僵尸网络的传播检测研究

来源 :东南大学 | 被引量 : 0次 | 上传用户:sunrainnet
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
当前面向主干网的网络检测系统鲜有将僵尸网络(botnet)传播检测数据纳入,并且缺少对检测到的威胁事件作进一步分析,以致无法评估出被保护对象所受的危害程度。本文尝试以出入主干网的Netflow流数据为观测数据,对已知服务器IP的botnet通过IP关联的方式获得候选被感染主机信息。在此基础上再进行后向的误报消除,并基于检测结果进行完整的威胁评估。本文的研究方法为主干网网络检测提供了新的思路,对其有重要指导意义。   本文基于国家科技支撑计划课题“新一代可信任互联网安全和网络服务”(2008BAH37804.)和211工程三期CERNET建设项目专题“高性能网络管理与安全保障”的原型系统--NBOS(Network Behavior Observation System)的研究背景,主要研究了主干网上的僵尸网络传播检测并在NBOS系统上给予了实现。   本文首先介绍了botnet的发展趋势以及对其检测方法的发展现状。在此基础上结合NBOS系统的要求提出了本文的研究目标和研究内容。   接下来分别从关联检测、误报消除和威胁评估三方面阐述了botnet传播检测的研究工作并分别通过实验证明了方法的正确性与合理性。   关联检测部分提出了一种对botnet传播检测的新思路,即在流记录中对已知botnet的服务器IP匹配的方法来获得其感染主机IP。考虑到对IP的关联可以扩展到其他信息,本文设计了黑名单来存放这些信息并提出了在关联的同时可以基于一些规则过滤掉部分误报信息。   误报消除部分在现有的botnet传播或C&C交互的流特征的研究基础上,提出了本文将采用的可以用来区分与其它流行为的特征测度,然后结合这些测度设计出相似性判定算法来判断流行为是否符合botnet通信规律,从而判定感染。   威胁评估部分在讨论出botnet威胁分类的基础上,提出了与其他数据源关联判定出botnet类型的方法。之后为了定量进行威胁评估,本文引入了危险度来描述危害程度,并分别提出了单位危险度和IP危险度计算公式,以此来评定单位和主机的安全等级。   最后本文在NBOS系统中实现了botnet传播检测的原型系统,从实验层面上完成了研究内容。
其他文献
面向服务体系结构(SOA)是继面向对象、基于构件开发之后的一种新型软件开发、部署和集成模式,为软件开发提供了灵活的设计和开发方案。Web服务作为SOA的一种实现方法,突破了
最近几年,图像显著性检测是计算机视觉领域研究的热点。图像显著性检测的目的是能够将图像中感兴趣的目标区域自动地检测出来。对目标区域的检测精度与检测效率将直接影响到
信息在当今社会中占据着越来越重要的地位。可靠精确的信息,能够提高工作效率,缩短工作时间,有助于增强竞争力,做出科学的抉择。信息检索作为捕获用户需求信息的一种重要手段
虚拟计算环境是建立在广域互联网基础设施之上,为完成大型的应用需求进行网络资源的聚合,为用户提供可信的、透明的、服务一体化的环境。在虚拟计算环境下搭建地理信息系统,
医学图像融合技术是当今国内外研究的一个热点,医学图像融合能够综合利用医学图像中的互补信息,得到包含信息更全面、显示效果更好的图像,为临床诊断和治疗提供更精确的数据
信息化是当今世界经济和社会发展的大趋势。通过搭建专用数据中心,企业以网络服务的方式将生产、管理过程数字化、信息化,极大的提高了企业自身的生产和工作效率。随着互联网技
随着移动互联网的高速发展和林业“十三五”改革的要求,针对现阶段的林业发展状况,林业现代化水平低严重制约着我国林业的发展。现有的林业巡护系统结构单一,致使林业部门的
随着计算机技术和互联网的迅速发展,各种信息呈爆炸式增长,人们对信息精确定位的需求促进了自然语言处理技术的研究。同时,随着人们对跨文本信息融合的分析,多文档自动文摘成
当今世界,科学技术突飞猛进的发展,而以高科技为基础的武器研发技术更是日新月异,现代战争可以说是新技术的“展览馆”,应用高科技的新式武器无论是破坏力还是杀伤力都达到了前所
未知环境下移动机器人的同时定位与建图(Simultaneous Localization and Mapping-SLAM)是自主探索领域的核心问题,现已受到了广泛关注,并涌现出大量的解决方法。与单机器人SLAM