学位论文 > 优秀研究生学位论文题录展示

基于多告警源关联分析的僵尸检测方法研究

作 者: 唐亮
导 师: 李汉菊
学 校: 华中科技大学
专 业: 计算机信息安全
关键词: 僵尸网络 关联分析 多告警源 自适应可信度 千兆环境
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 22次
引 用: 0次
阅 读: 论文下载
 

内容摘要


目前,僵尸程序已经成为网络安全的重大隐患,人们尚无有效手段根除,主要原因有二:一、攻击者受经济利益的驱使,不断更新恶意代码技术,使得防御者被动应付;二、僵尸主机地域分布广泛,在小规模网络中检测达不到实际要求的检测效果,而大规模网络中的检测又存在较高的误报和漏报。因此,设计高度可信的僵尸检测算法,改变被动防御地位是亟待解决的重要安全问题。通过对国内外相关僵尸检测算法的分析研究,设计了一种基于多告警源关联分析的检测系统,旨在对僵尸主机的活动进行多方位的监测,并对监测产生的告警数据进行综合分析,去除单个告警源产生的大量冗余数据,极大提高检测结果的可信度。系统的数据采集包括数据包采集和NetFlow流数据采集,流采集使用Nprobe技术,回避了思科路由器流采集软件因采样而带来的数据丢失且效率更高;告警监测由三个部分组成:僵尸行为监测,恶意活动监测和异常行为监测。僵尸行为监测利用已有的P2P僵尸、IRC僵尸检测算法产生告警;恶意活动监测主要关注主机的扫描、垃圾邮件发送等行为;异常监测分析DNS查询、HTTP连接等异常活动。关联分析根据各告警源的特征,设计关联算法以确认僵尸主机并调整各告警源的可信度。系统在封闭的实验环境下能够准确的检测部署的IRC、P2P等多个僵尸样本主机;在实际千兆网络环境中,不仅能发现实验部署的样本主机,也能发现校园网内大规模疑似僵尸网络活动。相比僵尸行为检测算法,关联分析能够极大的消减冗余数据,降低漏报,提高告警的可信度。

全文目录


相似论文

  1. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  2. 外来入侵植物加拿大一枝黄花对入侵地土壤动物群落结构的影响,S451
  3. 粳稻穗角性状的遗传分离分析和QTL定位及关联分析,S511.22
  4. 作物品种群体抗性性状基因座定位的新方法研究,S336
  5. 曲靖清香型烤烟风格形成的土壤因素和烟叶品质特点分析,S572
  6. 中国大豆地方品种群体的遗传结构和连锁不平衡特征及主要育种性状QTL的关联分析,S565.1
  7. 中国野生大豆的群体结构和连锁不平衡特点以及育种有关性状QTL的关联分析,S565.1
  8. 陆地棉雄蕊发育耐高温种质资源筛选及农艺性状与SSR标记关联分析,S562
  9. 我国栽培大豆品种的遗传多样性分析与青籽粒性状QTL的关联定位,S565.1
  10. 小麦抗赤霉病Qfhs-3B近等基因系的选育、精确定位及关联分析,S512.1
  11. 大豆栽培品种群体粒形性状及百粒重的关联分析,S565.1
  12. 大豆栽培品种主要农艺性状与SSR标记的关联分析,S565.1
  13. 大豆产量、品质性状与SSR标记的关联分析,S565.1
  14. 基于同化能力杂种优势早期评价的桃光合特性研究,S662.1
  15. 小麦蛋白磷酸酶TaPP2Aa/c的功能标记开发、作图和关联分析,S512.1
  16. 僵尸网络技术检测与防范系统—数据库与系统集成解决方案,TP393.08
  17. 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
  18. 僵尸网络技术检测与防范系统,TP393.08
  19. 僵尸网络技术检测与防范系统,TP393.08
  20. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com