学位论文 > 优秀研究生学位论文题录展示

僵尸网络检测系统的分析与设计

作 者: 苏云琳
导 师: 罗群
学 校: 北京邮电大学
专 业: 密码学
关键词: 僵尸网络 检测系统 异常流量 检测方法 专杀软件
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 135次
引 用: 3次
阅 读: 论文下载
 

内容摘要


随着计算机网络技术的迅猛发展和广泛应用,网络犯罪数量急剧增加,对用户与企业造成的危害也越来越大。造成这一现象的主要原因是僵尸网络的出现。僵尸网络为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络是整个网络犯罪的核心,能够将网络犯罪世界里的各个部分联接和统一起来。现阶段僵尸网络正步入快速发展时期,对互联网安全已经造成严重威胁。目前对僵尸网络的研究才刚刚兴起,采用的也多为流量检测的方法。但由于这种方法通常是等到僵尸网络爆发后,才开始提取特征,因此不能及时准确地发现并遏制僵尸网络。针对以上情况,本文的主要贡献和创新在于:设计了一套既能够检测又能够清除僵尸网络的系统,并且从网络层面提出了五种新的检测僵尸网络的方法。具体来说本文的工作主要包括如下几个方面:1.总结了僵尸网络的定义、工作原理及传播途径,并研究了传统的检测方法,同时简要地论述和分析了僵尸网络的发展趋势。2.在深入理解僵尸网络特点的基础上,本文设计了一套检测系统,这套系统既能够检测到僵尸网络,又能够阻断过滤僵尸网络的流量,同时还能够提供专杀软件帮助用户清除主机感染的僵尸程序。3.由于怎样把僵尸网络检测出来一直是僵尸网络研究的重点和难点,因此本文从网络层面提出了五种新的基于异常流量的检测方法,分别是:免疫虚拟机自动分析方案,异常行为识别方案,通信行为检测方案,首包上线方案和异常IRC检测方案。根据检测算法,系统能够及时发现僵尸网络的建立、控制与攻击,并通过清洗模块与专杀模块进一步遏制僵尸网络的扩散与危害。通过与传统检测方法的联合,本文提出的检测方法减少了对系统资源的需求,大大提高了系统的实效性,同时减少了“漏报率”和“误报率”。4.本文还提出了两种辅助验证方案,用于判断可疑主机是否参与了僵尸网络,验证系统检测得到的结果是否正确。5.在设计与实现工作完成后,本文对检测系统进行实验室测试以及实际网络测试,测试结果表明系统的功能和性能达到了设计的要求。系统的检测准确率较高,实时性较好,检测程度较深,检测范围较广,性能消耗较低,具有稳定性好、扩展性强和可操作性等优点。

全文目录


摘要  4-6
ABSTRACT  6-8
目录  8-10
第一章 绪论  10-16
  1.1 研究背景及意义  10-12
  1.2 国内外研究现状  12-15
  1.3 论文的结构安排  15-16
第二章 僵尸网络技术  16-28
  2.1 僵尸网络的组成  16-17
  2.2 僵尸网络的分类及各自的工作原理  17-23
    2.2.1 树状僵尸网络  18-20
    2.2.2 基于IRC协议实现的僵尸网络  20-22
    2.2.3 基于P2P协议实现的僵尸网络段  22-23
  2.3 僵尸网络的传播途径  23-24
  2.4 僵尸网络传统的检测方法  24-26
  2.5 僵尸网络的发展趋势  26-27
  2.6 本章小结  27-28
第三章 僵尸网络检测系统总体设计  28-42
  3.1 总体模块构成  28-30
  3.2 检测系统平台设计  30-32
    3.2.1 检测和过滤插件  30-31
    3.2.2 僵尸网络监控管理中心  31-32
  3.3 模块设计  32-35
    3.3.1 清洗模块  32-33
    3.3.2 僵尸专杀模块  33-35
  3.4 检测系统的架构设计  35-41
    3.4.1 系统部署的密度  35-36
    3.4.2 系统部署的位置  36-40
    3.4.3 部署专杀运营的应用场景  40-41
    3.4.4 部署主动探测的应用场景  41
  3.5 本章小结  41-42
第四章 僵尸网络检测系统检测方案设计  42-75
  4.1 DPI特征检测方案  42-46
    4.1.1 DPI检测技术原理  42-43
    4.1.2 DPI特征检测方案设计  43-46
  4.2 免疫虚拟机自动分析方案  46-54
    4.2.1 免疫技术原理  46-50
    4.2.2 免疫虚拟机自动分析方案设计  50-54
  4.3 异常行为识别方案  54-60
    4.3.1 异常行为识别技术原理  54-59
    4.3.2 异常行为识别方案设计  59-60
  4.4 通信行为检测方案  60-63
    4.4.1 通信行为检测方案原理  60-61
    4.4.2 通信行为检测方案设计  61-63
  4.5 首包上线检测方案  63-65
    4.5.1 首包上线检测方案原理  63-64
    4.5.2 首包上线检测方案设计  64-65
  4.6 异常IRC检测方案  65-71
    4.6.1 异常IRC检测方案原理  65-66
    4.6.2 异常IRC检测方案设计  66-71
  4.7 辅助验证方案  71-74
    4.7.1 恶意域名/IP监控方案  71-72
    4.7.2 主动检测  72-74
  4.8 本章小结  74-75
第五章 检测系统的实验结果及分析  75-84
  5.1 实验室测试系统功能  75-78
    5.1.1 测试环境  75-76
    5.1.2 测试结果分析  76-78
  5.2 实际网络测试  78-82
  5.3 僵尸网络检测产品之间的比较  82-83
  5.4 本章小结  83-84
第六章 总结与展望  84-86
  6.1 论文工作总结  84-85
  6.2 下一步研究方向  85-86
缩略语索引  86-88
参考文献  88-91
致谢  91-92
攻读硕士学位期间研究成果  92

相似论文

  1. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  2. 三聚氰胺在罗非鱼中的残留及消除规律研究,S963
  3. 基于表面增强拉曼光谱技术的鼻咽癌与胃癌检测方法研究,R739.63
  4. 受小窑区威胁综采面安全开采技术研究与应用,TD752.2
  5. 花生中镉的检测技术研究和镉分布的初步探索,S565.2
  6. 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
  7. 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
  8. 超视距协议传输检测系统设计与实现,TN958.93
  9. 车载路面裂缝检测图像处理系统的设计与实现,TP391.41
  10. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
  11. 介质阻挡放电光学观测系统研究与图像分析,TM835
  12. XML重复对象检测系统的设计与实现,TP311.11
  13. 基于行为特征的僵尸网络检测方法研究,TP393.08
  14. 阵列式自动光学检测系统的误差校正算法设计与实现,TP274
  15. 传统检测方法结合TRF方法评价原料乳质量,TS252.7
  16. 基于Petri网的网络入侵检测系统研究与实现,TP393.08
  17. 抑食肼在水稻上使用的安全性评价研究,S481.8
  18. 民机起落架刹车控制伺服阀检测系统研究,V227
  19. 高性能嵌入式超声无损检测系统及其应用的研究,TH878.2
  20. 无缝钢管超声涡流一体化自动检测系统的研究与开发,TH878.2
  21. 基于机器视觉系统的驾驶员疲劳检测研究,TP391.41

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com