学位论文 > 优秀研究生学位论文题录展示

基于行为特征的僵尸网络检测方法研究

作　者: 谢松林
导　师: 李伟明
学　校: 华中科技大学
专　业: 信息安全
关键词: 网络安全僵尸网络行为特征相似性
分类号: TP393.08
类　型: 硕士论文
年　份: 2011年
下　载: 52次
引　用: 0次
阅　读: 论文下载

内容摘要

互联网的迅猛发展,给人们的生活和工作带来了便利,但由此而引发的网络安全问题也不容小觑。僵尸网络就是一种巧妙设计并且已经发展的比较成熟了的技术,这项技术正在被越来越多的应用在如广告发送、垃圾邮件和分布式拒绝服务攻击等非法活动中。僵尸网络由大量被控制的计算机组成,这些计算机接收控制者的指令,然后执行命令,通常这些指令都是恶意的。这样控制者不仅可以达到隐蔽自身的目的,而且可以用这些被控制的计算机来发动各种攻击。所以,如何检测僵尸网络,已经成为网络安全领域一个非常重要的问题。对僵尸网络的恶意行为进行了详细的描述,并从中选取了六个典型的行为作为僵尸网络的普遍行为特征。然后在入侵检测系统的基础上实现了六个插件,分别用来产生这六个行为的初级告警。接着通过对这些初级告警进行关联分析,从而检测出僵尸网络。对初级告警进行关联分析,只能检测出已知的僵尸网络。为了检测未知的僵尸网络,对被监控的所有主机,计算其告警的行为相似性和时间相似性,然后依据相似性的计算结果来检测未知的僵尸网络。根据提出的检测机制实现了一个原型系统,并在真实环境网络环境下运行僵尸样本程序进行测试。实验结果表明,提出的检测机制能非常有效的检测出僵尸网络。

全文目录

摘要  4-5
Abstract  5-8
1 绪论  8-16
  1.1 引言  8
  1.2 僵尸网络概述  8-11
  1.3 僵尸网络检测机制国内外研究现状  11-15
  1.4 主要研究内容  15
  1.5 论文的组织  15-16
2 Botnet 行为分析及特征选取  16-20
  2.1 Botnet 恶意行为分析  16-19
  2.2 行为特征的选取  19
  2.3 本章小结  19-20
3 已知僵尸网络的关联检测方法  20-27
  3.1 关联规则的定义以及详解  20-22
  3.2 字符串匹配算法  22
  3.3 周期性检测算法  22-25
  3.4 关联检测算法  25-26
  3.5 本章小结  26-27
4 未知僵尸网络的相似性检测方法  27-32
  4.1 相似性定义  27-28
  4.2 相似性计算  28-30
  4.3 利用相似性检测僵尸网络  30-31
  4.4 本章小结  31-32
5 检测系统的设计与实现  32-40
  5.1 系统结构  32
  5.2 设备端实现  32-35
  5.3 管理端实现  35-39
  5.4 本章小结  39-40
6 实验结果与分析  40-47
  6.1 实验环境和实验方法  40
  6.2 实验结果  40-44
  6.3 实验结果分析  44-46
  6.4 本章小结  46-47
7 总结与展望  47-49
  7.1 总结  47
  7.2 展望  47-49
致谢  49-50
参考文献  50-53
附录1 部分bot 僵尸样本行为列表  53

基于行为特征的僵尸网络检测方法研究

内容摘要

全文目录

相似论文