收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

僵尸网络异常流量分析与检测

王新良  
【摘要】:僵尸网络被不法分子用于拒绝服务攻击、发送垃圾邮件、窃取金融信息等,对国家网络安全造成了较大的威胁,如何能够准确地实现僵尸网络异常检测是亟待解决的一个问题。 本文首先基于蜜罐技术获取可疑僵尸IP,并针对每天可疑IP的个数及其产生的异常流量统计规律进行深入的分析,以便能够利用获取的可疑IP集合更好地实现高速网络流量过滤,达到有效缩减高速网络流量的目的;然后,本文通过对指纹特征提取技术的研究提高指纹特征的提取效率,为基于指纹特征的僵尸网络检测算法性能的提高提供基础,更好地完成已知类型僵尸网络的检测;最后,通过将基于指纹特征的僵尸网络检测算法、基于流统计特征的僵尸网络检测算法和基于行为的僵尸网络检测算法相结合,以便能够更加准确的检测未知类型的僵尸网络。主要研究内容和创新点如下: 蜜罐异常流量分析及实验统计模型。本文针对部署在数据中心的蜜罐进行470天的不间断数据监测,提出了蜜罐服务器每天的攻击人数分布统计模型,指出每天的扫描攻击人数在某一个较短的时间段内是服从正态分布的,而服务器所在网络的安全状况随网络环境及网络安全措施的变化而变化,因此不同时间段内,扫描人数的均值和方差会发生变化,因此尽管扫描人数在某一个网络环境相对稳定的时间段内服从正态分布,但其是非平稳的。攻击人数的分布统计模型为评估僵尸网络可疑IP规模提供一定的实验统计基础;同时,本文对攻击者攻击频率、端口攻击频率等统计特征分布进行了详细分析,分析指出,网络安全人员应该对所占比例小、网络安全危害大的可疑IP、可疑端口、可疑网段进行过滤,使有限的网络安全资源重点关注可疑对象,以便能够更好的解决网络安全问题。 僵尸网络指纹特征自动提取技术研究。指纹特征自动提取算法能够有效实现指纹特征地自动提取,为僵尸网络检测提供基础,但僵尸网络流量有其固有的流量特性,已有的指纹特征提取算法并不能完全适用于僵尸网络指纹特征的自动提取。本文提出的指纹特征自动提取算法及系统设计框架是在已有算法的基础上,依据僵尸网络指纹特征分布的特点进行改进,能够自适应地对不同功能的数据流分别进行指纹特征提取。基于改进后的僵尸网络指纹特征提取算法对采集的僵尸网络异常流量数据进行指纹特征提取,实验结果表明,改进后算法获取的有效指纹特征数要远远优于改进前算法提取的有效特征数,从而能够更好地完成僵尸网络的异常检测。 基于行为特征的僵尸网络检测算法研究内容具体如下: 1)僵尸网络传播特性研究。蠕虫传播过程根据不同的网络环境,基于传染病模型进行建模分析。而僵尸网络传播过程与蠕虫有所不同,受感染的僵尸主机根据分工不同实现合作,用于僵尸程序传播的主机只是受感染主机的一部份,即传播受控。基于僵尸网络传播特性,在SIR (Susceptibles, Infectives, Recovered)模型基础上根据僵尸网络传播特点进行建模,分析了僵尸网络感染的主机数与传播比例之间的关系,并引入稳定传播持续时间的定义,用于量化分析网络稳定性。使用该模型从理论上分析了传播比例、预期达到的僵尸网络规模和网络稳定性之间的关系,指出僵尸网络传播的受控特性能够很好的适应僵尸网络规模日趋分散化的发展趋势。 2)高速网络中的扫描行为检测算法研究。为有效地检测存在于高速链路中的扫描攻击,在扫描检测算法TRW (Threshold RandomWalk)的基础上,基于蜜罐对TRW算法进行了改进,并对其性能进行了深入的分析,分析表明改进算法能更加快速确定扫描源。同时着重分析了在选择性系统采样下,Snort、TRW和TRWHP (Threshold Random Walk Based on Honeypot)三种扫描检测算法的异常检测准确率,实验结果表明在同样的采样比率下,改进算法TRWHP与TRW算法相比,误报率相差不大,但漏报率指标则得到显著改善,获得较好的检测性能。同时,针对已有的基于数据报文长度的选择性采样方法,从理论上分析了其对扫描检测算法性能的影响。同时,研究基于报文长度的选择性采样方法和系统采样方法对TRW算法检测性能的影响。实验结果表明,在确保两种采样方法采样前后报文数相等的情况下,基于数据报文长度的选择性采样方法对TRW算法的检测性能影响较小,能够获得更高的扫描成功检测率。通过研究各种采样技术对各种扫描检测算法的影响,为在高速链路中扫描异常流量的检测提供相应的实验基础。 3)基于多级分类器的僵尸网络检测算法研究。僵尸网络各种变种层出不穷,已有的异常检测算法尽管在一定程度上具有检测未知类型僵尸网络的能力,但模型的泛化能力及检测准确性仍有待提高。本文提出的基于多级分类器的僵尸网络异常检测结构,第一级分类器提出一种新的周期性通信检测方法,该方法与频谱分析的方法相比算法复杂度低,能够在线、实时检测僵尸网络;第二级分类器则利用周期通信IP对的统计特征基于决策树算法进行僵尸网络的异常检测。实验结果表明,周期性通信检测算法针对异常的检测准确率高,但存在误判率偏高的问题。而多级分类器构造的模型则在保证异常检测准确率的基础上,有效降低了误判率,达到了6.5%的较好水平。因此,多级分类器构造的模型对未知类型的僵尸网络具有良好的检测性能。 基于流统计特征的僵尸网络检测技术研究。本文将基于指纹特征的检测方法与基于流统计特征的检测算法相结合,提出二级僵尸网络检测结构实现高速网络流量中的IRC僵尸网络异常检测。首先,基于IRC协议的指纹特征完成IRC流量的准确检测。然后利用特征选择算法完成特征集合的筛选,并针对不同特征子集基于LADTree分类算法进行僵尸网络异常检测。实验结果表明基于获取的特征子集1和特征子集2利用LADTree分类算法,分别针对不同时间段的测试数据集进行僵尸网络检测,异常检测准确率和正常检测准确率分别达到83.3%和93%以上,表明本文提出的二级僵尸网络检测结构具有良好的检测效果和泛化能力。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 黄艳秋;;IA-SVM算法在网络入侵检测中的研究[J];计算机仿真;2011年01期
2 彭友山;;指纹识别及其应用[J];现代物理知识;2005年06期
3 江杰;李杰;胡晓莉;;自动指纹识别中的图像预处理算法研究[J];微计算机信息;2005年26期
4 赵慧民;张惠乐;胡学骏;;一种在视频图像中隐藏指纹节点的技术[J];固体电子学研究与进展;2006年02期
5 吴东生;;以指纹特征为基础的网上金融及商务身份认证技术[J];办公自动化;2006年02期
6 贾冠昕;杨波;陈贞翔;彭立志;;基于NetFlow时间序列的网络异常检测[J];计算机工程与应用;2008年24期
7 冯美仙;袁红梅;;指纹特征提取的算法研究[J];大庆师范学院学报;2008年05期
8 曹敏;程东年;张建辉;吴曦;;基于自适应阈值的网络流量异常检测算法[J];计算机工程;2009年19期
9 陈晨;;有中国特色的网虫[J];程序员;1999年05期
10 李树旺,杨路明,张超,邵济平;Linux下基于flow-tools的网络异常流量分析[J];网络安全技术与应用;2005年10期
11 刘春明;;指纹特征规模研究[J];计算机仿真;2007年08期
12 张敏;;试论网络流量异常分析现状及问题[J];电脑编程技巧与维护;2010年08期
13 罗腾;;基于协议分析的入侵检测系统研究与设计[J];中国新技术新产品;2010年14期
14 张雅明;林立忠;刘智国;;结合遗传算法与LSSVC的网络异常检测[J];计算机仿真;2010年12期
15 薛明杰,郭忠文,董大年,李莉;基于指纹模板的考勤系统设计与实现[J];计算机应用研究;2005年10期
16 王水平;;基于指纹身份认证的密钥系统设计[J];计算机应用;2006年10期
17 李涛;曾英;甄姬娜;;一种新的基于动态口令的远程双向认证[J];微计算机信息;2007年33期
18 付强;甘亮;李爱平;吴泉源;;一种基于主成分分析算法的网络异常检测实现[J];南京师范大学学报(工程技术版);2008年04期
19 宋顺祖;王建辉;;浅谈指纹检验中的假定[J];甘肃警察职业学院学报;2009年03期
20 刘灵丽;侯付军;张霞;;一种记录指纹特征点信息的改进方法[J];湘南学院学报;2009年05期
中国重要会议论文全文数据库 前10条
1 李新安;林德莲;左双全;;原油的NMR指纹特征[A];第八届全国波谱学学术会议论文摘要集[C];1994年
2 罗成行;杨得新;杨波;;一个基于指纹和智能卡的密钥封装方案[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
3 应捷;袁一方;张仁杰;于莲芝;;实时指纹识别系统的特征点匹配算法[A];第三届全国信息获取与处理学术会议论文集[C];2005年
4 郭建斌;;钢闸门腐蚀病害的指纹特征及其度量方法研究[A];2007重大水利水电科技前沿院士论坛暨首届中国水利博士论坛论文集[C];2007年
5 李先端;钟银燕;顾雪竹;代婉莹;毛淑杰;;采用不同蜂蜜炮制甘草的指纹特征的比较[A];2009年全国中药学术研讨会论文集[C];2009年
6 唐洪三;王宇蓉;洪志华;张林晔;;色谱指纹参数在埕岛西油田油层配产中的应用[A];第十届全国有机地球化学学术会议论文摘要汇编[C];2005年
7 张卓旻;蔡积进;阮贵华;李攻科;;自制采样器-SPME-GC/MS联用分析人体体味的色谱指纹特征[A];第十五次全国色谱学术报告会文集(上册)[C];2005年
8 郭成安;李建华;王建永;;指纹图像识别中的伪特征滤除算法研究[A];大连理工大学生物医学工程学术论文集(第2卷)[C];2005年
9 朱玲英;钱大玮;段金廒;张键;;江苏菊花HPLC指纹特征与相似度研究[A];全国第8届天然药物资源学术研讨会论文集[C];2008年
10 袁中新;林志逢;刘乙琦;海春兴;赵明;;内蒙古自治区土壤及沙尘指纹特征之比较分析[A];中国颗粒学会2006年年会暨海峡两岸颗粒技术研讨会论文集[C];2006年
中国博士学位论文全文数据库 前10条
1 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年
2 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年
3 施金洋;基于心电和指纹特征的生物密钥技术研究[D];清华大学;2010年
4 王苏南;高速复杂网络环境下异常流量检测技术研究[D];解放军信息工程大学;2012年
5 王蛟;基于行为的P2P流量及异常流量检测技术研究[D];北京邮电大学;2008年
6 许丹;辐射源指纹机理及识别方法研究[D];国防科学技术大学;2008年
7 李雪妍;融合指纹和指静脉的多模态生物识别技术的研究[D];吉林大学;2008年
8 徐书华;基于信号指纹的通信辐射源个体识别技术研究[D];华中科技大学;2007年
9 刘传军;大分子与小分子间相互作用的单分子力谱研究[D];吉林大学;2007年
10 左申正;基于机器学习的网络异常分析及响应研究[D];北京邮电大学;2010年
中国硕士学位论文全文数据库 前10条
1 项灿;指纹识别预处理算法研究及指纹特征在数字签名中的应用[D];海南师范大学;2010年
2 陶刚;基于结构特征的指纹识别系统的区配算法研究[D];华南师范大学;2002年
3 张少乐;基于子空间分析法的指纹特征提取[D];北京邮电大学;2011年
4 赵艺;土壤地球化学指纹特征比对数据库研究[D];成都理工大学;2011年
5 李平;基于投影寻踪回归的网络异常检测机制研究[D];华中科技大学;2011年
6 韩照国;基于相对熵理论的网络异常检测方法[D];西安理工大学;2010年
7 郭伟民;异构环境下的网络异常行为特征提取与监测分析[D];电子科技大学;2010年
8 刘庆;基于时间序列的网络异常流量发现模型研究与实现[D];内蒙古科技大学;2010年
9 黄超;网络异常行为检测与分析方法研究[D];西安电子科技大学;2010年
10 孙粉茹;基于指纹特征的新模糊金库算法研究[D];杭州电子科技大学;2012年
中国重要报纸全文数据库 前10条
1 雅文;指纹特征 电子商务身份认证的保障[N];金融时报;2005年
2 江苏 崔恩仲;相当保险的指纹防盗门锁[N];电子报;2007年
3 田捷 陈新建 杨鑫;指纹识别算法仍有优化空间[N];计算机世界;2006年
4 税敏;生物识别 手机安全的法宝[N];网络世界;2006年
5 北京 李梁;ThinkPad指纹识别技术经验谈[N];中国电脑教育报;2007年
6 侯小东;东软NetEye NTARS应用运营商网络[N];中国计算机报;2006年
7 温艺晗;生物科技再造博帕“识像”[N];中国现代企业报;2006年
8 柴晓光 陈佳实;指纹技术因“民用”而不同[N];计算机世界;2002年
9 中国网通集团奥运通信管理部 岳保军;三大核心体系保障奥运网络安全[N];通信产业报;2008年
10 四川 胥绍禹;指纹识别方法及指纹锁的设计(一)[N];电子报;2006年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978