收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

僵尸网络检测方法研究

王斌斌  
【摘要】: 僵尸网络是被攻击者远程控制、而其用户尚无感知的一群计算机组成的综合攻击平台,已发展为当今互联网的最严重安全威胁之一。僵尸网络区别于传统木马、蠕虫等恶意攻击方式的基本特性是,攻击者使用了一对多的命令与控制机制(Command and Control,C C)实现对多台主机的完全控制,指挥僵尸相互协作发起恶意活动,利用它们轻而易举地发起各类大规模的网络攻击,如分布式拒绝服务攻击、发送海量垃圾邮件等等。如何准确地识别僵尸主机是防御僵尸网络的首要任务,这对网络运营管理、打击网络犯罪等都具有非常重要的意义。 起初,僵尸网络主要依靠IRC(Internet Relay Chat)和HTTP(Hyper Text Transport Protocol)等协议实现集中式CC控制;以后,为了克服集中式结构存在的单点失效缺点,开始使用P2P(Peer-to-Peer)协议来构建分布式结构CC,以加强其自身的健壮性和隐蔽性。在僵尸网络高度可控环境下,攻击者可以通过相关命令频繁地更新僵尸程序以改变其特征码,因此基于特征码匹配的检测方法容易失效。目前识别僵尸主机的方法主要有:一是通过解析相关通信协议(如IRC和HTTP),挖掘异常通信行为来识别僵尸主机;二是根据同种僵尸主机CC通信行为的相似性以及攻击行为的相似性,通过聚类和关联的方法来识别包括IRC、HTTP和P2P等类型的僵尸主机。然而前者不能应对加密通信的情况;后者则依赖所监督网络存在多个同类僵尸主机的条件,难以识别网络中的单个僵尸主机。此外,主动测量技术也是识别P2P僵尸主机的有效方法,但已有这类技术给网络引入了大量额外流量,也会给正常节点的通信造成较大影响。 提出基于异常地址对应关系的Storm僵尸主机主动识别方法AASD。它可识别寄生于Overnet网络中、危害巨大的Storm僵尸主机。Overnet是一种DHT网络,其节点的标识符与通信地址(IP,Port)之间理论上存在一一对应的关系,但是实际发现它们之间存在一对多和多对一的异常对应关系,称一对多为标识符重用,而称多对一为通信地址重用。在归纳节点索引地址条目中的标识符重用和通信地址重用现象的基础上,发现了Storm僵尸索引地址条目的两个特征:(1)僵尸节点使用的标识符和通信地址同时具有重用现象;(2)每个重用标识符所对应的多个IP地址并不集中在一个特定子网。设计了Overnet网络高速爬虫,将其部署于PlanetLab全球实验平台上,收集到大量用于实验的索引地址条目;采用集合论方法识别出同时具有标识符重用和通信地址重用现象的节点索引地址条目;然后,利用最大信息熵理论量化重用标识符对应IP地址的分散度,并把分散度作为判别僵尸的重要依据。若分散度超过设定阈值,则对应重用标识符就是Storm僵尸使用的标识符,其对应的重用通信地址即为Storm僵尸使用的通信地址。实验结果表明:与已有的主动检测方法相比,AASD方法不仅能以95%的识别率识别出活跃Storm僵尸节点,而且还能识别出不活跃Storm僵尸节点;另外,其占用的网络带宽降低了约60%,有效减少了对正常Overnet节点用户的影响。 提出基于交互流簇分布相似率的P2P僵尸主机识别方法SIDPI。它可识别加密的Storm僵尸主机。特定IP端口(IP,Port)对上一定时窗内的所有流称为流簇。对非僵尸应用来说,其监听端口在不同时窗上各流簇的平均包长的分布相差很大,而僵尸则是相似的。采用相对熵理论量化两个相邻时窗分布间的距离,计算多个连续等长时窗内流簇平均包长分布的距离,分布相似率超过设定阈值(IP,Port)之主机即被标识为僵尸主机。还提出小流簇过滤算法,它提取网络中疑似僵尸主机的监听端口,削减须处理的网络流量,提高了流簇分布相似性判定效率。SIDPI方法的优点在于:(1)没有利用包负载信息,可以识别加密通信的僵尸主机;(2)不依赖多个僵尸间相似的群体通信和相似攻击行为,可以识别网络中的单个僵尸,特别是在僵尸传播的初期。实验结果表明,小流过滤算法能够滤掉网络中98%以上的(IP, Port),提高了后续相似率判定的效率;对采用加密通信和未加密通信的Storm僵尸的平均检测率约为95%。 提出一种基于网络连接行为模式的僵尸主机识别方法BMBD。它可识别当前活跃的IRC和HTTP僵尸主机。分析发现,僵尸节点的不同连接具有相似性、这些连接的间隔时间具有周期性。为此,首先使用无督导聚类方法聚合相似连接,使用循环相关函数挖掘潜在的周期,形成BCM (Bot Connection-Behavior Model, BCM)模式。然后,在网络边界抓取流量,通过BCM模式的匹配来识别僵尸主机。实验表明,BMBD既不依赖于僵尸主机的通信内容,也不依赖于僵尸的群组行为,能够检测网络内的单个僵尸节点,检测率在96%以上。另外,对于已知BCM模式的僵尸,BMBD方法还能检测出其僵尸变种,检测率约86.67%。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 冉宏敏;柴胜;冯铁;张家晨;;P2P僵尸网络研究[J];计算机应用研究;2010年10期
2 张洁;;基于P2P的僵尸网络的检测技术[J];商场现代化;2011年03期
3 柴胜;胡亮;梁波;;一种p2p Botnet在线检测方法研究[J];电子学报;2011年04期
4 张琛;王亮;熊文柱;;P2P僵尸网络的检测技术[J];计算机应用;2010年S1期
5 谢开斌;蔡皖东;蔡俊朝;;基于决策树的僵尸流量检测方法研究[J];信息安全与通信保密;2008年03期
6 于晓聪;董晓梅;于戈;秦玉海;;僵尸网络在线检测技术研究[J];武汉大学学报(信息科学版);2010年05期
7 戴维;;僵尸网络检测算法的比较研究[J];信息化研究;2011年03期
8 董开坤;刘扬;郭栗;董岚;;P2P僵尸网络检测技术[J];信息安全与通信保密;2008年04期
9 孔淼;史寿乐;;僵尸网络的分类及其检测技术[J];电脑知识与技术;2011年05期
10 曹挚;姜淑娟;;P2P文件污染及其检测方法研究[J];微电子学与计算机;2006年S1期
11 樊爱京,李波;一种连接INTERNET方案的设计与实现[J];平顶山师专学报;1999年04期
12 刘小君;周文科;;跨越NAT的P2P应用UDP通讯[J];现代计算机;2006年01期
13 张基温;董瑜;;大规模P2P网络下蠕虫攻击的研究[J];微计算机信息;2006年24期
14 方圆;吴灏;杨利明;;双层架构的P2P Botnet研究[J];计算机工程与设计;2008年11期
15 林涌;;僵尸网络BotNet探讨[J];电脑知识与技术;2009年17期
16 梁其川;吴礼发;;一种新颖的P2P僵尸网络检测技术[J];电脑知识与技术;2009年22期
17 蔡彬彬;赵巍;;国际互联网安全的重要威胁之一:僵尸网络[J];科技信息;2010年03期
18 刘刚;方滨兴;胡铭曾;张宏莉;;类Gnutella的对等网络的测量方法研究[J];计算机应用研究;2006年06期
19 陆伟宙;余顺争;;僵尸网络检测方法研究[J];电信科学;2007年12期
20 张伟;;僵尸网络综述[J];软件导刊;2008年09期
中国重要会议论文全文数据库 前10条
1 杨磊;;尼尔基水利枢纽沥青混凝土心墙施工现场质量控制[A];2004水利水电地基与基础工程技术[C];2004年
2 李吉平;刘文森;徐静;万家余;高宏伟;;高效液相色谱(HPLC)对葡萄球菌肠毒素A、B检测方法的研究[A];中国畜牧兽医学会2009学术年会论文集(下册)[C];2009年
3 汪凡文;罗丽华;张伟;;公路填石路堤的施工工艺与检测方法[A];计算机模拟与信息技术会议论文集[C];2001年
4 李张明;练继建;;大体积混凝土质量无损检测方法研究[A];中国地球物理学会年刊2002——中国地球物理学会第十八届年会论文集[C];2002年
5 孙侠菲;余景池;丁泽钊;郭培基;;超光滑硅柱面反射镜的加工和检测[A];现代光学制造技术论文集[C];2002年
6 李丽娟;李伟;;采用最大实体要求、可逆要求零件的检测方法研究[A];第七届青年学术会议论文集[C];2005年
7 李树清;易建平;胡永强;李健;王巧全;陈志飞;罗满林;周筱华;夏谦;潘晓钟;方怡;陈敏;;套式PCR和实时荧光PCR在检测胸膜肺炎放线杆菌上的应用[A];第六届全国会员代表大学暨第11次学术研讨会论文集(上)[C];2005年
8 于旭华;冯定远;黄志毅;;细菌来源和真菌来源阿拉伯木聚糖酶的酶学性质[A];酶制剂在饲料工业中的应用[C];2005年
9 符养杰;;粉喷桩处理公路软土地基施工工艺与质量检测的探讨[A];海南省公路学会2005年年会学术交流论文集[C];2005年
10 蔡智华;郭正元;;三唑类杀菌剂的研究进展[A];首届全国农业环境科学学术研讨会论文集[C];2005年
中国博士学位论文全文数据库 前10条
1 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年
2 吕晓鹏;P2P技术在IPv4/IPv6混合网中应用的关键问题研究[D];北京邮电大学;2011年
3 姚宏;面向异构应用的对等网络平台关键技术研究[D];华中科技大学;2010年
4 欧中洪;结构化对等网络:分等级体系结构研究和性能评价[D];北京邮电大学;2011年
5 张世栋;对等网络文件共享服务的优化技术研究[D];北京邮电大学;2012年
6 刘孝男;移动P2P网络中基于方向搜索算法的研究[D];吉林大学;2010年
7 许可;网络资源管理共性技术研究[D];北京邮电大学;2010年
8 扈鹏;移动Ad Hoc网络若干关键技术研究[D];北京邮电大学;2010年
9 李锐;IP网业务识别关键技术研究[D];北京邮电大学;2010年
10 彭浩;复杂对等网络系统中安全机制的研究[D];上海交通大学;2012年
中国硕士学位论文全文数据库 前10条
1 林森;利用网络异常行为检测僵尸主机[D];吉林大学;2012年
2 张朕;基于对等网络架构的流媒体在线直播系统的设计和实现[D];华东师范大学;2006年
3 孙丽婷;基于位置感知与兴趣分组的混合式P2P架构研究[D];山东科技大学;2010年
4 苏彦;面向高性能宽带信息网络流媒体业务的P2P关键技术[D];华南理工大学;2012年
5 魏小东;P2P流媒体系统数据调度机制研究[D];电子科技大学;2011年
6 郭磊;P2P系统中的信息检索理论及应用研究[D];山东师范大学;2011年
7 艾巍;DHT网络的测量与分析[D];电子科技大学;2011年
8 刘峰;基于社会化网络特性的Sybil攻击防御算法[D];上海交通大学;2011年
9 王明丽;基于主机的P2P僵尸病毒检测技术研究[D];电子科技大学;2009年
10 黎超;僵尸网络的研究及其检测[D];电子科技大学;2011年
中国重要报纸全文数据库 前10条
1 傅焕贵;工人技师胜洋专家[N];中国船舶报;2006年
2 闫凯;主机选购指南[N];中国电子报;2004年
3 赵奇峰;VPN老树开新花[N];中国计算机报;2002年
4 ;计算机供电系统故障导致的黑屏[N];财会信报;2005年
5 特约记者 蒋建新;中船澄西交付重点改装船“巴库”号[N];中国船舶报;2008年
6 薛恒明;数控功能部件对主机发展至关重要(下)[N];中国机电日报;2002年
7 杨浩;最后的战役[N];中国电脑教育报;2003年
8 斯伯丁;图解WLAN安全[N];电脑报;2004年
9 项红;防伪税控主机共享系统[N];中国税务报;2003年
10 ;风险评估让安全尽在掌握[N];计算机世界;2001年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978