Spamming Botnet网络行为分析及检测算法设计与实现

摘要

目前僵尸网络被认为是垃圾邮件的主要来源,有效的发现并检测垃圾邮件僵尸网络是阻止垃圾邮件攻击的有效方法。
　　使用蜜罐对这些僵尸网络进行捕获和分析,可以发现僵尸主机在网络中会存在多种异常行为:扫描开放的邮件代理、邮件发送速度快、同时连接多个邮件服务器发送邮件以及MX查询异常等等。这些异常在僵尸网络中比较普遍,可以作为异常特征来过滤僵尸主机。同时,僵尸网络的邮件大小离散程度比邮件服务器要小的多,以此作为辅助手段能很好的区分僵尸主机和邮件服务器。
　　结合现有检测算法的优点,提出了一种邮件行为异常和邮件内容相似性匹配相结合的僵尸网络检测方法。检测方法包含两个模块:异常行为告警模块和内容聚类模块。首先通过分析校园网的网络流量找出网络行为相对比较异常的计算机进行警告,在告警的同时还原得到每个告警计算机所发送的邮件;然后再重点分析这些还原得到的邮件,通过匹配邮件正文文本中的URL来估计这些计算机所属僵尸网络的规模。
　　检测系统使用Libpcap库进行数据包捕获。与纯粹基于内容的方法不同,检测系统不需要经过大量的特征训练,而且可以部署在网络出口端。实验结果表明,检测算法能达到不错的垃圾邮件检测效果,垃圾邮件主机误报率只有10％左右。通过最终的邮件内容聚类,能发现多个具有一定规模的僵尸网络。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪 论

1 .1 研究背景和意义

1 .2 国内外研究现状

1 .3 本文主要内容和结构

2 Spamming Botnet相关理论

2.1 Spamming Botnet简介

2 .2 僵尸程序捕获与分析

2.3 Spamming Botnet的发现与检测

2 .4 本章小结

3 Spamming Botnet特征分析

3.1 正常的SMTP会话

3.2 Spambot异常行为挖掘与分析

3.3 Spam大小稳定性挖掘与分析

3 .4 本章小结

4 Spamming Botnet检测算法

4 .1 算法总体设计

4 .2 异常特征告警

4 .3 邮件内容匹配和聚类

4 .4 本章小结

5 系统部署与结果分析

5 .1 系统部署

5 .2 实验结果与分析

5 .3 本章小结

6 总结与展望

6 .1 总结

6 .2 展望

致谢

参考文献

附录 1 攻读硕士学位期间发表论文目录