返回
浅谈僵尸网络对抗技术研究

浅谈僵尸网络对抗技术研究

ID:34830296

大小:3.22 MB

页数:130页

时间:2019-03-12

浅谈僵尸网络对抗技术研究_第1页
浅谈僵尸网络对抗技术研究_第2页
浅谈僵尸网络对抗技术研究_第3页
浅谈僵尸网络对抗技术研究_第4页
浅谈僵尸网络对抗技术研究_第5页
资源描述:

《浅谈僵尸网络对抗技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、博士学位论文僵尸网络对抗技术研究RESEARCHONCOUNTERMEASURETECHNIQUESFORTHEBOTNET王威哈尔滨工业大学2010年9月国内图书分类号:TP393.08学校代码:10213国际图书分类号:681.3.06密级:公开工学博士学位论文僵尸网络对抗技术研究博士研究生:王威导师:方滨兴教授申请学位:工学博士学科:计算机系统结构所在单位:计算机科学与技术学院答辩日期:2010年9月授予学位单位:哈尔滨工业大学ClassifiedIndex:TP393.08U.D.C.:681.3.06Diss

2、ertationfortheDoctoralDegreeRESEARCHONCOUNTERMEASURETECHNIQUESFORTHEBOTNETCandidate:WANGWeiSupervisor:ProfessorFANGBinxingAcademicDegreeAppliedfor:DoctorofEngineeringSpecialty:ComputerArchitectureAffiliation:Dept.ofComputerScienceandTechnologyDateofDefence:Septe

3、mber,2010Degree-Conferring-Institution:HarbinInstituteofTechnology摘要摘要随着Internet的飞速发展,计算机和互联网已经成为人们日常生活中不可或缺的元素,然而互联网面临着大量的安全威胁,僵尸网络正是最严重的威胁之一。僵尸网络是攻击者利用互联网秘密建立的可以集中控制的计算机群,它不是一个特指的安全事件,而是攻击者手中的一个平台,利用该平台,攻击者可以实现覆盖面更广,力度更高,更难于防范的攻击。僵尸网络的高度活跃引起多方重视,目前针对僵尸网络的研究工作

4、主要有五个方面,分别是检测、测量、追踪、主动防御和体系结构研究,其中检测是测量、追踪和主动防御的基础,体系结构研究是防治未来可能的僵尸网络的前导。检测、测量和追踪工作的一个强力支持为蜜罐蜜网技术,于是虽然蜜罐技术研究不属于僵尸网络的研究方向,但它为僵尸网络研究奠定基础。本文围绕着僵尸网络的研究方向,针对僵尸网络对抗技术进行深入研究,主要内容如下:给出僵尸网络的定义、属性、演化脉络及危害分析。对僵尸网络五个研究方向的工作进行综述,进一步明确本文的研究内容及目标。研究面向僵尸程序样本捕获的分布式蜜罐部署模型。僵尸程序样本

5、分析可以为僵尸网络研究的各个方向提供强有力的支持,于是样本捕获是僵尸网络研究的基础。目前针对僵尸程序样本捕获的研究工作主要集中在蜜罐的设计、实现和应用,然而蜜罐部署策略研究能够提高部署效率、降低部署成本,有重要的实际意义。本文提出的模型阐述了僵尸程序样本分析需求、僵尸程序传播属性、检测时间、检测概率与蜜罐部署参数之间的关系。在模型分析的基础上,提出蜜罐部署阈值和网络距离两个参数,这两个参数分别刻画了蜜罐部署个数和蜜罐部署位置的最优选择,能够为实际构建分布式蜜罐系统提供理论依据,旨在达到经济与效益的平衡。研究IRC僵尸

6、网络检测算法。检测技术研究是僵尸网络对抗的重点,目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求。为解决这两个问题,本文提出了基于昵称相似性和命令序列相似性这两个终端行为特征的IRC僵尸网络检测算法。文中提出三个属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出了两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测。在分析僵尸终端登录服务器的行为的基础上,本文还提出了基于–I–哈尔滨工业大学工学博士学位论文命令序列相似性的检

7、测辅助算法。研究可重构的僵尸网络体系结构。僵尸网络体系结构研究是僵尸网络对抗的另一方法,可以使安全研究人员提早预防未来可能出现的僵尸网络。僵尸网络命令控制信道是僵尸网络的核心,以健壮性为其设计目标。目前已有的命令控制结构大多具备二级健壮性,本文研究一个具备三级健壮性的可重构僵尸网络的体系结构。该僵尸网络具备两个命令控制信道,采用Sniffer方式获取命令,采用TORHiddenService保护关键节点,当通信C&C失效时,使用重构C&C对僵尸网络进行重建。本文在分析其体系结构的同时,研究其弱点,扩展僵尸网络生命周期

8、,给出三种对抗可重构僵尸网络的方法。在已完成工作的基础上,设计并实现大规模网络环境下僵尸网络检测系统。该系统以高性能网络捕包平台为基础,以蜜猴、蜜罐获取僵尸程序样本并自动生成的URL和敏感关键字为匹配规则,以规则驱动的HTTP僵尸网络检测算法和基于终端行为特征的IRC僵尸网络检测算法为核心,完成僵尸网络的实时检测。本文详细分析了两周内的检测结果

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。