欢迎来到天天文库
浏览记录
ID:89868
大小:367.25 KB
页数:9页
时间:2017-06-12
《基于网络结构和流量特征相似性的僵尸网络检测方法.pdf》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、中国科技论文在线http://www.paper.edu.cn基于网络结构和流量特征相似性的僵尸网络检测方法*何箫楠5(北京邮电大学网络空间安全学院,北京100876)摘要:僵尸网络已经超越木马,病毒等恶意软件成为国内乃至世界安全领域最为关注的危害之一。当前的僵尸网络检测方法针对P2P僵尸网络检出率过低。本文提出一种基于网络通信流量特征和网络通信结构特征的检测方案,该方案无需分析僵尸网络数据包的通信内容,通过交叉检测网络节点的通讯行为和通讯特征,即可挖掘出僵尸节点主机群,具有较高的检10测率。关键词:入侵检测;结构检测;无监督学习;FCM算法中图分类号:TP309.2Botnetde
2、tectionmethodbasedonnetworkstructureandtrafficsimilarity15HeXiaonan(SchoolofCyberspacesSecurity,BeijingUniversityofPostsandTelecommunications,Beijing100876)Abstract:Botnethasbecametheworld'smostconcernedsecurityhazards.CurrentbotnetdetectionmethodisincapableofP2Pbotnetprogram.Thispaperproposesa
3、detectionmethodbasedonthe20characteristicsofnetworkcommunicationandthecharacteristicsofnetworkcommunicationstructure.Ratherthananalyzingthecommunicationcontentofnetworkflow,theschemecanefficientlyexcavatethehostgroupofzombienodebyinspectingthebehaviorofnetworknodes。Keywords:Intrusiondetection;S
4、tructuredetection;Unsupervisedlearning;FCMalgorithm250引言僵尸网络是一种集合木马,蠕虫,病毒等多方面技术于一身的信息安全威胁方式:其往往存在一个恶意控制方,控制方在未经主机拥有者知情的情况下发动包括垃圾邮件攻击,拒绝服务攻击,点击欺骗,密码破解等恶意行为。目前针对僵尸网络的研究已经受到工业界和30学术界的广泛关注。无论学术界还是工业界,当前研究的重点都是僵尸网络的识别,只有找到僵尸主机具体地址,才可能进一步采取相应的防御测试。针对僵尸网络的通信命令信道(CommandandControl)识别是当前的一种热门技术。僵尸网络的通信命
5、令信道往往被僵尸主机控制端用来发送具体控制命令,因此通信命令信道往往具有高度的相似特性。因此僵尸网络设计者常常[1]35需要在隐蔽性,有效性和分布性上寻求折中。文献针对InternetRelyChar(IRC)僵尸网络的作者简介:何箫楠(1992-),男,硕士研究生,主要研究方向:入侵检测.E-mail:954861509@qq.com-1-中国科技论文在线http://www.paper.edu.cn通信命令信道进行分析,尽管IRC僵尸网络依托于IRC协议通信具有极高的通信效率,但是其高度中心化的结构特征使其极度容易识别。针对中心化的问题,新式僵尸网络依托P2P[2][3]协议通信
6、保障隐蔽性,文献研究发现分布式僵尸网络中,部分僵尸节点同时充当命令发起方和命令接受方的角色,当某台僵尸主机下线后,其角色的空缺将有其他主机弥补。由于[4]40P2P僵尸主机的高度去中心化,针对P2P僵尸主机的检测成为当前研究的重点,文献使用节点之间通信行为替代单次的通讯连接分析P2P僵尸节点,但该方法依赖分类器先验知识,[5]正确率难以保证。文献经过研究发现当前P2P僵尸网络往往采用Fast-flux等混淆技术或公钥加密机制保护僵尸节点,对于数据包内容的检测方案不具备通用性。本文提出了一种基于网络流量相似性,利用内部节点通信结构相似性识别P2P僵尸网45络的方法。尽管僵尸主机加密了通
7、信信道,并且会利用随机数值初始化通信信息,但从行为上来看,诸多p2p僵尸主机依然会保持很高的行为相似性,在时间和空间方面共享诸多的特征,正常主机由于未被僵尸程序感染因此不会维持长时间的相似性,因此本文的方法具有较高的可移植性。1基于流量相似性和内部连接程度的僵尸网络检测方案501.1数据格式选择对TCP/UDP数据包载荷进行分析的检测方案具有多方面缺陷:其计算量需求过高,对[6]于加密后的通信无能为力,更有悖于隐私方面的顾虑,因此本文选取数据流格式netf
此文档下载收益归作者所有