学位论文 > 优秀研究生学位论文题录展示

基于异常行为特征的僵尸网络检测方法研究

作 者: 杨奇
导 师: 何聚厚
学 校: 陕西师范大学
专 业: 计算机应用技术
关键词: 僵尸网络 IRC 僵尸频道 响应集群
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 85次
引 用: 0次
阅 读: 论文下载
 

内容摘要


僵尸网络(Botnet)是攻击者利用互联网秘密建立的可以集中控制的计算机群,并由此可以进行大范围的分布式拒绝服务攻击、发送垃圾邮件、网络仿冒等。快速有效的检测到僵尸网络,可以预防控制相关网络事件。但由于被控制计算机的覆盖面广、类型复杂多样,这为僵尸网络的检测提出了挑战。如何快速准确的检测出僵尸网络成为该领域的重要研究方向。本文剖析了基于IRC协议僵尸网络的功能结构、工作机制及目前常见的几种僵尸网络检测算法的优缺点,从僵尸频道下主机对控制者的异常行为反应这一特点出发,提出一种基于异常行为特征的僵尸频道检测算法。设计实现了基于IRC僵尸网络异常行为特征的检测原型系统,并通过实验验证了该算法的有效性。本文的主要工作包括:(1)分析了僵尸网络传统的检测算法及其优缺点,提出了基于僵尸网络异常行为特征的检测框架。(2)将编译的僵尸程序植入到虚拟主机中,利用IRCd源码包构建的IRC服务器搭建了僵尸网络运行环境,并对僵尸频道下僵尸控制者的攻击行为进行了模拟分析,找出IRC僵尸频道和正常IRC聊天频道下主机响应的不同点。(3)提出基于异常行为特征的僵尸网络检测算法,主要思想是:将连接到相同IRC Server的主机进行分组,定义相同组中主机的消息和行为响应为一个响应集,某个响应集中响应超过一个预先设定阀值,则断定该响应集密集。通过TRW假设检验算法对每个时间窗口的响应集的密集度进行分析最后判断当前频道是否为僵尸频道。(4)针对本文算法设计实现了基于IRC僵尸网络异常行为特征的检测原型系统,分别针对正常IRC频道和植入了Bot的IRC频道两个方面进行了实验分析,验证了本文算法和框架的有效性。

全文目录


摘要  3-4
Abstract  4-9
第1章 绪论  9-15
  1.1 研究背景及意义  9-10
  1.2 研究现状  10-12
  1.3 研究内容  12-13
  1.4 论文组织结构  13-14
  1.5 本章小结  14-15
第2章 僵尸网络概述  15-27
  2.1 僵尸网络定义  15-16
  2.2 僵尸网络分类  16-17
    2.2.1 按bot程序的种类分类  16
    2.2.2 按Botnet的控制方式分类  16-17
  2.3 僵尸网络的危害  17-18
  2.4 僵尸网络的功能结构  18-20
  2.5 基于IRC协议的僵尸网络工作机制  20-24
    2.5.1 IRC僵尸网络工作原理  21-23
    2.5.2 IRC僵尸网络的命令与控制机制  23-24
  2.6 本章小结  24-27
第3章 基于异常行为检测的可行性分析及研究框架概述  27-39
  3.1 传统僵尸网络检测方法分析  27-32
    3.1.1 基于僵尸主机信息的检测方法  27-29
    3.1.2 基于流量监测的检测方法  29-31
    3.1.3 分析总结  31-32
  3.2 僵尸网络工作过程分析  32-34
  3.3 僵尸网络行为分析  34-36
    3.3.1 扩散攻击行为分析  34-35
    3.3.2 下载与更新行为分析  35
    3.3.3 分布式拒绝服务攻击行为分析  35-36
  3.4 僵尸网络异常行为特征分析  36
  3.5 基于异常行为特征检测可行性分析  36-37
  3.6 基于异常行为特征检测的研究框架概述  37-38
  3.7 本章小结  38-39
第4章 僵尸网络异常行为特征分析及检测算法研究  39-59
  4.1 僵尸网络攻击平台搭建  39-41
    4.1.1 搭建IRC中心服务器  39-40
    4.1.2 构造虚拟主机  40-41
  4.2 僵尸网络攻击行为模拟  41-54
    4.2.1 构造僵尸程序  41-44
    4.2.2 构造僵尸主机  44-46
    4.2.3 构造僵尸网络  46-49
    4.2.4 僵尸网络攻击行为模拟  49-54
  4.3 僵尸网络异常行为特征描述  54-55
  4.4 响应集群密集度检测算法设计  55-57
    4.4.1 算法思想  55-56
    4.4.2 算法描述  56-57
  4.5 基于异常行为特征的僵尸频道检测模型  57-58
  4.6 本章小结  58-59
第5章 基于异常行为特征的检测原型系统设计  59-63
  5.1 原型系统框架设计  59-60
    5.1.1 预处理模块  60
    5.1.2 消息响应捕获模块  60
    5.1.3 行为响应捕获模块  60
    5.1.4 分析检测模块  60
  5.2 检测结果分析  60-62
    5.2.1 正常IRC频道  61
    5.2.2 植入bot的IRC僵尸频道  61-62
  5.3 本章小结  62-63
第6章 总结和展望  63-65
  6.1 工作总结  63
  6.2 工作展望  63-65
参考文献  65-69
致谢  69-71
攻读硕士学位期间的研究成果  71

相似论文

  1. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  2. 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
  3. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
  4. 基于行为特征的僵尸网络检测方法研究,TP393.08
  5. 循环步进延时距离选通成像的三维显示研究,TP391.41
  6. 基于数据包特征的僵尸木马检测技术,TP393.08
  7. 云安全技术在数据中心僵尸网络防护中的应用,TP393.08
  8. 基于Botnet的DDoS攻击取证技术的研究与实现,TP393.08
  9. 僵尸终端检测算法与研究,TP393.08
  10. 基于DNS数据流的僵尸网络检测技术研究,TP393.08
  11. 基于流量特征的IRC僵尸网络检测技术研究,TP393.08
  12. 针对僵尸网络DDoS攻击的蜜网系统的研究与设计,TP393.08
  13. 基于SMTP协议分析的僵尸网络检测技术研究,TP393.08
  14. 电信运营商IP互联网安全服务研究,TP393.08
  15. 僵尸网络检测系统的分析与设计,TP393.08
  16. 基于数据流的僵尸网络检测系统设计与实现,TP393.08
  17. 半分布式P2P僵尸网络的构建及检测技术研究,TP393.08
  18. 新型P2P僵尸网络的研究,TP393.08
  19. 基于P2P的僵尸网络的实现与防御,TP393.08
  20. 中小型局域网中P2P僵尸网络的检测,TP393.1

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com