学位论文 > 优秀研究生学位论文题录展示

基于SMTP协议分析的僵尸网络检测技术研究

作　者: 易幸
导　师: 李汉菊
学　校: 华中科技大学
专　业: 信息安全
关键词: 垃圾邮件僵尸网络邮件传输协议检测规模测量
分类号: TP393.08
类　型: 硕士论文
年　份: 2009年
下　载: 39次
引　用: 0次
阅　读: 论文下载

内容摘要

僵尸网络是攻击者采用一种或多种传播手段,使大量主机感染僵尸程序,在控制者和被感染主机之间形成的一个一对多的控制网络。其可用来实施网络信息窃取,分布式拒绝服务攻击、点击欺诈、网络仿冒、发送垃圾电子邮件等目的。僵尸网络的核心是命令与控制机制。这也是其与其它已知各类恶意代码的关键区别。基于控制技术,攻击者能够协调成千上万的计算机发动大规模灾难性的攻击。随着控制技术的发展,僵尸网络从以往基于IRC协议逐渐转移到基于HTTP协议和各种不同类型的P2P协议,隐蔽性和健壮性得到了很大程度的增强。在传播技术上,僵尸网络借鉴并融合了各类恶意代码的传播方式,包括使用通讯软件和P2P文件共享软件进行传播,并通过认证和信道加密机制对僵尸程序进行多态化和变形混淆,使得僵尸的传播活动更加广泛和隐蔽。SPAM BOTNET(Sbotnet)是以发送垃圾邮件为主要功能的僵尸网络。基于对国内外研究现状的分析和实验环境下对Sbotnet活动的监测,提出了一种新的检测Sbot的方法,并实现了该方法的原型系统,同时在检测的基础上对Sbotnet的活动规模进行测量。通过对僵尸网络的结构,功能以及命令与控制机制的详细分析,对基于不同命令与控制机制的僵尸网络的特点进行剖析,对目前僵尸网络检测技术以及各个技术的特点进行分析的基础上,认为相对于一般的僵尸网络,Sbotnet的网络活动一个最明显的特征是使用SMTP协议发送大量的垃圾邮件。根据该特性,提出了基于SMTP协议分析的Sbotnet检测技术。同时还对Sbotnet的规模进行测量,即通过对僵尸主机发送的邮件进行追踪,统计满足发送相似邮件内容(URL)的主机数量,进而确定其规模。依据论文中的算法,实现的原型系统在实验环境中完全能够检测Sbot的活动,而且也能够在一定程度上确定Sbotnet的规模。

全文目录

摘要  4-5
Abstract  5-8
1 绪论  8-13
  1.1 研究背景和意义  8-9
  1.2 国内外研究现状  9-11
  1.3 主要研究内容  11-12
  1.4 论文的组织  12-13
2 僵尸网络工作机制分析  13-24
  2.1 僵尸网络的概述  13-17
  2.2 僵尸网络的结构及工作原理  17-19
  2.3 僵尸网络的命令与控制机制  19-22
  2.4 本章小结  22-24
3 僵尸网络检测和规模测量技术的研究  24-34
  3.1 僵尸网络检测技术的研究  24-27
  3.2 僵尸网络规模测量方法  27-28
  3.3 基于垃圾邮件的Sbotnet 检测方法  28-32
  3.4 本章小结  32-34
4 基于垃圾邮件的Sbotnet 的检测系统实现  34-47
  4.1 SMTP 协议简介  34
  4.2 系统的设计与实现  34-46
  4.3 本章小结  46-47
5 系统实验结果与分析  47-52
  5.1 测试环境  47-48
  5.2 测试方法  48
  5.3 测试结果与分析  48-50
  5.4 本章小结  50-52
6 总结与展望  52-54
  6.1 总结  52-53
  6.2 展望  53-54
致谢  54-55
参考文献  55-57

基于SMTP协议分析的僵尸网络检测技术研究

内容摘要

全文目录

相似论文