基于数据流特征向量识别的P2P僵尸网络检测方法研究

摘要

僵尸网络是目前被公认的最具威胁的网络安全问题之一。僵尸网络是指通过在网络传播传统的恶意代码(计算机病毒、网络蠕虫、木马),发现易感染节点,将其纳入自身控制网络之内,进而利用这些节点实施大规模恶意攻击的平台。由于僵尸网络的隐蔽性、破坏性远远强于普通网络攻击,成为近年来最为流行的网络攻击方式。
　　早期的僵尸网络主要包括基于IRC协议的和基于HTTP协议的两种,都是通过具有中心控制能力的节点,进行命令与控制信息的分发,将易感染节点加入到这个网络中,这一时期的僵尸网络主要通过固定的端口、协议来进行控制信息传输(协议中携带特定的字符串)。目前国内外研究学者提出了通过对特定端口的监听以及对协议中特定字符串的识别,能够高效识别出这类僵尸网络。随着P2P技术以及僵尸网络的发展,P2P僵尸网络产生,该类型僵尸网络实现了僵尸网络控制的非中心化,优化了传统僵尸网络的依靠中心节点进行命令和控制分发的弊端,给僵尸网络检测带来一定的困难。
　　目前,关于P2P僵尸网络的检测方法主要分为四类:基于终端节点、基于网络流量、基于协议特征和基于行为特征的检测。基于终端节点的检测主要目标是检测所监控主机中的恶意代码和可疑的活动,对于包含中心节点的P2P僵尸网络具有较好的检测效果,但对于其他类型P2P僵尸网络检测误报率较高;后两者分别通过网络通信协议识别以及应用层特征识别,对P2P僵尸网络进行检测,这两类方法对特定协议的P2P僵尸网络具有较好检测效果,但通用性较差;基于网络流量的检测主要通过分析所监控网络中网络通信流量所表现出的特征和变化规律,找出P2P僵尸网络与其它网络之间的网络数据流特征区别,具有较好检测效果,但目前的检测方法并未分析P2P僵尸网络在通信过程中表现出的动态特征。
　　本文在前人研究基础之上,针对P2P僵尸网络通信过程所表现出的动态特征提出一种基于数据流特征向量识别的P2P僵尸网络检测方法。考虑到网络中绝大多数为正常数据流,其来源或者目的不可能成为僵尸网络的攻击节点,我们首先通过黑白灰名单的数据包过滤器对网络数据流进行预处理,结合构建的端口规则库和协议特征字段识别库,对已有典型协议的数据流进行过滤,标识其中存在可疑流量的数据节点。通过该预处理,我们降低了分析样本的数量级,便于构建僵尸网络数据流特征向量。在此基础之上,我们对网络数据流按照源、目的分类,并分析其在横向时间维度以及纵向数据流之间的数据包速率、数据包速率变化率、数据流字节速率、数据流字节速率变化率的特征,根据验证实验所获得的各类数据流的特征阈值,对数据流进行二次分类,从而识别出具有僵尸网络特征的一类节点,达到较好的检测效果。

目录

中文摘要

英文摘要

目录

1.引言

1.1背景分析

1.2选题分析

1.3论文研究安排

2.僵尸网络发展概况

2.1IRC协议与僵尸网络起源

2.2基于HTTP协议的僵尸网络

2.3基于P2P协议的僵尸网络

3. P2P僵尸网络检测方法分析

3.1基于终端节点的检测

3.2基于网络流量的检测

3.3基于协议特征的检测

3.4基于行为特征的检测

4.基于数据流特征向量识别的P2P僵尸网络检测方法

4.1基于黑白灰名单的数据流过滤

4.2基于源和目的的数据流聚类分析

4.3基于数据流特征向量识别检测

4.4 检测方法小结

5.检测实验及结果分析

5.1实验环境部署

5.2实验过程和结果分析

5.3实验结论

6.总结和展望

6.1论文总结

6.2未来展望

参考文献

致谢

个人简历