返回
基于网络流量的fast-flux僵尸网络检测方法研究

基于网络流量的fast-flux僵尸网络检测方法研究

ID:20606845

大小:3.44 MB

页数:85页

时间:2018-10-14

基于网络流量的fast-flux僵尸网络检测方法研究_第1页
基于网络流量的fast-flux僵尸网络检测方法研究_第2页
基于网络流量的fast-flux僵尸网络检测方法研究_第3页
基于网络流量的fast-flux僵尸网络检测方法研究_第4页
基于网络流量的fast-flux僵尸网络检测方法研究_第5页
资源描述:

《基于网络流量的fast-flux僵尸网络检测方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、电子科技大学UNIVERSITYOFELECTRONICSCIENCEANDTECHNOLOGYOFCHINA专业学位硕士学位论文MASTERTHESISFORPROFESSIONALDEGREE论文题目基于网络流量的Fast-Flux僵尸网络检测方法研究专业学位类别工程硕士学号201522060704作者姓名王中晴指导教师张小松教授分类号密级注1UDC学位论文基于网络流量的Fast-Flux僵尸网络检测方法研究(题名和副题名)王中晴(作者姓名)指导教师张小松教授电子科技大学成都(姓名、职称、单

2、位名称)申请学位级别硕士专业学位类别工程硕士工程领域名称计算机技术提交论文日期2018年3月23日论文答辩日期2018年5月22日学位授予单位和日期电子科技大学2018年6月答辩委员会主席评阅人注1:注明《国际十进分类法UDC》的类号。ResearchonFast-FluxBotnetDetectionMethodBasedonNetworkTrafficAMasterThesisSubmittedtoUniversityofElectronicScienceandTechnologyofChi

3、naDiscipline:MasterofEngineeringAuthor:ZhongqingWangSupervisor:XiaosongZhangSchool:SchoolofComputerScience&Engineering摘要摘要Fast-Flux技术利用快速变换域名相关IP地址的机制提高了攻击者被追踪溯源的难度。因此,攻击者也越来越倾向于将Fast-Flux技术应用到僵尸网络当中,以逃避安全研究人员的追踪和检测。如何有效检测Fast-Flux僵尸网络成为当前网络安全领域研究的热点

4、问题。现有的检测方法大都集中在流量分析上,虽然可以在一定程度上识别Fast-Flux僵尸网络,但是存在较高的误报率和漏报率,且验证环境局限于离线环境。所以,如何在真实的高速网络环境下实现Fast-Flux僵尸网络的有效检测是亟待解决的难题。针对上述问题,本文通过深入分析Fast-Flux僵尸网络的基本原理和网络拓扑结构,并在此基础上,进一步研究现有Fast-Flux僵尸网络的相关学术成果,提出了两阶段Fast-Flux僵尸网络检测方案。该方案主要包括两种方法:基于实时特征的可疑Fast-Flux

5、流量过滤和基于混合关联的Fast-Flux僵尸网络检测。基于实时特征的可疑Fast-Flux流量过滤方法主要是通过DNS协议、黑白名单和Fast-Flux僵尸网络实时特征三种过滤手段筛选出可疑的Fast-Flux流量。该方法缩减了系统所需处理的总数据流量,降低了不相关数据对算法的干扰,进而提高了系统的检测性能和效率。已有的Fast-Flux僵尸网络检测特征大都集中于局部特征,本文依据二部图思想,通过分析域名与IP地址之间的全局关联关系,结合现有基于时间的检测方法的优势,提出了基于混合关联的Fas

6、t-Flux僵尸网络检测方法,增加了Fast-Flux僵尸网络特征向量的维度。该方法根据提取的特征向量,首次将具有检测速度快和检测精度高的XGBoost机器学习算法应用到Fast-Flux僵尸网络检测中,进一步提高检测精度。此外,本方法还能有效识别处于构建或者消亡状态的Fast-Flux域名。最后,本文用公开的ISOT僵尸网络数据集进行测试,实验结果表明本文所提出的方法具有较高的检测效率和准确率。同时,针对高速网络中流量捕获和解析的难点,结合论文中提出的两种方法,设计并实现了适用于高速网络环境的

7、Fast-Flux僵尸网络检测原型系统。实际在线网络流量评估结果表明,该原型系统可以很好的满足高速网络下Fast-Flux僵尸网络的检测需求。提出的检测方法和实现的检测系统为现有高速网络环境下Fast-Flux僵尸网络的检测提供了有力的支持。关键词:僵尸网络,Fast-Flux技术,机器学习,高速网络IABSTRACTABSTRACTFast-Fluxtechnologymakesuseofthemechanismofrapidlychangingdomainname-relatedIPaddr

8、essestoincreasethedifficultyoftraceabilityofattackers.Asaresult,attackersareincreasinglyinclinedtoapplyFast-Fluxtechnologytobotnettoescapethetrackinganddetectionofsecurityresearchers.SohowtoeffectivelydetectFast-Fluxbotnethasbecomeahotissueinthefield

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。