收藏本站
《国防科学技术大学》 2011年
收藏 | 手机打开
二维码
手机客户端打开本文

僵尸网络检测关键技术研究

王海龙  
【摘要】:僵尸网络的肆虐给互联网带来了极大的威胁,使得僵尸网络检测技术成为近年来网络安全领域的热点研究课题。僵尸网络检测,首先通过各种途径获取可能存在僵尸网络活动的相关信息,然后根据僵尸网络在这些信息中表征出来的内在特性,应用多种分析技术识别并判断出僵尸网络的存在,最终确定攻击者、命令与控制服务器以及僵尸主机的位置。近年来,国内外学者已经取得了相当的研究成果,但是僵尸网络检测在信息采集与融合、内在特性提取、针对通信与行为的诊断、检测的关联分析以及系统体系结构等方面仍然存在一些亟需解决的问题。 针对僵尸网络检测中的典型问题与共性需求,深入研究了关键技术以及应用部署的发展现状,提出了层次协同模型和基于该模型的僵尸网络协同检测系统,重点研究了僵尸网络威胁感知、特性分析两方面所涉及的模型和方法,并在此基础上设计实现了一个原型系统。主要贡献包括以下几个方面: 一、在深入分析已有僵尸网络检测体系结构不足以及协同工作优势的基础上,提出了层次协同模型——HCO(Hierarchical Collaborative)模型,并且从模型框架、数据结构、建模过程、协同机制四个层面对模型进行了详细设计。基于HCO模型提出了僵尸网络协同检测系统——Bot_CODS(Botnet Collaborative Detection System),并从体系结构、物理结构、逻辑结构以及工作原理四个方面对该系统进行了详细设计。HCO模型紧扣僵尸网络检测的基本思想,合理结合协同理念,充分发掘检测在信息、特性、决策三个不同层次上的配合联动能力。基于该模型的Bot_CODS具有较强的可扩展性和可交互性,其检测组件可以灵活地部署在异构的网络上,适应各种应用环境,内部组件之间、检测系统之间以及与其它安全产品之间可以做到安全高效地交互。此外,HCO模型提供的紧密协同关系,能够使得Bot_CODS对广泛分布的僵尸网络活动做出快速反应。由此可见,Bot_CODS有效满足了僵尸网络检测的需求。 二、根据僵尸网络活动的主要特点,提出了一种基于协同的僵尸网络分布式检测方法。首先,针对僵尸网络活动阶段多样、表现形式各异、活动范围广阔的特点,提出了一个基于角色的策略型协同威胁感知模型——RPCTAM(Role-based Politic Collaborative Threat Awareness Model)。该模型是在已有计算机支持的协同工作的研究基础上,引入“策略”定义,进一步定义了基本集合、基本关系以及相应规则,通过对角色、策略、任务的分解来划分协同的交互范围,并以工作组为单位保证组内/组间成员的交互和通信,提高了协同效率,加快了协同进程。然后,针对僵尸网络活动干扰安全工具诊断的特点,提出一种基于信任度量的恶意传感器判定方法。该方法通过计算Bot_CODS中部署威胁感知传感器(TAS)节点的信任值,判定节点上的TAS是否被僵尸网络攻陷,进而剔除恶意TAS发送的有害信息,提高了整个系统的可信性。最后,在确保Bot_CODS中TAS高效、可信协同工作的支持下,针对僵尸网络发起的隐秘DDoS攻击,提出了一种面向DDoS的僵尸网络协同检测方法。该方法的核心思想是:在DDoS攻击过程中,恶意报文加入正常流量导致一些流量的属性值发生了变化,将这些变化的流量属性合并为一个指标——流量状态快照(TSS);接着,计算不同时间间隔上TSS的整体偏差率(IDR),进而识别可疑的攻击源(恶意IP地址);再根据僵尸网络攻击行为的同步性,通过信息交互方式比对这些恶意IP地址,便可以从可疑攻击源中确认存在的僵尸主机。该协同检测方法减少了传统方法导致的漏报现象,节省了计算资源和存储空间,实现了对僵尸网络发起的隐秘DDoS攻击以及僵尸主机的快速准确检测。 三、内在特性是指导僵尸网络检测的关键。为了获取有效的内在特性,提出一种面向命令与控制(CC)的僵尸网络特性提取方法。首先,针对僵尸网络内在特性的表现形式(包括特征、异常以及特征模式)以及它们之间的联系,提出一种僵尸网络特性信息描述方法。该方法对特性信息的具体内容进行了定义,并使用巴克斯范式对特性信息进行抽象描述,还定义了一种基于XML的描述语言——FIDL(Feature Information Description Language),把特性信息描述为具有统一结构的文档形式供TAS使用,达到了提高检测工作效率和灵活性的目的。然后,针对CC信道必定经过网络传输以及攻击命令具有相对固定的格式和命令字等特点,提出了一个CC信道的特征(Signature)提取模型,主要由前期过滤、协议分类、数据预处理、特征提取以及特征判定五部分组成。其中,根据僵尸程序对攻击命令作出响应方式的差别,提出了一个针对攻击命令的判定方法。该模型应用于流经边缘网络的网络流量,主要解决蜜罐/蜜网适用性不强的问题,能够准确地从僵尸网络通信中提取出具有命令格式的特征,能够集成多种特征提取技术(例如本文采用的多序列联配算法),满足了面向CC的僵尸网络特性提取的需求。 四、针对僵尸网络扩张迅速、瞬间危害巨大的特点,提出一种基于前缀哈希树的僵尸网络特性融合方法,具体包括特性聚合和特性访问两个方面。Bot_CODS中所有威胁监控中心(TMC)在基于前缀哈希树构建的平台上将局部信息逐级汇聚,通过聚合规则获取最终的全局信息,并分布式存入特性库中,实现将局部特性信息以最短的时间在全网范围内进行确认,保证Bot_CODS中的相关TMC做好应对准备。此外,提出一种基于前缀哈希树的特性信息访问算法FIA-PHT(Feature Information Access algorithm based on PHT)。TAS根据命名/发布情况,使用多属性区间查询的方法,能够快速查询访问存储在特性库中的特性信息,进而确保TMC下的TAS具备更有针对性的检测能力。通过理论分析和互联网真实数据集的模拟实验验证了该方法的准确性和可行性,查询延迟、节点负载都明显优于同类型解决方案。 五、基于上述关键问题的研究,设计并实现了Bot_CODS的原型系统,重点细化了其中的威胁感知传感器、威胁监控中心、威胁判决中心等关键组件。该原型系统集成了拓扑发现、流量采集、入侵检测等软件与工具,实现了基于协同的僵尸网络分布式检测方法、面向命令与控制的僵尸网络特性提取方法以及基于前缀哈希树的僵尸网络特性融合方法,验证了层次协同模型HCO。 本文是对僵尸网络检测的一次有益探索,研究成果对于促进僵尸网络检测研究具有良好的理论价值和实践意义。本文所做的工作已在承研的国家863高技术研究发展计划基金、自然科学基金以及实际工程项目中得到了应用。
【学位授予单位】:国防科学技术大学
【学位级别】:博士
【学位授予年份】:2011
【分类号】:TP393.08

【相似文献】
中国期刊全文数据库 前10条
1 罗新密;DDoS攻击防范策略研究[J];湖南商学院学报;2003年03期
2 曹玥,李晖,吕东亚;基于DDoS的TCP SYN攻击与防范[J];电子科技;2004年02期
3 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期
4 范斌;;一种基于数据融合的DDoS入侵检测系统的设计与分析[J];科技信息(学术研究);2007年28期
5 郝志宇,云晓春,张宏莉,陈雷;基于相似度的DDoS异常检测系统[J];计算机工程与应用;2004年35期
6 范斌;胡志刚;张健;;一种基于数据融合的DDoS入侵检测系统的设计[J];科技信息(学术研究);2007年32期
7 张乾;桑军;;Linux环境下基于正则表达式的DDoS防御研究[J];软件导刊;2010年02期
8 石景山;;利用路由器防御DoS攻击[J];福建电脑;2010年10期
9 李坤;;无线局域网DDoS攻击概述[J];科技广场;2010年08期
10 贾文丽,薛强,孙济洲;分布式端口反弹攻击及检测[J];计算机工程;2004年07期
中国重要会议论文全文数据库 前10条
1 李冉;黄遵国;肖枫涛;;逐层削弱DDoS攻击防御体系中客户层设计[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
2 廖鹏;;基于异常特征的DDoS检测模型[A];经济发展方式转变与自主创新——第十二届中国科学技术协会年会(第四卷)[C];2010年
3 刘明;张少波;党力明;;基于IXP1200的DDoS攻击防御系统设计与实现[A];教育部中南地区高等学校电子电气基础课教学研究会第二十届学术年会会议论文集(下册)[C];2010年
4 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
5 齐琳琳;荆彦文;孟洪波;孙海云;;毛细管气相色谱法检测大气中的肼[A];中国化学会第五届全国化学推进剂学术会议论文集[C];2011年
6 杨科;陈信男;胡华平;;CC变种攻击的设计与实现[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
7 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年
8 戴亚斌;刘梅;何农跃;;基因芯片技术在微生物检测中的应用[A];中国畜牧兽医学会兽医公共卫生学分会成立大会暨第一次学术研讨会论文集[C];2008年
9 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
10 张健东;王军;卢晋英;石欣荣;;BacT/Alert培养仪常规检测时间的探讨[A];第五次全国中青年检验医学学术会议论文汇编[C];2006年
中国重要报纸全文数据库 前10条
1 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年
2 本报记者 宋家雨;对DDoS说不[N];网络世界;2005年
3 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年
4 ;DDoS攻击[N];人民邮电;2010年
5 ;当DDoS遇到云计算[N];网络世界;2010年
6 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年
7 ;防御DDoS的六大绝招[N];网络世界;2002年
8 ;DoS和DDoS的“终 结 者”[N];网络世界;2003年
9 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年
10 记者 靳辉;DDOS有待手术式清洗[N];通信产业报;2008年
中国博士学位论文全文数据库 前10条
1 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年
2 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年
3 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年
4 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年
5 郭睿;分布式拒绝服务攻击防御技术研究[D];东北大学;2008年
6 程杰仁;复杂场景遥感图像目标检测方法研究[D];国防科学技术大学;2010年
7 向渝;IP网络QoS和安全技术研究[D];电子科技大学;2003年
8 陈永芳;我国植物青枯菌的遗传多样性和马铃薯青枯菌的PCR检测技术研究[D];中国农业科学院;2000年
9 李目海;基于流量的分布式拒绝服务攻击检测[D];华东师范大学;2010年
10 余杰;P2P网络测量与安全关键技术研究[D];国防科学技术大学;2010年
中国硕士学位论文全文数据库 前10条
1 黄文宇;基于行为分布的DDoS攻击检测方法[D];北京化工大学;2010年
2 田开琳;低速DDoS攻击的异常检测[D];华东师范大学;2010年
3 韩超;一种基于攻击端的DDoS攻击防御方法[D];大连理工大学;2010年
4 黄强;基于分布式的DDoS攻击及防范技术研究[D];合肥工业大学;2011年
5 李海龙;基于网络连接特征的DDoS检测系统的研究与实现[D];南京航空航天大学;2009年
6 朱宏涛;基于用户信誉值防御DDoS攻击的协同模型[D];河北大学;2009年
7 朱斌;宽带运营商(省级)DDoS攻击防御平台设计与实现[D];南昌大学;2011年
8 李银锦;DDoS流量清洗系统设计与实现[D];华中科技大学;2011年
9 赵宣;基于特征分析的DDoS攻击检测技术研究[D];苏州大学;2011年
10 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026