学位论文 > 优秀研究生学位论文题录展示
基于行为特征的IRC僵尸网络检测方法研究
作 者: 李超
导 师: 方滨兴
学 校: 哈尔滨工业大学
专 业: 计算机科学与技术
关键词: 僵尸网络 IRC AC算法 相似性检测
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 248次
引 用: 2次
阅 读: 论文下载
内容摘要
僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式。通过僵尸网络可以发送垃圾邮件、窃取个人信息、发动拒绝服务攻击等,是目前国际网络安全领域最为关注的威胁之一。本文首先介绍了僵尸网络的定义和相关概念,研究僵尸网络工作原理和生命周期,重点剖析了不同协议类别僵尸网络的命令与控制机制,阐述了基于时区的僵尸网络传播模型,并对僵尸网络跟踪、检测和防御研究领域的方法进行总结。在此基础上深入研究IRC僵尸网络运行机制,分析僵尸程序与控制服务器交互的网络行为特征,提出了针对IRC僵尸网络形成初期的检测方法:昵称检测、控制命令检测和命令序列相似性检测。昵称检测通过分值计算、多正则式匹配和频道昵称距离检测僵尸主机。控制命令检测采用AC多模匹配增效算法查找僵尸网络命令关键字。命令序列相似性检测依据同频道聊天主机发送命令内容相似度来发现僵尸网络。三种检测方法面向登录过程不同阶段,检测结果互补,提高了僵尸网络检测率。最后设计并实现了IRC僵尸网络实时检测系统,在骨干网部署实验,检测出僵尸主机占IRC聊天主机比例约80%,取得了较好的检测结果。
|
全文目录
摘要 4-5 Abstract 5-8 第1章 绪论 8-13 1.1 课题背景 8-9 1.2 研究目的及意义 9-10 1.3 该领域研究现状 10-12 1.4 论文的组织结构 12-13 第2章 僵尸网络相关研究 13-27 2.1 僵尸网络概念、分类及生命周期 13-19 2.1.1 僵尸网络概念及特点 13-15 2.1.2 僵尸网络生命周期 15-17 2.1.3 僵尸网络分类及控制机制 17-19 2.2 僵尸网络传播模型 19-21 2.3 僵尸网络跟踪、检测与防御 21-25 2.3.1 僵尸网络跟踪 22-23 2.3.2 僵尸网络检测 23-24 2.3.3 僵尸网络防御与反制 24-25 2.4 本章小结 25-27 第3章 IRC 僵尸程序捕获与行为特征分析 27-37 3.1 IRC 僵尸程序捕获 27-31 3.2 IRC 僵尸网络行为特征分析 31-36 3.2.1 僵尸程序与控制服务器通信分析 31-34 3.2.2 控制者与控制服务器通信分析 34-35 3.2.3 僵尸网络行为特征总结 35-36 3.3 本章小结 36-37 第4章 IRC 僵尸网络检测方法研究 37-53 4.1 昵称检测机制 37-42 4.1.1 Scoring Function 37-38 4.1.2 多正则式匹配 38-40 4.1.3 频道昵称距离 40-42 4.2 控制命令检测机制 42-49 4.2.1 检测机理 42-43 4.2.2 AC 多模匹配增效算法 43-49 4.3 命令序列相似性检测 49-51 4.3.1 命令序列分析 49 4.3.2 相似度算法 49-51 4.4 本章小结 51-53 第5章 IRC 僵尸网络检测系统设计与实现 53-65 5.1 高性能捕包平台 53-57 5.1.1 零拷贝技术 54-55 5.1.2 多线程TCP/IP 协议栈 55-57 5.1.3 平台插件技术 57 5.2 IRC 僵尸网络检测插件 57-60 5.3 实验分析 60-64 5.3.1 实验环境 60 5.3.2 结果分析 60-64 5.4 本章小结 64-65 结论 65-66 参考文献 66-69 攻读学位期间发表的学术论文 69-71 致谢 71
|
相似论文
- 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
- 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
- 基于行为特征的僵尸网络检测方法研究,TP393.08
- 循环步进延时距离选通成像的三维显示研究,TP391.41
- 基于CPU+GPU异构平台的字符串匹配算法研究与实现,TP301.6
- 基于数据包特征的僵尸木马检测技术,TP393.08
- 云安全技术在数据中心僵尸网络防护中的应用,TP393.08
- 多模式匹配算法研究,TP393.08
- IDS检测算法和技术研究,TP393.08
- 基于Botnet的DDoS攻击取证技术的研究与实现,TP393.08
- 僵尸终端检测算法与研究,TP393.08
- 基于DNS数据流的僵尸网络检测技术研究,TP393.08
- IPv6环境下流量管理系统,TP393.04
- 基于SNORT的串行混合式入侵检测系统研究,TP393.08
- 基于流量特征的IRC僵尸网络检测技术研究,TP393.08
- 针对僵尸网络DDoS攻击的蜜网系统的研究与设计,TP393.08
- 基于SMTP协议分析的僵尸网络检测技术研究,TP393.08
- 电信运营商IP互联网安全服务研究,TP393.08
- 僵尸网络检测系统的分析与设计,TP393.08
- 基于异常行为特征的僵尸网络检测方法研究,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|