基于流量分析的僵尸网络检测技术研究与实现

摘要

从采用IRC协议的“egg drop bot”到高度模块化的AgoBot，僵尸程序从最初的网络聊天室辅助软件，逐渐成为威胁网络安全的主流恶意软件之一。在僵尸网络的攻防博弈中，IRC协议被HTTP、P2P等协议取代，并利用fast-flux，Domain-flux，URL-flux等技术加强僵尸网络通信的隐蔽性。同时，僵尸网络也摒弃了传统的中心式C&C（Command and Control）信道结构，采用了更加灵活和健壮的分布式C&C信道结构。
　　异常分析、DNS流量检测及流量聚类检测等僵尸网络检测手段是当前较为常见的检测手段。然而，这些检测手段存在部署困难、难以应用于分布式僵尸网络的检测等缺点。为了有效的对分布式僵尸网络进行检测，论文对分布式僵尸网络的生命周期、组成要素等重要特征进行了分析研究，发现分布式僵尸网络中的节点之间的通信数据包具有时空相关性。而这种相关性可以采用流量分析技术进行检测，论文将时空相关性这一检测点与流量分析技术相结合，设计并实现了基于时空相关性的僵尸网络检测系统，该检测系统通过分析被检测网络中的通信流量，最终得出检测结果。该检测系统由数据包聚合模块、时空相关关系获取模块及僵尸主机检测模块构成。数据包聚合模块首先抓取原始的网络数据包，然后按照数据包之间的时空相关性将原始数据包进行聚合。时空相关关系获取模块负责对满足时间间隔阈值和出现次数阈值的可信二层相关关系进行提取，然后在此基础上，进行多层相关关系的获取。僵尸网络检测模块采用层次聚类算法，将小于距离阈值的主机节点聚合为一个簇，直到簇的数目不再发生变化，从而完成最终的检测，找出可能的僵尸主机。
　　为了验证该检测系统，论文设计了测试方案，并在实验室搭建了测试环境，进行了验证。实验结果表明，论文所实现的检测系统能够有效的检测分布式僵尸网络。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究的背景与意义

1.2 研究现状

1.3 研究内容

1.4 本论文的结构安排

第二章 僵尸网络特征解析

2.1 僵尸网络的发展和分类

2.2 僵尸网络基本要素

2.3 僵尸网络生命周期分析

2.4 基于僵尸网络特征的检测技术

2.5 本章小结

第三章 基于时空相关关系的检测模型设计

3.1 分布式僵尸网络检测概述

3.2 分布式僵尸网络的时空相关关系

3.3 基于时空相关关系的检测框架

3.4 本章小结

第四章 检测模型的实现

4.1 数据包聚合模块的实现

4.2 时空相关关系获得模块的实现

4.3 僵尸网络检测模块的实现

4.4 本章小结

第五章 检测模型测试与分析

5.1 实验环境部署

5.2 实验场景

5.3 实验结果分析

5.4 检测框架评估

5.5 僵尸网络预防措施

5.6 本章小结

第六章 全文总结与展望

6.1 全文总结

6.2 后续工作展望

致谢

参考文献

在学期间取得的与学位论文相关的研究成果