学位论文 > 优秀研究生学位论文题录展示

基于数据包特征的僵尸木马检测技术

作 者: 刘帆
导 师: 王劲松
学 校: 天津理工大学
专 业: 计算机应用技术
关键词: 网络安全 僵尸网络检测 组特征 DPI
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 79次
引 用: 2次
阅 读: 论文下载
 

内容摘要


近年来,随着互联网的不断普及和我国网民数量的不断增加,僵尸网络(Botnet)问题也越来越受到人们的关注。尤其是在2004年我国首例僵尸网络攻击事件发生之后,人们开始清楚地意识到,僵尸网络作为危害性极强的新型攻击手段,已不是一个简单的病毒或者木马,而是一个攻击平台。攻击者不仅可以使用这个平台来进行多种攻击,还可以利用它传播其他病毒木马等恶意程序。在这种情况下,传统的基于主机的检测手段(包括防病毒软件、个人防火墙等)虽然可以有效地查杀木马、病毒等僵尸程序,可以抵挡一些网络攻击,但是近几年出现的某些杀毒软件的误删事件,证明基于主机的检测手段在防范和检测木马、病毒等僵尸程序时已经力不从心。安装在僵尸主机上的僵尸客户端为了隐藏自己,除了在文件、进程等方面隐藏自己外,还会在数据包层面隐藏自己,将特征串缩短,并分散于多个数据包中。这使得传统的通过数据包过滤来检测僵尸主机的方法很难奏效,精确度也大幅下降。本文提出了一种基于组特征过滤器的检测方法,使用多个成员特征对内网主机数据包进行过滤,以O(t·mn)的空间开销为代价,应对短特征串和特征串的包分散问题,并能与传统的特征匹配算法相兼容。本文先后论述了组特征检测算法和检测系统的实现细节,并对仿真环境实验和天津市教育城域骨干网真实流量实验进行了展示,同时对系统的检测结果进行了分析。实验证明本文提出的基于组特征过滤算法的僵尸网络检测方法是切实可行的,基于组特征过滤技术的僵尸主机检测系统是有效的。此外,本文所实现的检测系统解决了在高速网络流量下的实时捕包问题,使用C/C++、WinPcap和多线程等手段,在处理1Gbps的网络流量时也不会发生丢包,而且系统的资源占用较低;实现了检测结果的可视化显示,检测系统可提供树形和Traffic Map两种显示模式,网管人员可以随时查看实时数据和历史数据;实现了数据包特征的描述和存储,提高了系统的易用性,在发现新的僵尸木马程序的通信数据包特征后,可以很方便地将新特征添加到检测系统中去。

全文目录


摘要  5-6
Abstract  6-10
第一章 绪论  10-14
  1.1 课题的研究目的和意义  10-11
    1.1.1 研究背景  10-11
    1.1.2 研究意义和目的  11
  1.2 国内外研究现状  11-13
    1.2.1 基于蜜罐的检测方法  11
    1.2.2 基于网络异常的检测方法  11-12
    1.2.3 基于流分类技术的检测方法  12-13
  1.3 本文章节结构介绍  13-14
第二章 理论和工具  14-22
  2.1 僵尸网络  14-15
    2.1.1 僵尸网络的概念和分类  14-15
    2.1.2 僵尸客户端的隐蔽性  15
  2.2 深度包检测技术  15-16
  2.3 WinPcap  16-17
  2.4 进程间通信  17-18
  2.5 IP地址归属地查询  18-20
  2.6 XML语言  20-21
    2.6.1 XML语言的定义和特性  20-21
    2.6.2 LibXML2  21
  2.7 本章小结  21-22
第三章 基于组特征过滤器的僵尸主机检测算法  22-26
  3.1 僵尸数据包特征的多包分布  22
  3.2 基于组特征过滤器的僵尸主机检测  22-25
    3.2.1 组特征过滤器  23
    3.2.2 位向量表  23
    3.2.3 动态过滤器  23
    3.2.4 基于组特征过滤器系统工作机制  23-25
  3.3 基于组特征过滤器的僵尸主机检测  25
    3.3.1 复杂度分析  25
    3.3.2 对传统单包匹配算法的兼容性  25
  3.4 本章小结  25-26
第四章 僵尸网络检测系统的实现  26-36
  4.1 模块设计  26-28
    4.1.1 捕包器模块设计  26-27
    4.1.2 组特征过滤模块设计  27-28
  4.2 系统构成  28-29
  4.3 僵尸通信的数据包特征  29-33
    4.3.1 数据包特征的分析  29-31
    4.3.2 数据包特征的存储和匹配  31-33
  4.4 相关数据说明  33-35
    4.4.1 数据包  33
    4.4.2 数据包摘要  33
    4.4.3 检测结果和备份数据的查看  33-35
  4.5 本章小结  35-36
第五章 系统实验与结果分析  36-42
  5.1 实验环境中的检测  36-38
    5.1.1 灰鸽子与RAdmin  36-37
    5.1.2 实验环境的搭建  37
    5.1.3 实验过程与结果  37-38
  5.2 结果分析和说明  38-39
  5.3 真实流量下的检测  39-41
  5.4 本章小结  41-42
第六章 总结与展望  42-44
  6.1 本文的创新之处  42
  6.2 进一步的工作  42-44
    6.2.1 复杂特征串的表示和逻辑树的优化  42-43
    6.2.2 检测结果的检验  43
    6.2.3 备份和查询模块的进一步完善  43-44
参考文献  44-46
发表论文和科研情况说明  46-47
致谢  47

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  3. 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
  4. 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
  5. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  6. 新型抗抑郁药物DPI-289以及API-121的合成研究,R914
  7. 基于区域的无线传感器网络密钥管理方案研究,TP212.9
  8. 我国保险公司保险网络营销研究,F724.6
  9. 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
  10. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  11. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  12. 光盘授权播放系统安全通信研究与设计,TP309
  13. 基于防火墙的快速协议识别系统的设计与实现,TP393.08
  14. 基于PKI的网上购物系统的设计与实现,TP393.09
  15. 网络隐蔽信道检测技术的研究,TP393.08
  16. 无线传感器网络密钥管理方案的研究,TN918.82
  17. 中国网上银行创新途径研究,F832.2
  18. 无线传感器网络安全分析及应用,TN918.82
  19. 无线传感器网络安全路由协议的研究,TN918.82
  20. 支持向量机在入侵检测系统中的研究和应用,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com