收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

僵尸网络对抗关键技术研究

王颖  
【摘要】:僵尸网络,一种大规模协同攻击网络,具有演变迅速,隐蔽性强,难以清除、危害巨大的特点,已经成为当今互联网最大威胁之一。如何有效对抗僵尸网络是学术界一直研究的热点和难点。本文首先概述了僵尸网络的定义、演化、分类、危害、工作机制、新动向等要素,介绍了当前检测和反制僵尸网络的主流技术、方法和发展趋势,其次重点从僵尸网络的检测、反制和抑制三个方面研究了僵尸网络的对抗技术。 在僵尸网络检测方面:针对僵尸网络命令控制体系特点,分析了国内外僵尸网络主流检测方法的优缺点,提出了基于多维特征向量的僵尸网络检测方法。该方法首先利用马尔科夫链为僵尸网络的通联状态迁移建立了检测模型、利用多元统计与聚类分析方法为僵尸网络节点自相似性建立了检测模型、利用熵估计理论为僵尸网络加密数据流特性建立了检测模型,并根据以上僵尸网络特异性特征设计了多维特征向量提取算法;其次借鉴协同检测的思想,研究了朴素贝叶斯、支持向量机、J48、Rotation Forest、PART和后向传播神经网络六种基础分类器的性能,并利用最小二乘估计算法在基础分类器上建立了僵尸网络决策判决组合分类器;最后依托ISOT数据集进行了检测实验,验证了组合分类器相比单一分类器可以获得更高的正确检测率。 在僵尸网络反制方面:一是建立了扩展有限状态机的僵尸网络命令控制体系通信模型,研究了针对僵尸网络服务程序的黑盒Fuzzing测试方法,提出了基于状态转移驱动的测试用例生成模型。该模型首先研究了网络状态有效测试路径遍历算法,获得了可触发漏洞的状态转移过程,再利用动静结合的方法生成了原始测试向量的变异因子,其次给出了测试向量生成和变异模型及算法,获得了优质的测试向量。为了提高测试效率和覆盖率,设计了基于风险状态转移流的适应度函数及实现算法,利用遗传算法的思想指导测试向量逐步进化为优质的测试用例,达到了增加漏洞发现概率的目的。二是重点研究了僵尸网络拓扑结构脆弱性问题,发现了半分布式僵尸网络组网方式存在相继故障的缺陷,提出了一种基于僵尸网络桥梁节点的相继故障反制策略,并以复杂网络负荷容量模型为基础,建立了桥梁节点的相继故障模型,完成了相应的理论分析与数值模拟,仿真验证了反制策略的有效性。三是以案例分析的形式介绍了针对僵尸网络Bagle-CB FTP服务器漏洞挖掘、Eggdrop僵尸变种命令控制服务器对等组网相继故障和Zuesbot域名抢注的反制技术。 在僵尸网络抑制方面:一是在网络蠕虫双因素传播模型的基础上,结合复杂网络无尺度特性以及APT攻击方式,提出了SAPM僵尸网络传播模型,完成了复杂网络环境下基于APT攻击的僵尸网络传播动力学分析,从理论上给出了最佳抑制策略。二是分析了基于APT攻击的僵尸网络传播特性,提出了传播抑制策略,指出了创新Linux/Unix环境下文档格式处理软件脆弱性测试算法、研制相应的安全测试工具是抑制此类僵尸网络传播的核心环节。三是针对Linux/Unix系统中不同文件格式软件大多开放源码的特点,深入研究了二进制程序脆弱性动态测试理论和技术的不足,设计了程序路径约束条件符号模型的构建方法和PWA覆盖测试算法并实现了基于白盒的EWFT原型工具。经实验验证,PWA算法相比国际流行的SAGE测试算法表现更优,EWFT够更加有效的检测出多种类型的漏洞,启到了对基于APT攻击的僵尸网络实施积极防御的作用。 在工程实现方面。概述了基于云计算的僵尸网络监测与缓解原型系统的设计理念、体系架构、功能模块和关键技术,充分利用了Apache Spark云平台运算能力强、节点分布广的特点,实现了僵尸网络检测、监测、反制和抑制等功能,在实际应用中,取得了较好的社会效益。 论文主要的创新工作归纳如下: 1)针对现有基于内容、网络流特征的检测方法受协议限制,难以对抗加密、扰乱等技术的不足,建立了僵尸网络通联状态迁移检测模型、节点命名相似性检测模型和加密数据通信熵估计检测模型,提取了状态转移、身份识别和加密会话等反映僵尸网络典型特征的多维特征向量,构建了基于最小二乘估计算法的组合分类器,获得了较为满意的检测效果。 2)针对基于扩展有限状态机的僵尸网络命令控制体系通信模型,提出了基于状态转移驱动的测试用例生成模型,研究了针对僵尸网络服务程序的黑盒Fuzzing测试方法,提高了基于协议分析的僵尸网络服务程序的漏洞挖掘能力。 3)发现了半分布式僵尸网络组网方式存在相继故障的缺陷,提出了一种基于僵尸网络桥梁节点的相继故障反制策略,并以复杂网络负荷容量模型为基础,建立了桥梁节点的相继故障模型,完成了相应的理论分析与数值模拟,仿真验证了反制策略的有效性,开辟了僵尸网络反制技术研究的新方向。 4)针对基于APT攻击的僵尸网络传播特性,建立了SAPM僵尸网络传播模型,完成了复杂网络环境下模型动力学分析,明确了创新Linux/Unix环境下开源文档格式处理软件脆弱性测试算法、研制相应的白盒Fuzzing工具是抑制此类僵尸网络传播的核心环节。最后设计了PWA覆盖测试算法,实现了EWFT原型工具。经实验验证,PWA算法相比国际流行的SAGE测试算法表现更优,有效提高了程序执行路径空间的测试覆盖率和路径测试深度。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 诸葛建伟;韩心慧;周勇林;叶志远;邹维;;僵尸网络研究[J];软件学报;2008年03期
2 蔡慧梅;;僵尸网络的研究与发现[J];计算机安全;2008年04期
3 杜跃进;;僵尸网络关键字[J];信息网络安全;2008年05期
4 张辉;;探析僵尸网络犯罪的危害及防控[J];电脑知识与技术;2008年27期
5 马鸿雁;;僵尸网络的危害及研究方法[J];软件导刊;2009年05期
6 李明;;僵尸网络的演变与防御[J];电信工程技术与标准化;2010年02期
7 王懋;;解读“僵尸网络”[J];现代商贸工业;2010年05期
8 马文娟;;僵尸网络工作机制浅析[J];电脑知识与技术;2010年12期
9 张蕾;;僵尸网络特性与发展研究分析[J];河西学院学报;2010年05期
10 苗誉威;;僵尸网络结构特征与健壮性关系研究[J];科技信息;2010年29期
11 孙栩;;僵尸网络的最新发展[J];铁道警官高等专科学校学报;2010年06期
12 ;问题的范围:僵尸网络数据和指标[J];信息安全与通信保密;2011年S1期
13 邓君;张兆心;张淼;李乔;;基于僵尸网络的攻击验证模型研究[J];微计算机信息;2011年01期
14 张冰;杜国琦;李静;;僵尸网络技术发展新趋势分析[J];电信科学;2011年02期
15 郝杰;冯雷;;浅谈僵尸网络[J];中小企业管理与科技(上旬刊);2011年01期
16 孔淼;史寿乐;;僵尸网络的分类及其检测技术[J];电脑知识与技术;2011年05期
17 方滨兴;崔翔;王威;;僵尸网络综述[J];计算机研究与发展;2011年08期
18 孙卫喜;苟红玲;;僵尸网络的防御与控制[J];微型电脑应用;2011年11期
19 冯馨;;僵尸网络安全防范研究[J];电脑知识与技术;2011年32期
20 江健;诸葛建伟;段海新;吴建平;;僵尸网络机理与防御技术[J];软件学报;2012年01期
中国重要会议论文全文数据库 前10条
1 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
2 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
3 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
4 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
5 刘海燕;王维锋;李永亮;;一个基于马尔可夫链的僵尸网络演化模型[A];2006年全国理论计算机科学学术年会论文集[C];2006年
6 季大臣;刘向东;;Botnet网络组织机制研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
7 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年
8 朱敏;钟力;何金勇;李蒙;;基于主机与网络协同的僵尸网络事件验证技术[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
9 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年
10 李杰;;浅述物联网设备系统存在的安全风险及僵尸家电网络[A];第27次全国计算机安全学术交流会论文集[C];2012年
中国博士学位论文全文数据库 前10条
1 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年
2 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年
3 王威;僵尸网络对抗技术研究[D];哈尔滨工业大学;2010年
4 李润恒;大规模网络中僵尸网络分析技术研究[D];国防科学技术大学;2010年
5 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年
6 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年
7 耿贵宁;移动僵尸网络安全分析关键技术研究[D];北京邮电大学;2012年
8 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年
9 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年
10 李雪峰;P2P僵尸网络体系结构研究[D];清华大学;2011年
中国硕士学位论文全文数据库 前10条
1 刘彬斌;一种僵尸网络的拓扑分析及反制算法研究[D];电子科技大学;2009年
2 糜利敏;僵尸网络建模研究[D];吉林大学;2010年
3 李乔;可控僵尸网络系统设计与实现[D];哈尔滨工业大学;2009年
4 李跃;面向移动网络的僵尸网络关键技术研究[D];西南交通大学;2013年
5 刘兴龙;应用于互联网攻防测试平台的僵尸网络设计与实现[D];哈尔滨工业大学;2012年
6 苏云琳;僵尸网络检测系统的分析与设计[D];北京邮电大学;2010年
7 杨奇;基于异常行为特征的僵尸网络检测方法研究[D];陕西师范大学;2010年
8 邓君;基于数据流的僵尸网络检测系统设计与实现[D];哈尔滨工业大学;2010年
9 赵欣;僵尸网络异常流量检测[D];北京邮电大学;2011年
10 左洪艳;僵尸网络检测系统的研究与设计[D];北京邮电大学;2011年
中国重要报纸全文数据库 前10条
1 Frank Hayes;直面僵尸网络威胁[N];计算机世界;2006年
2 记者 边歆;打击僵尸网络刻不容缓[N];网络世界;2006年
3 ;僵尸网络成罪恶之源[N];网络世界;2007年
4 郭川;僵尸网络:吞噬电信网流量的黑色暗流[N];人民邮电;2008年
5 李若怡;信息官大战僵尸网络[N];人民邮电;2012年
6 FortiGuard 威胁研究与响应实验室;多重感染帮助僵尸网络深层攫利[N];网络世界;2013年
7 陈翔;警报:惊现僵尸网络[N];中国计算机报;2005年
8 陈翔;僵尸网络也可以租赁[N];中国计算机报;2005年
9 ;警惕僵尸网络“还魂”[N];计算机世界;2005年
10 本报记者 张琳;刺向僵尸网络的剑[N];网络世界;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978