基于相似性分析的僵尸网络检测研究与实现

发布时间：2024-03-04 02:38

　　僵尸网络因其自身易控制、范围广、难检测等特点已发展成为目前互联网中最主要、最广泛的网络攻击平台,Botmaster可以利用僵尸网络实施窃取信息、Spamming、DDOS攻击等恶意行为。随着僵尸网络技术不断发展,僵尸种类和规模的不断增加,针对僵尸网络的检测技术也已成为网络安全领域的一个研究热点。目前已有的僵尸网络检测技术主要有网络流量内容检测、异常检测、日志检测等,这些检测技术都会存在一些缺陷或限制,例如对不同类型僵尸网络检测的通用性不足、检测系统在实际环境中部署困难等。为解决检测方法通用性不足的问题,本文通过分析僵尸网络的工作原理和通信机制发现僵尸主机表现出的网络流量特征、主机行为具有一定的群体相似性特点。以相似性为理论依据,本文结合已有的僵尸网络检测技术提出了基于相似性分析的僵尸网络检测方法,设计并实现了一种检测系统模型。该检测系统模型包括网络抓包、网络流量分析、主机行为分析和交叉关联聚类四个主要功能模块,通过抓取、分析网络中的TCP和UDP数据包来检测网络中是否存在僵尸网络。其中,网络抓包模块部署在被监测网络边界处监测和收集网络数据包,网络流量分析模块功能通过对网络数据包分析提取...

【文章页数】：82 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
第一章 绪论
    1.1 研究背景与意义
    1.2 研究现状
    1.3 研究目标及内容
    1.4 论文组织结构
    1.5 本章小结
第二章 僵尸网络综述
    2.1 僵尸网络的概述
        2.1.1 僵尸网络的定义
        2.1.2 僵尸网络的生命周期
        2.1.3 僵尸网络的感染途径
        2.1.4 僵尸网络的恶意活动
    2.2 僵尸网络技术
        2.2.1 僵尸网络的C&C信道协议
        2.2.2 僵尸网络的C&C体系架构
        2.2.3 僵尸网络最新技术
    2.3 僵尸网络检测技术
        2.3.1 基于网络流量内容的检测技术
        2.3.2 基于网络行为的检测技术
        2.3.3 基于时间关联的检测技术
        2.3.4 基于日志相关性的检测技术
        2.3.5 僵尸网络检测技术分析
    2.4 僵尸网络检测研究趋势
    2.5 本章小结
第三章 基于相似性分析的检测模型设计
    3.1 检测模型的目标
    3.2 检测模型的提出
    3.3 检测模型的设计
        3.3.1 网络抓包模块
        3.3.2 网络流量分析模块
        3.3.3 主机行为分析模块
        3.3.4 交叉关联模块
    3.4 本章小结
第四章 检测模型的实现
    4.1 网络抓包模块的实现
    4.2 网络流量分析模块的实现
        4.2.1 网络流量记录模块的实现
        4.2.2 网络流量聚类模块的实现
    4.3 主机行为分析模块的实现
        4.3.1 主机行为记录模块的实现
        4.3.2 主机行为聚类模块的实现
    4.4 交叉关联模块的实现
    4.5 本章小结
第五章 检测模型测试与分析
    5.1 实验环境部署
        5.1.1 实验环境拓扑
        5.1.2 实验环境配置
        5.1.3 僵尸网络搭建
    5.2 实验场景
        5.2.1 实验场景一
        5.2.2 实验场景二
    5.3 实验结果及分析
        5.3.1 实验一的结果分析
        5.3.2 实验二的结果分析
    5.4 僵尸网络预防措施
    5.5 本章小结
第六章 总结与展望
    6.1 工作总结
    6.2 下一步工作
致谢
参考文献



本文编号：3918762