收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

僵尸网络协同检测与识别关键技术研究

臧天宁  
【摘要】:随着互联网的广泛应用,一些恶意软件在网络上泛滥肆虐,出现了各种网络攻击和网络欺骗行为,其中僵尸程序是目前最新型恶意软件之一。攻击者利用被植入僵尸程序的受控主机构建僵尸网络,并借助这个平台在互联网上执行各种恶意行为,如发动分布式拒绝服务(Distributed Denial of Service, DDoS)攻击、发送垃圾邮件(Spam)、网络钓鱼(Phishing)以及信息窃取(Information Theft)等。攻击者通过建立命令和控制机制实现与受控主机通信,并统一管理僵尸网络成员。一个典型僵尸网络可具有数万至数十万甚至数百万台受控主机,产生巨大攻击力,消耗大量网络带宽和处理能力。僵尸网络被认为是互联网安全的最大威胁。因此,探索如何检测识别僵尸网络,有效追踪、防御、控制、减轻其危害显得尤为重要。针对这些问题,本文着重研究以下几个方面内容: 首先,针对使用互联网中继聊天(Internet Relay Chat, IRC)协议和HTTP协议的集中式僵尸网络,提出基于通信流量相似性和域名查询特性的僵尸网络检测方法。在分析集中式僵尸网络通信行为特征和僵尸网络受控主机域名查询数据流群组特性的基础上引入云模型概念。定义僵尸网络通信流量相异度云模型,挖掘具有僵尸网络通信行为特性的主机组,分析该组主机访问DNS服务器的流量。通过域名访问度和DNS查询流量聚类分析,最终确定僵尸网络的受控主机。利用典型僵尸程序样本和真实背景流量评测本文方法的检测能力,并与相关工作进行比较分析,以此验证本文方法的先进性。 其次,针对僵尸网络结构日趋复杂,并且不同受控主机群之间可能存在潜在隐藏关系等问题,提出僵尸网络相似度的度量方法。分析僵尸网络内部通讯的数据流数量、流中数据包数量、主机通讯量和数据包负载等特征,定义特征相似度统计函数。在此基础上,利用改进D-S证据理论融合各特征相似度,建立僵尸网络关系分析模型,以此综合评测两个僵尸网络的相似度。实验结果表明本文的方法是有效的,对于采用加密通讯僵尸网络的评测,仍表现出良好效果。并且,应用该方法对基础网络安全监测平台捕获的实际僵尸网络数据进行分析,取得了理想效果。 再次,IRC僵尸网络和HTTP僵尸网络的命令与控制服务器经常发生迁移以躲避检测,针对此类问题,提出一种僵尸网络迁移识别方法。基于僵尸网络迁移过程中表现出的多种特征,采用C-F模型进行特征融合,综合分析判断给定的两批僵尸主机是否具有迁移关系。利用典型僵尸样本进行试验验证,结果显示本文方法能够有效识别僵尸网络的迁移行为。并与单纯采用IP地址重合度的方法进行对比,结果表明在僵尸网络成员数量动态变化的情况下,本文方法仍然表现出很好识别效果。 最后,为了识别发现开放互联网环境中不同地理位置、不同时间段发生的安全事件之间可能存在的潜在隐藏关系,提出基于通用图灵机思想的分布式网络安全事件检测识别协同联动模型(Cooperative Work Model, CWM),并基于此模型设计实现面向基础网络的分布式网络安全事件检测识别协同联动系统(Cooperative Work System, CWS)。分析了CWM的多层体系结构,并将其与基于安全域的安全操作中心(Security OperatingSystem, SOC)模型进行对比分析。通过应用实例验证,CWS能够协调骨干网上不同类型网络设备共同工作,追踪、检测、分析、识别僵尸网络。典型数据分析结果表明,CWS不仅能够分析识别不同时间和不同空间安全事件之间关系,还能够有效支持发现各安全事件关联引起的更深层次安全隐患。 本文主要研究了僵尸网络检测与识别关键技术,其中包括僵尸网络相似度度量和僵尸网络迁移行为分析,提出了协同检测识别僵尸网络方法、模型,并研发了相应系统。目的是有效的检测追踪僵尸网络和准确识别僵尸网络关系和规模,以便防控僵尸网络的危害。本文的研究成果对于僵尸网络防御技术研究具有重要理论和实践意义,也对检测防范其他分布式网络恶意事件有重要参考价值。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 冯茜茜;;挺进国际域名的中文时代[J];信息方略;2008年17期
2 徐庶;;拨号上网推动“地球数字化”[J];实用无线电;2001年02期
3 王胜明,罗广孝,孙淑琪,潘卫华;域名系统的性能优化方案[J];航空计算技术;2002年01期
4 程东;黄学武;;感染病毒机器的控制和处理方法探析[J];韶关学院学报;2006年03期
5 刘立杰;;域名系统协议分析[J];吉林农业科技学院学报;2008年02期
6 柳青;;我国互联网域名系统的安全问题[J];现代电信科技;2010年04期
7 罗鹏翔;;浅析域名权的保护[J];金卡工程(经济与法);2010年06期
8 ;业界要闻[J];电信科学;2001年01期
9 ;CNNIC已正式递交“.中国”域名国际申请[J];计算机与网络;2009年22期
10 钱秀槟;刘鹏;黄少青;方星;;关于域名系统的兼容性改造初探[J];信息网络安全;2010年04期
11 姚福成,左轶;关于扩展域名系统的安全性讨论[J];当代通信;1999年07期
12 朱宇峰,王宏,李秉智;域名系统的安全机制[J];现代计算机;2000年11期
13 陈艳敏,张思东,张宏科;IPv4/IPv6双栈域名系统的研究[J];电视技术;2005年09期
14 ;国际互联网域名管理机构ICANN[J];中国教育网络;2007年10期
15 ;IE8与“.中国”域名系统可能同时发布[J];数据通信;2008年04期
16 房亚群;;基于IPv6的域名系统[J];电脑知识与技术;2008年36期
17 孙精科;Internet上IP地址及域名[J];电信工程技术与标准化;1996年03期
18 ;从域名系统的一次全面普查看Internet主机分布[J];今日电子;1997年09期
19 杨凡,黄皓,陈道蓄,谢立;一种利用域名系统支持主机移动的路由协议(英文)[J];南京大学学报(自然科学版);2003年05期
20 苏万力,马玉祥,李鹏;域名系统的安全与防范[J];新疆师范大学学报(自然科学版);2003年03期
中国重要会议论文全文数据库 前10条
1 杨海军;姚钦锋;戴沁芸;;域名系统安全防护问题分析[A];2010年全国通信安全学术会议论文集[C];2010年
2 张冰;;DNS和ENUM系统安全问题研究[A];中国通信学会信息通信网络技术委员会2003年年会论文集[C];2003年
3 刘丹;任鸿翔;金一丞;尹勇;;航海动态仿真系统的网络构成与分形网[A];2001系统仿真技术及其应用学术会议论文集[C];2001年
4 胡钢;;略论企业域名战略[A];信息网络与高新技术法律前沿——中华全国律师协会信息网络与高新技术专业委员会成立大会论文集[C];2001年
5 刘云静;顾德英;;电厂输煤系统的研究[A];第七届青年学术会议论文集[C];2005年
6 张东星;;φ6.34m地铁盾构远程监控系统[A];中国土木工程学会第十二届年会暨隧道及地下工程分会第十四届年会论文集[C];2006年
7 裘勇;马杰;彭松;陈忠民;;用于企业质量管理的分布式数据库管理系统的研制[A];全国第十四届计算机科学及其在仪器仪表中的应用学术交流会论文集[C];2001年
8 刘亚军;陈金涛;;网络环境下的域名保护——兼析网络时代域名与商标冲突的司法管辖与法律适用[A];中国商法年刊第二卷(2002)[C];2002年
9 刘兴丽;庞松江;;DNS服务器设置和测试[A];黑龙江省气象计算机应用与通信交流会论文集[C];2006年
10 郭中伟;李栋;孙文斌;刘靖峰;;网络技术在邯钢棒一生产线的应用[A];冶金企业自动化、信息化与创新——全国冶金自动化信息网建网30周年论文集[C];2007年
中国博士学位论文全文数据库 前10条
1 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年
2 王垚;域名系统安全性研究[D];哈尔滨工业大学;2007年
3 李为民;互联网典型业务流量特征研究[D];北京邮电大学;2012年
4 于华;网络流量监控中的若干基本问题研究与分析[D];北京邮电大学;2011年
5 傅涛;基于数据挖掘的分布式网络入侵协同检测系统研究及实现[D];南京理工大学;2008年
6 齐树波;面向片上网络的高性能路由器关键技术研究[D];国防科学技术大学;2011年
7 夏虎;移动社交网络结构和行为研究及其应用[D];电子科技大学;2012年
8 孟庆华;基于社会联盟机制的Web服务安全控制模型研究[D];东华大学;2008年
9 黄建华;复杂快递网络的优化方法及抗毁性能研究[D];大连理工大学;2012年
10 谭婷婷;网络微内容推荐方法及支持系统研究[D];华中科技大学;2011年
中国硕士学位论文全文数据库 前10条
1 王红;基于行为的协同检测与防护模型[D];燕山大学;2012年
2 冯淑英;网络域名法律问题研究[D];山东大学;2005年
3 周素梅;分布式入侵检测系统研究[D];南京理工大学;2005年
4 任环;考虑通信流量的复杂网络病毒传播研究[D];南京邮电大学;2011年
5 吕明;基于多传感器协同检测的输电线路无人飞机巡检关键技术[D];上海交通大学;2012年
6 童心;域名的法律属性及纠纷解决机制的完善[D];中国人民大学;2008年
7 吕晓斌;分布式协同入侵检测算法及告警融合研究[D];中国人民解放军信息工程大学;2005年
8 郑宁;非线性函数耦合的吸引子网络的混沌同步[D];上海交通大学;2008年
9 郭宏宇;移动电话综合业务管理系统的设计研究[D];复旦大学;2008年
10 付仲恺;基于P2P的下一代互联网命名系统的数据可靠性研究[D];北京工业大学;2009年
中国重要报纸全文数据库 前10条
1 国标文;什么是英文域名系统[N];中国商报;2000年
2 ;互联网域名系统安全到达关键性里程碑[N];网络世界;2010年
3 ;域名系统有望消除语言障碍[N];计算机世界;2000年
4 中国社会科学院知识产权中心 唐广良;域名与域名系统[N];国际经贸消息;2000年
5 马蕾本报记者 杜文;“中国域名”将正式启用[N];中国企业报;2008年
6 林海;欲注册“.中国”域名 企业需尽早行动[N];中国高新技术产业导报;2008年
7 胡刘继;中期协预警域名系统严重漏洞[N];第一财经日报;2008年
8 丁小鱼编译;投机行为困扰域名系统[N];计算机世界;2007年
9 李壮;互联网域名系统分崩离析?[N];中国高新技术产业导报;2006年
10 鲁渝京;欧盟研究用3种标准技术应对域名安全漏洞[N];中国质量报;2008年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978