基于IP流量的僵尸网络检测模型的设计与实现

论文摘要

僵尸网络已经成为当今互联网上最主要的网络攻击平台,可进行分布式拒绝服务攻击,发送垃圾邮件、信息窃取等攻击行为,随着僵尸网络的兴起,研究僵尸网络的检测技术已经成为一个热点。当前僵尸网络的检测技术主要分为以下几种:蜜罐检测、特征值检测、异常检测、DNS检测、数据挖掘检测。上述检测算法一个主要的缺点就是通用性不强,大多数检测算法只能针对一种或者一类僵尸网络进行检测,因此局限性很大。本文首先对僵尸网络的基本特征进行了详细的分析,通过分析,发现了僵尸网络的一个主要特性:同一个僵尸网络内的僵尸结点具有通信行为和攻击行为的相似性。在此基础之上,提出了基于IP流量的僵尸网络检测模型。此模型分为五个模块:网络流量收集模块、通信日志生成模块、通信日志聚类模块、攻击日志生成模块、攻击日志聚类模块、交叉聚类模块。网络流量收集模块主要进行内外网流量的收集;通信日志生成模块和通信日志聚类模块用来发现数据流中通信行为相似的主机;击日志生成模块和攻击日志聚类模块用来发现攻击行为相似的主机;在此基础之上,交叉聚类模块对通信聚类和攻击聚类的结果进行综合分析,发现属于同一个僵尸网络的结点。本文在局域网中通过实验环境的搭建模拟了一个僵尸网络,然后从不同的侧面进行了一系列的实验。结果表明,此检测模型能够进行有效的检测。本章最后我们进行了总结和展望。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景及意义

1.2 研究现状

1.3 论文组织结构

1.4 本章小结

第二章僵尸网络的综述

2.1 僵尸网络的生命周期

2.2 僵尸网络的感染途径

2.3 僵尸网络的常见的攻击行为

2.4 僵尸网络的通信协议

2.5 僵尸网络的通信控制（C&C）体系机构

2.5.1 集中式结构

2.5.2 分布式结构

2.5.3 无组织结构

2.5.4 结构之间的对比

2.6 僵尸网络的检测

2.6.1 蜜罐技术

2.6.2 主动检测技术

2.7 本章小结

第三章基于IP 流量的僵尸网络检测模型

3.1 模型的提出

3.2 模型的目标

3.3 模型的结构

3.3.1 网络流量收集模块

3.3.2 通信日志生成模块

3.3.3 通信日志聚类模块

3.3.4 攻击日志生成模块

3.3.5 攻击日志聚类模块

3.3.6 交叉聚类模块

3.4 本章小结

第四章基于IP 流量的僵尸网络检测模型的实现

4.1 网络流量收集模块的实现

4.2 通信日志生成模块的设计

4.3 通信日志聚类模块的实现

4.4 攻击日志生成模块的实现

4.5 攻击日志聚类模块的实现

4.6 交叉聚类模块的设计

4.7 本章小结

第五章基于IP 流量的僵尸网络检测算法的实验验证及分析

5.1 实验环境的搭建

5.1.1 主机的搭建

5.1.2 僵尸病毒的配置

5.1.3 http request flood 攻击的发动

5.2 实验场景1

5.3 实验环境2

5.4 实验环境3

5.5 本章小结

第六章全文总结

6.1 主要结论

6.2 研究展望

参考文献

致谢

攻读硕士学位期间发表的学术论文

基于IP流量的僵尸网络检测模型的设计与实现

论文摘要

论文目录

相关论文文献

猜你喜欢