基于DNS流量特征的僵尸网络检测方法研究

摘要

在互联网日益发展的今天，互联网安全也不断受到重视。僵尸网络作为一种高度可控，高覆盖面，高影响力的攻击和控制方式，日益受到人们的关注。论文通过对域名系统（Domain Name System，DNS）服务器的查询流量提取、分析，找出Domain-Flux和Fast-Flux两种具有明显域名解析特征的僵尸网络控制服务器的查询策略所对应的命令控制（Command&Control，C&C）服务器。
　　通过对两种僵尸网络查询方式的分析，论文针对Domain-Flux方式提出了基于语音和分组特性的DGA域名检测方法。在前人研究的基础上着重考虑了动态域名生成算法（Domain Generation Algorithm，DGA）所生成的域名可读性较差以及分组较多的特性，结合DGA域名的短文本特性，提取域名的语音和其他方面特征，并根据这些特征使用随机森林分类器对域名集合进行分类。使用恶意软件conficker生成的域名进行验证，结果表明，论文提出的检测方法准确率有了一定程度的提高，并降低了误报率。
　　对于Fast-Flux方式的域名，论文着重考虑了Fast-Flux域名解析的时间特性和IP与域名的相关性，将已知域名分为黑名单，白名单，灰名单三个列表，通过对域名的二级域名，子域名分别计算DGA概率，对域名可信程度等进行评分，得出域名置信度，并作为一个域名特性传入分类器。在域名与IP相关性方面，论文考虑了IP对应域名的对应关系，计算出未知IP的可信程度，作为指向其域名的置信度的评判标准，并使用机器学习的方法从DNS查询流量中检测僵尸网络的域名信息。在实验部分使用天津大学DNS服务器的流量数据进行验证，实验结果表明，论文提出的方法对DNS流量中的恶意域名有一定的检测能力。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 论文主要工作及创新

1.4 论文组织结构

第2章 理论基础

2.1 僵尸网络的分类和发展历程

2.2 僵尸网络常用检测方法

2.3 DNS域名系统

2.4 Domain-Flux技术及DGA算法

2.5 Fast-Flux技术

2.6 决策树和随机森林分类器

第3章 基于发音和分组特征的DGA域名检测方法

3.1 Domain-Flux技术及DGA算法特征分析

3.2 DGA域名检测方法分析

3.3 实验和结果分析

第4章 基于DNS信息的僵尸网络监测方法

4.1 Fast-Flux特征分析

4.2 检测方法分析

4.3 实验和结果分析

第5章 总结与展望

5.1 总结

5.2 展望

参考文献

发表论文和参加科研情况说明

致谢