学位论文 > 优秀研究生学位论文题录展示
僵尸网络检测系统的分析与设计
作 者: 苏云琳
导 师: 罗群
学 校: 北京邮电大学
专 业: 密码学
关键词: 僵尸网络 检测系统 异常流量 检测方法 专杀软件
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 135次
引 用: 3次
阅 读: 论文下载
内容摘要
随着计算机网络技术的迅猛发展和广泛应用,网络犯罪数量急剧增加,对用户与企业造成的危害也越来越大。造成这一现象的主要原因是僵尸网络的出现。僵尸网络为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络是整个网络犯罪的核心,能够将网络犯罪世界里的各个部分联接和统一起来。现阶段僵尸网络正步入快速发展时期,对互联网安全已经造成严重威胁。目前对僵尸网络的研究才刚刚兴起,采用的也多为流量检测的方法。但由于这种方法通常是等到僵尸网络爆发后,才开始提取特征,因此不能及时准确地发现并遏制僵尸网络。针对以上情况,本文的主要贡献和创新在于:设计了一套既能够检测又能够清除僵尸网络的系统,并且从网络层面提出了五种新的检测僵尸网络的方法。具体来说本文的工作主要包括如下几个方面:1.总结了僵尸网络的定义、工作原理及传播途径,并研究了传统的检测方法,同时简要地论述和分析了僵尸网络的发展趋势。2.在深入理解僵尸网络特点的基础上,本文设计了一套检测系统,这套系统既能够检测到僵尸网络,又能够阻断过滤僵尸网络的流量,同时还能够提供专杀软件帮助用户清除主机感染的僵尸程序。3.由于怎样把僵尸网络检测出来一直是僵尸网络研究的重点和难点,因此本文从网络层面提出了五种新的基于异常流量的检测方法,分别是:免疫虚拟机自动分析方案,异常行为识别方案,通信行为检测方案,首包上线方案和异常IRC检测方案。根据检测算法,系统能够及时发现僵尸网络的建立、控制与攻击,并通过清洗模块与专杀模块进一步遏制僵尸网络的扩散与危害。通过与传统检测方法的联合,本文提出的检测方法减少了对系统资源的需求,大大提高了系统的实效性,同时减少了“漏报率”和“误报率”。4.本文还提出了两种辅助验证方案,用于判断可疑主机是否参与了僵尸网络,验证系统检测得到的结果是否正确。5.在设计与实现工作完成后,本文对检测系统进行实验室测试以及实际网络测试,测试结果表明系统的功能和性能达到了设计的要求。系统的检测准确率较高,实时性较好,检测程度较深,检测范围较广,性能消耗较低,具有稳定性好、扩展性强和可操作性等优点。
|
全文目录
摘要 4-6 ABSTRACT 6-8 目录 8-10 第一章 绪论 10-16 1.1 研究背景及意义 10-12 1.2 国内外研究现状 12-15 1.3 论文的结构安排 15-16 第二章 僵尸网络技术 16-28 2.1 僵尸网络的组成 16-17 2.2 僵尸网络的分类及各自的工作原理 17-23 2.2.1 树状僵尸网络 18-20 2.2.2 基于IRC协议实现的僵尸网络 20-22 2.2.3 基于P2P协议实现的僵尸网络段 22-23 2.3 僵尸网络的传播途径 23-24 2.4 僵尸网络传统的检测方法 24-26 2.5 僵尸网络的发展趋势 26-27 2.6 本章小结 27-28 第三章 僵尸网络检测系统总体设计 28-42 3.1 总体模块构成 28-30 3.2 检测系统平台设计 30-32 3.2.1 检测和过滤插件 30-31 3.2.2 僵尸网络监控管理中心 31-32 3.3 模块设计 32-35 3.3.1 清洗模块 32-33 3.3.2 僵尸专杀模块 33-35 3.4 检测系统的架构设计 35-41 3.4.1 系统部署的密度 35-36 3.4.2 系统部署的位置 36-40 3.4.3 部署专杀运营的应用场景 40-41 3.4.4 部署主动探测的应用场景 41 3.5 本章小结 41-42 第四章 僵尸网络检测系统检测方案设计 42-75 4.1 DPI特征检测方案 42-46 4.1.1 DPI检测技术原理 42-43 4.1.2 DPI特征检测方案设计 43-46 4.2 免疫虚拟机自动分析方案 46-54 4.2.1 免疫技术原理 46-50 4.2.2 免疫虚拟机自动分析方案设计 50-54 4.3 异常行为识别方案 54-60 4.3.1 异常行为识别技术原理 54-59 4.3.2 异常行为识别方案设计 59-60 4.4 通信行为检测方案 60-63 4.4.1 通信行为检测方案原理 60-61 4.4.2 通信行为检测方案设计 61-63 4.5 首包上线检测方案 63-65 4.5.1 首包上线检测方案原理 63-64 4.5.2 首包上线检测方案设计 64-65 4.6 异常IRC检测方案 65-71 4.6.1 异常IRC检测方案原理 65-66 4.6.2 异常IRC检测方案设计 66-71 4.7 辅助验证方案 71-74 4.7.1 恶意域名/IP监控方案 71-72 4.7.2 主动检测 72-74 4.8 本章小结 74-75 第五章 检测系统的实验结果及分析 75-84 5.1 实验室测试系统功能 75-78 5.1.1 测试环境 75-76 5.1.2 测试结果分析 76-78 5.2 实际网络测试 78-82 5.3 僵尸网络检测产品之间的比较 82-83 5.4 本章小结 83-84 第六章 总结与展望 84-86 6.1 论文工作总结 84-85 6.2 下一步研究方向 85-86 缩略语索引 86-88 参考文献 88-91 致谢 91-92 攻读硕士学位期间研究成果 92
|
相似论文
- 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
- 三聚氰胺在罗非鱼中的残留及消除规律研究,S963
- 基于表面增强拉曼光谱技术的鼻咽癌与胃癌检测方法研究,R739.63
- 受小窑区威胁综采面安全开采技术研究与应用,TD752.2
- 花生中镉的检测技术研究和镉分布的初步探索,S565.2
- 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
- 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
- 超视距协议传输检测系统设计与实现,TN958.93
- 车载路面裂缝检测图像处理系统的设计与实现,TP391.41
- 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
- 介质阻挡放电光学观测系统研究与图像分析,TM835
- XML重复对象检测系统的设计与实现,TP311.11
- 基于行为特征的僵尸网络检测方法研究,TP393.08
- 阵列式自动光学检测系统的误差校正算法设计与实现,TP274
- 传统检测方法结合TRF方法评价原料乳质量,TS252.7
- 基于Petri网的网络入侵检测系统研究与实现,TP393.08
- 抑食肼在水稻上使用的安全性评价研究,S481.8
- 民机起落架刹车控制伺服阀检测系统研究,V227
- 高性能嵌入式超声无损检测系统及其应用的研究,TH878.2
- 无缝钢管超声涡流一体化自动检测系统的研究与开发,TH878.2
- 基于机器视觉系统的驾驶员疲劳检测研究,TP391.41
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|