基于DNS数据流的僵尸网络检测技术研究

摘要

僵尸网络作为一个攻击平台，可以发动分布式拒绝服务攻击、垃圾邮件、网络仿冒等各种攻击行为，已经成为网络安全最大的威胁之一，是网络安全研究者目前研究的最热点问题。
　　本文首先介绍了僵尸网络的威胁、研究现状等，然后对僵尸网络的基本概念、僵尸网络的生存周期、检测方法的分类进行了简单的介绍，重点阐述了僵尸网络检测方法中的基于DNS数据流的僵尸网络检测方法。
　　本文通过对僵尸网络DNS查询特征的长期分析，提出了基于加权支持向量机的Fast-flux僵尸网络检测方法，通过与Thorsten Holz的线性划分方法对比，实验表明，加权支持向量机方法能明显减少误报率。在此基础上，提出了基于含有 IP域名和DNS TXT查询的僵尸网络检测的增强方法。通过僵尸网络的归并算法，可以发现看起来不相干的两个僵尸网络域名或 IP地址其实是属于同一个僵尸网络。利用基于含有 IP地址域名的僵尸网络检测方法，可以检测出采用不同协议的僵尸网络。针对新出现的采用DNS TXT查询进行通信的僵尸网络，提出了一种基于DNS TXT查询的僵尸网络检测方法。实验表明，这些僵尸网络增强检测方法，对于僵尸网络的检测，都有很好的促进效果。

目录

基于DNS数据流的僵尸网络检测技术研究

BOTNET DETECTION TECHNOLOGIESBASED ON DNS TRAFFIC

摘 要

Abstract

目 录

绪 论

1.1 课题背景及研究意义

1.2 研究现状

1.3 论文的组织结构

第2章 僵尸网络相关研究

2.1 僵尸网络的基本概念

2.2 僵尸网络传播

2.3 僵尸网络检测方法分类

2.4 本章小结

第3章 僵尸网络DNS特征分析及提取

3.1 Fast-flux僵尸网络特征选取

3.2 新型僵尸网络DNS查询特征

3.3 本章小结

第4章 Fast-flux僵尸网络检测技术

4.1 SVM算法的选择

4.2 数据来源及数据处理

4.3 Fast-flux僵尸网络检测结果分析

4.4 本章小结

第5章 基于DNS数据流的僵尸网络检测增强技术

5.1 僵尸网络的归并

5.2 基于含有IP地址域名的僵尸网络检测方法

5.3 基于DNS TXT 查询的僵尸网络检测方法

5.4 本章小结

结 论

参考文献

哈尔滨工业大学学位论文原创性声明及使用授权说明

学位论文使用授权说明

致 谢