学位论文 > 优秀研究生学位论文题录展示
基于流特征的恶意代码检测
作 者: 王子龙
导 师: 王劲松
学 校: 天津理工大学
专 业: 计算机应用技术
关键词: 恶意代码 流特征 NetFlow 异常
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 23次
引 用: 0次
阅 读: 论文下载
内容摘要
伴随着互联网技术的高速发展,网络设备与计算机已经深入到国家机关、企业和千家万户中,我们对计算机网络的依赖性日益增强。同时我们要看到,许多计算机用户甚至网络管理人员安全意识薄弱,不能有效地保护自己的主机和网络。加上网络威胁层出不穷,不断变换着方式,严重威胁了计算机网络的安全。如何能保证计算机网络的安全,是一个富有挑战性的任务。僵尸木马、计算机病毒和蠕虫是目前网络中普遍存在的恶意代码。传统的基于应用层Payload的检测方法存在不能检测加密Payload或新出现的恶意代码,无法在Gbit/s级流量下进行检测和不能长期保存历史数据等不足。而且往往需要大量先验知识,在如今恶意代码更新迅速的情况下,该方法具有明显的滞后性。为此本文提出了一种基于流特征的恶意代码检测方法,能够较好地弥补上述不足。并且流作为标准(RFC 3917)已经被众多网络设备厂商支持,具备在真实环境下实验的条件。通过对校园网核心路由交换机发出的NetFlow数据的收集、统计与分析,本文发现了10余种网络漏洞扫描、3种蠕虫及1种僵尸木马的流特征,以及一些目前暂时无法定性的异常流特征。此外,本文还实现了图形化的流特征统计,包括常用协议分布、主机双向流量TOP N、主机对外SYN连接TOP N、校园网TCP_flag位统计、校园网实时流量等功能。通过多种角度对数据统计并以图形界面显示,能更直观地发现什么时候校园网出现了异常流量,并且可以通过进一步分析流数据,以确定是何种异常流量。本文通过真实环境下的实验证明了基于流特征的恶意代码检测技术是可行的,并且能够有效弥补基于应用层Payload检测方法的不足。
|
全文目录
摘要 5-6 Abstract 6-9 第一章 绪论 9-15 1.1 Botnet发展概况、原理及研究现状 9-12 1.1.1 Botnet的发展过程 9-10 1.1.2 Botnet的工作过程 10 1.1.3 Botnet的分类 10-11 1.1.4 Botnet的危害 11 1.1.5 Botnet的研究现状 11-12 1.2 蠕虫的定义、发展史及研究现状 12-13 1.2.1 蠕虫的定义 12 1.2.2 蠕虫发展史 12-13 1.2.3 蠕虫和一般计算机病毒的异同 13 1.2.4 蠕虫研究现状 13 1.3 本文的主要工作 13-14 1.4 论文的组织结构 14-15 第二章 相关理论与技术 15-21 2.1 NetFlow相关技术 15-17 2.1.1 NetFlow协议架构 15-16 2.1.2 NetFlow数据包格式 16-17 2.1.3 NetFlow在网络恶意代码检测中的优势 17 2.2 JfreeChart相关技术 17-21 2.2.1 JfreeChart的配置 18 2.2.2 JfreeChart中部分核心类包 18-19 2.2.3 JfreeChart在网络异常流量检测中的应用 19-21 第三章 NetFlow数据收集器的设计与实现 21-26 3.1 MySQL数据库数据类型 21-22 3.2 NetFlow数据收集器设计 22-25 3.2.1 MySQL数据库设计 22-23 3.2.2 数据收集机制 23-25 3.3 NetFlow数据收集器实现 25-26 第四章 恶意代码检测系统的设计与实现 26-42 4.1 恶意代码的检测 27-30 4.1.1 Botnet的检测 27-28 4.1.2 网络扫描和蠕虫的检测 28-30 4.2 实验环境 30-31 4.3 实验结果与分析 31-42 4.3.1 僵尸网络检测结果分析 32-34 4.3.2 网络扫描和蠕虫检测结果分析 34-37 4.3.3 其他异常流量检测结果分析 37-38 4.3.4 JfreeChart报表分析 38-42 第五章 总结与展望 42-43 5.1 全文总结 42 5.2 今后的工作和展望 42-43 参考文献 43-45 发表论文和科研情况说明 45-46 致谢 46
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 基于核方法的高光谱图像异常检测算法研究,TP751
- 人工免疫分类和异常识别算法的改进,R392.1
- 面向自恢复的微重启技术研究,TP306
- 胸腔镜下手术与开胸手术治疗肺隔离症的临床比较研究,R655.3
- MHD人群慢性肾脏病—矿物质和骨异常(CKD-MBD)单中心横断面研究,R692.5
- 青年男性心肌梗死的临床特点及血脂异常与近中期预后的临床研究,R542.22
- PPARa基因V227A多态性与早发2型糖尿病的相关性研究,R587.1
- 贝叶斯方法下二值与多值序次数据模型与异常点的同时识别,O212.1
- 交通视频中车辆异常行为检测及应用研究,TP391.41
- 骨髓增生异常综合征患者骨髓间充质干细胞细胞遗传学特征的研究,R551.3
- 男性不育患者染色体核型异常及AZF基因微缺失分析,R698.2
- 一种多数据流聚类异常检测算法,TP311.13
- 基于BP神经网络的GPS高程拟合模型及其应用研究,P228.4
- 基于投影寻踪回归的网络异常检测机制研究,TP393.08
- 压缩感知在无线通信网络异常事件检测中的应用研究,TN929.5
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- “嫦娥一号”微波探测仪数据预处理与分析,V446.9
- 儿童孤独症的早期特征与影响异常情况发现时间的因素分析,R749.94
- 可穿戴心电信号质量综合评估及节律分析系统,TN911.7
- 家庭无线场景下链路质量评价与中继机会判断,TN929.5
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|