论文部分内容阅读
当前面向主干网的网络检测系统鲜有将僵尸网络(botnet)传播检测数据纳入,并且缺少对检测到的威胁事件作进一步分析,以致无法评估出被保护对象所受的危害程度。本文尝试以出入主干网的Netflow流数据为观测数据,对已知服务器IP的botnet通过IP关联的方式获得候选被感染主机信息。在此基础上再进行后向的误报消除,并基于检测结果进行完整的威胁评估。本文的研究方法为主干网网络检测提供了新的思路,对其有重要指导意义。
本文基于国家科技支撑计划课题“新一代可信任互联网安全和网络服务”(2008BAH37804.)和211工程三期CERNET建设项目专题“高性能网络管理与安全保障”的原型系统--NBOS(Network Behavior Observation System)的研究背景,主要研究了主干网上的僵尸网络传播检测并在NBOS系统上给予了实现。
本文首先介绍了botnet的发展趋势以及对其检测方法的发展现状。在此基础上结合NBOS系统的要求提出了本文的研究目标和研究内容。
接下来分别从关联检测、误报消除和威胁评估三方面阐述了botnet传播检测的研究工作并分别通过实验证明了方法的正确性与合理性。
关联检测部分提出了一种对botnet传播检测的新思路,即在流记录中对已知botnet的服务器IP匹配的方法来获得其感染主机IP。考虑到对IP的关联可以扩展到其他信息,本文设计了黑名单来存放这些信息并提出了在关联的同时可以基于一些规则过滤掉部分误报信息。
误报消除部分在现有的botnet传播或C&C交互的流特征的研究基础上,提出了本文将采用的可以用来区分与其它流行为的特征测度,然后结合这些测度设计出相似性判定算法来判断流行为是否符合botnet通信规律,从而判定感染。
威胁评估部分在讨论出botnet威胁分类的基础上,提出了与其他数据源关联判定出botnet类型的方法。之后为了定量进行威胁评估,本文引入了危险度来描述危害程度,并分别提出了单位危险度和IP危险度计算公式,以此来评定单位和主机的安全等级。
最后本文在NBOS系统中实现了botnet传播检测的原型系统,从实验层面上完成了研究内容。