67-68
  4.6 实验仿真  68-71
    4.6.1 实验数据获取  68
    4.6.2 实验结果  68-69
    4.6.3 改进后的Shingle选择算法的时间复杂度  69-71
  4.7 本章小结  71-73
第五章 基于行为的僵尸网络检测算法研究  73-103
  5.1 僵尸网络传播特性研究  73-79
    5.1.1 引言  73-74
    5.1.2 僵尸网络传播特性模型  74-77
    5.1.3 仿真  77-79
    5.1.4 小结  79
  5.2 高速网络中的扫描行为检测算法研究  79-89
    5.2.1 引言  79-80
    5.2.2 扫描检测算法  80-83
    5.2.3 采样技术  83-85
    5.2.4 数据采集  85
    5.2.5 基于选择性系统采样的多种扫描检测算法性能比较  85-87
    5.2.6 基于报文长度的选择性采样和系统采样对TRW扫描检测算法性能的影响  87-88
    5.2.7 小结  88-89
  5.3 基于多级分类器的僵尸网络检测技术研究  89-103
    5.3.1 引言  89
    5.3.2 数据采集  89-91
    5.3.3 多级分类器检测框架  91-102
    5.3.4 小结  102-103
第六章 基于流统计特征的僵尸网络检测技术研究  103-114
  6.1 概述  103
  6.2 数据采集  103-105
  6.3 IRC流量数据分析  105-107
    6.3.1 IRC端口流数分析  105-106
    6.3.2 IRC流量分析  106-107
  6.4 二级僵尸网络流量检测框架  107-109
  6.5 流统计特征分析  109-110
  6.6 基于二级僵尸网络检测结构的异常检测结果  110-112
  6.7 本章小结  112-114
第七章 高速网络僵尸网络检测系统原型  114-119
  7.1 系统模块功能  115-116
  7.2 基于下载行为的可疑IP提取模块研究  116-117
    7.2.1 基于报文深度检测(DPI)的第一级过滤器  116-117
    7.2.2 基于单流统计特征的第二级过滤器  117
  7.3 本章小结  117-119
结束语:总结与展望  119-121
参考文献  121-129
附录:缩写词说明  129-131
致谢  131-132
攻读学位期间发表的学术论文目录  132

相似论文

  1. 社会行为与建筑空间的关联性研究,TU-024
  2. 行为空间界限与其建筑空间特性研究,TU-024
  3. 哈尔滨城市空间环境视觉导识系统研究,TU998.9
  4. 三亚俄罗斯旅游者的旅游行为研究,C912
  5. 基于循环经济理念的旅游环境伦理研究,F590
  6. 风险视角下新浪微博融资行为研究,F49
  7. 声誉对学前儿童违规行为的影响,B844.1
  8. 体育新闻报道中的侵权行为研究,G812
  9. 粤东地区农村生物教师行为发展问题研究,G633.91
  10. 小学英语教学中促进学生课堂参与的策略研究,G623.31
  11. 赖尔的行为主义,B089
  12. 中学教师团队心理授权、组织公民行为与团队绩效的关系研究,G443
  13. 高校离退休教职工旅游行为特征分析,G647
  14. 双酚AP型苯并噁嗪树脂的合成及性能研究,TQ320.1
  15. 新型阳离子疏水改性聚丙烯酰胺的合成及应用,TQ323.6
  16. 棉铃虫和烟夜蛾生殖生物学特性比较研究,S433
  17. 热应激肉牛营养与环境调控技术及其行为研究,S823
  18. 基于软件行为监控的自调节方法研究与实现,TP311.5
  19. 基于行为模式的小区公共家具用户需求研究,F426.88
  20. 影响服装重购行为的品牌形象要素的实证研究,F274
  21. 两种赤眼蜂寄生行为的比较及种间竞争的研究,S476.3

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com