学位论文 > 优秀研究生学位论文题录展示

僵尸终端检测算法与研究

作 者: 庄岩
导 师: 翟光群
学 校: 郑州大学
专 业: 计算机系统结构
关键词: 网络安全 僵尸网络 僵尸终端 相似性
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 11次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网技术的不断发展,网络的安全性和可靠性正在越来越多的受到人们的关注。作为网络安全的重要组成部分,僵尸网络的检测技术也受到日益的重视。目前僵尸网络的检测方法分为两类,分别为基于蜜网系统的检测和基于网络流量的监视与分析。第二类的检测方法分为四种:1)基于签名的检测,2)基于异常的检测,3)基于DNS的检测,4)基于数据挖掘的检测。基于网络异常的检测技术由于其实时性,以及其检测过程中无需先验知识来进行规则匹配,而在僵尸网络的检测中得到广泛应用。本文的重点研究目标就是利用僵尸终端的网络特性,采用异常检测算法,对在局域网内的疑似主机进行多方面检测,从而达到准确判断僵尸终端的目的。为解决僵尸终端检测中需先对其进行规则匹配和无法对其恶意行为进行防范的问题,本文在首先研究了不同种类僵尸程序特征的基础上,利用僵尸网络内部通讯特征流量,标记出监控范围,从而实现对疑似僵尸终端的监控。然后,提出了用输入报文有效载荷的相似性,输入输出报文对的时间距离来刻画疑似僵尸终端之间的整体相似度,并通过这个相似度来静态的描绘这些监控范围内主机在某一时间段内的通讯特征是否符合僵尸终端的特征。最后,把所得到整体相似度代入改进后的TRW算法,将每一个时间窗内的静态相似性的度量值作为该算法每一步运行的输入,多轮次的(多时间窗)的对监控范围内的僵尸终端进行检测判断,确定阈值,并最终标记出局域网内的僵尸终端。本文的以上工作为检测僵尸终端、防范僵尸网络提供了一个新的方法。实验证明该方法成功的实现了对僵尸终端的异常检测,无需规则匹配,并对其在执行恶意行为之前成功进行发现,提高了僵尸终端检测的准确度,对进一步研究防范僵尸网络奠定了基础。

全文目录


摘要  4-5
Abstract  5-10
1 引言  10-16
  1.1 研究背景  10-11
  1.2 网络安全的威胁  11
  1.3 恶意软件分类  11-12
  1.4 僵尸网络及其研究的意义  12-14
    1.4.1 僵尸网络简史  12-13
    1.4.2 危害  13-14
    1.4.3 传统防御方法  14
  1.5 研究课题描述  14-15
  1.6 章节安排  15-16
2 僵尸网络综述  16-33
  2.1 僵尸网络定义与发展现状  16
  2.2 僵尸网络功能结构与模块分析  16-18
  2.3 僵尸网络样本分析  18-32
    2.3.1 基于IRC僵尸网络与phatbot简介  18-22
    2.3.2 基于HTTP僵尸网络与Netbot Attacker简介  22-27
    2.3.3 基于P2P僵尸网络与Storm简介  27-32
  2.4 本章小结  32-33
3 僵尸终端特征流量检测  33-44
  3.1 理论与实验依据  33-37
    3.1.1 通讯量日周期曲线  33-34
    3.1.2 通讯频率日周期曲线  34-35
    3.1.3 实验数据  35-37
  3.2 终端特征流量  37-43
    3.2.1 Keepalive报文  37-39
    3.2.2 PING-PONG报文  39-41
    3.2.3 登录服务器报文  41-43
  3.3 本章小结  43-44
4 僵尸终端检测算法研究  44-58
  4.1 相似性度量  44-52
    4.1.1 输入报文相似性  45-46
    4.1.2 输入/输出报文对时间距离  46-48
    4.1.3 基于P2P僵尸网络架构模型分析研究  48-52
  4.2 TRW算法  52-57
    4.2.1 算法原理介绍  53-56
    4.2.2 算法改进  56-57
  4.3 本章小结  57-58
5 算法实现与结论  58-66
  5.1 实验环境  58-59
  5.2 算法的条件期望研究  59-60
  5.3 对僵尸终端的确定  60-63
    5.3.1 对监控范围的划定  60-61
    5.3.2 对相似度的测量与研究  61-63
  5.4 算法运行综合结果  63-65
  5.5 本章小结  65-66
6 总结与展望  66-68
  6.1 本文工作总结  66-67
  6.2 未来工作展望  67-68
参考文献  68-71
致谢  71-72
个人简历、在学期间发表的学术论文与研究成果  72

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  3. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  4. 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
  5. 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
  6. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  7. 构式语法观照下的高中英语双及物结构教学研究,G633.41
  8. 平顶山烤烟综合质量评价及与美国烤烟的对比分析,S572
  9. 基于区域的无线传感器网络密钥管理方案研究,TP212.9
  10. 旅游对芦芽山国家级自然保护区典型植被的影响,S759.9
  11. 基于形状的汉画像检索技术研究,TP391.41
  12. 我国保险公司保险网络营销研究,F724.6
  13. 元白相似性考索,I207.22
  14. 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
  15. 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
  16. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  17. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  18. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
  19. 水量调度决策支持系统中的数据挖掘应用研究,TV697.11
  20. 无线传感器网络安全问题的研究,TN915.08
  21. 光盘授权播放系统安全通信研究与设计,TP309

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com