發(fā)布時間：2020-11-21 00:13

　　 Fast-Flux技術(shù)利用快速變換域名相關(guān)IP地址的機制提高了攻擊者被追蹤溯源的難度。因此,攻擊者也越來越傾向于將Fast-Flux技術(shù)應用到僵尸網(wǎng)絡(luò)當中,以逃避安全研究人員的追蹤和檢測。如何有效檢測Fast-Flux僵尸網(wǎng)絡(luò)成為當前網(wǎng)絡(luò)安全領(lǐng)域研究的熱點問題�，F(xiàn)有的檢測方法大都集中在流量分析上,雖然可以在一定程度上識別Fast-Flux僵尸網(wǎng)絡(luò),但是存在較高的誤報率和漏報率,且驗證環(huán)境局限于離線環(huán)境。所以,如何在真實的高速網(wǎng)絡(luò)環(huán)境下實現(xiàn)Fast-Flux僵尸網(wǎng)絡(luò)的有效檢測是亟待解決的難題。針對上述問題,本文通過深入分析Fast-Flux僵尸網(wǎng)絡(luò)的基本原理和網(wǎng)絡(luò)拓撲結(jié)構(gòu),并在此基礎(chǔ)上,進一步研究現(xiàn)有Fast-Flux僵尸網(wǎng)絡(luò)的相關(guān)學術(shù)成果,提出了兩階段Fast-Flux僵尸網(wǎng)絡(luò)檢測方案。該方案主要包括兩種方法:基于實時特征的可疑Fast-Flux流量過濾和基于混合關(guān)聯(lián)的Fast-Flux僵尸網(wǎng)絡(luò)檢測�；�于實時特征的可疑Fast-Flux流量過濾方法主要是通過DNS協(xié)議、黑白名單和Fast-Flux僵尸網(wǎng)絡(luò)實時特征三種過濾手段篩選出可疑的Fast-Flux流量。該方法縮減了系統(tǒng)所需處理的總數(shù)據(jù)流量,降低了不相關(guān)數(shù)據(jù)對算法的干擾,進而提高了系統(tǒng)的檢測性能和效率。已有的Fast-Flux僵尸網(wǎng)絡(luò)檢測特征大都集中于局部特征,本文依據(jù)二部圖思想,通過分析域名與IP地址之間的全局關(guān)聯(lián)關(guān)系,結(jié)合現(xiàn)有基于時間的檢測方法的優(yōu)勢,提出了基于混合關(guān)聯(lián)的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,增加了Fast-Flux僵尸網(wǎng)絡(luò)特征向量的維度。該方法根據(jù)提取的特征向量,首次將具有檢測速度快和檢測精度高的XGBoost機器學習算法應用到Fast-Flux僵尸網(wǎng)絡(luò)檢測中,進一步提高檢測精度。此外,本方法還能有效識別處于構(gòu)建或者消亡狀態(tài)的Fast-Flux域名。最后,本文用公開的ISOT僵尸網(wǎng)絡(luò)數(shù)據(jù)集進行測試,實驗結(jié)果表明本文所提出的方法具有較高的檢測效率和準確率。同時,針對高速網(wǎng)絡(luò)中流量捕獲和解析的難點,結(jié)合論文中提出的兩種方法,設(shè)計并實現(xiàn)了適用于高速網(wǎng)絡(luò)環(huán)境的Fast-Flux僵尸網(wǎng)絡(luò)檢測原型系統(tǒng)。實際在線網(wǎng)絡(luò)流量評估結(jié)果表明,該原型系統(tǒng)可以很好的滿足高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)的檢測需求。提出的檢測方法和實現(xiàn)的檢測系統(tǒng)為現(xiàn)有高速網(wǎng)絡(luò)環(huán)境下Fast-Flux僵尸網(wǎng)絡(luò)的檢測提供了有力的支持。
【學位單位】：電子科技大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【文章目錄】：
摘要
abstract
第一章 緒論
    1.1 研究背景及意義
    1.2 國內(nèi)外研究現(xiàn)狀
    1.3 本文主要研究內(nèi)容
    1.4 本文的組織結(jié)構(gòu)
    1.5 本章小結(jié)
第二章 Fast-Flux僵尸網(wǎng)絡(luò)相關(guān)內(nèi)容研究
    2.1 僵尸網(wǎng)絡(luò)概述
        2.1.1 僵尸網(wǎng)絡(luò)的定義
        2.1.2 僵尸網(wǎng)絡(luò)的結(jié)構(gòu)
        2.1.3 僵尸網(wǎng)絡(luò)的生命周期
    2.2 Fast-Flux僵尸網(wǎng)絡(luò)研究
        2.2.1 DNS技術(shù)概述
        2.2.2 Fast-Flux技術(shù)概述
        2.2.3 Fast-Flux僵尸網(wǎng)絡(luò)的種類
    2.3 本章小結(jié)
第三章 基于DNS流量的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法研究
    3.1 檢測方法整體流程
    3.2 基于實時特征的可疑Fast-Flux流量過濾方法設(shè)計
        3.2.1 過濾方法整體設(shè)計
        3.2.2 基于黑/白名單的過濾方法
        3.2.3 基于實時特征的過濾方法
    3.3 基于混合關(guān)聯(lián)的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法設(shè)計
        3.3.1 檢測方法整體設(shè)計
        3.3.2 基于全局關(guān)聯(lián)的特征提取方法
        3.3.3 基于時間的局部特征提取方法
        3.3.4 XGBoost檢測方法
    3.4 本章小結(jié)
第四章 高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測原型系統(tǒng)的實現(xiàn)
    4.1 系統(tǒng)設(shè)計目標
        4.1.1 系統(tǒng)設(shè)計難點
        4.1.2 系統(tǒng)目標
    4.2 網(wǎng)絡(luò)部署
    4.3 系統(tǒng)架構(gòu)設(shè)計
    4.4 系統(tǒng)模塊設(shè)計與實現(xiàn)
        4.4.1 網(wǎng)絡(luò)數(shù)據(jù)流量采集模塊設(shè)計與實現(xiàn)
        4.4.2 數(shù)據(jù)預處理模塊設(shè)計與實現(xiàn)
        4.4.3 數(shù)據(jù)過濾模塊設(shè)計與實現(xiàn)
        4.4.4 特征提取模塊設(shè)計與實現(xiàn)
        4.4.5 Fast-Flux僵尸網(wǎng)絡(luò)檢測模塊設(shè)計與實現(xiàn)
    4.5 本章小結(jié)
第五章 算法評估與系統(tǒng)測試
    5.1 實驗環(huán)境
    5.2 實驗數(shù)據(jù)集
    5.3 可疑Fast-Flux流量過濾方法實驗與分析
    5.4 基于混合關(guān)聯(lián)的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法實驗與分析
    5.5 系統(tǒng)在線測試
        5.5.1 數(shù)據(jù)采集模塊測試
        5.5.2 數(shù)據(jù)預處理和過濾模塊測試
        5.5.3 在線檢測結(jié)果測試
    5.6 本章小結(jié)
第六章 總結(jié)與展望
    6.1 工作總結(jié)
    6.2 工作展望
致謝
參考文獻
攻讀碩士學位期間取得的成果

【相似文獻】

相關(guān)期刊論文 前10條

1 ;新型僵尸網(wǎng)絡(luò)擴張勢不可擋 設(shè)備用戶需盡快升級補丁[J];保密科學技術(shù);2017年11期

2 胡樹琪;;租售“僵尸網(wǎng)絡(luò)”控制權(quán)行為的刑法思索[J];新聞前哨;2018年03期

3 ;專家發(fā)現(xiàn)新僵尸網(wǎng)絡(luò),能夠控制路由器和攝像頭[J];網(wǎng)絡(luò)安全和信息化;2017年12期

4 周暢;黃征;;基于僵尸網(wǎng)絡(luò)流量特征的深度學習檢測[J];信息技術(shù);2018年04期

5 吳迪;崔翔;劉奇旭;張方嬌;;泛在僵尸網(wǎng)絡(luò)發(fā)展研究[J];信息網(wǎng)絡(luò)安全;2018年07期

6 陳瑞東;趙凌園;張小松;;基于模糊聚類的僵尸網(wǎng)絡(luò)識別技術(shù)[J];計算機工程;2018年10期

7 云川;;利用機器學習鑒別僵尸網(wǎng)絡(luò)面板[J];計算機與網(wǎng)絡(luò);2016年21期

8 劉卓軍;;僵尸網(wǎng)絡(luò)技術(shù)的挑戰(zhàn)[J];中關(guān)村;2017年10期

9 王魁生;侯妍;;企業(yè)網(wǎng)的僵尸網(wǎng)絡(luò)檢測和防御[J];網(wǎng)絡(luò)安全技術(shù)與應用;2015年11期

10 陳偉;周詩文;殷承宇;;流量自適應的移動僵尸網(wǎng)絡(luò)云控機制研究[J];通信學報;2014年11期

相關(guān)博士學位論文 前10條

1 李可;基于行為分析的僵尸網(wǎng)絡(luò)對抗技術(shù)研究[D];北京郵電大學;2017年

2 何杰;基于網(wǎng)絡(luò)流量的P2P僵尸網(wǎng)絡(luò)實時檢測技術(shù)研究[D];國防科學技術(shù)大學;2015年

3 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測[D];北京郵電大學;2011年

4 耿貴寧;移動僵尸網(wǎng)絡(luò)安全分析關(guān)鍵技術(shù)研究[D];北京郵電大學;2012年

5 TRUONG DINH TU;[D];東南大學;2015年

6 李雪峰;P2P僵尸網(wǎng)絡(luò)體系結(jié)構(gòu)研究[D];清華大學;2011年

7 臧天寧;僵尸網(wǎng)絡(luò)協(xié)同檢測與識別關(guān)鍵技術(shù)研究[D];哈爾濱工程大學;2011年

8 王穎;僵尸網(wǎng)絡(luò)對抗關(guān)鍵技術(shù)研究[D];北京郵電大學;2014年

9 于曉聰;基于網(wǎng)絡(luò)流量分析的僵尸網(wǎng)絡(luò)在線檢測技術(shù)的研究[D];東北大學;2011年

10 王一川;云環(huán)境下DoS攻防理論與技術(shù)研究[D];西安電子科技大學;2014年

相關(guān)碩士學位論文 前10條

1 崔卓群;基于數(shù)據(jù)挖掘的僵尸主機檢測的研究與實現(xiàn)[D];北京郵電大學;2018年

2 王鵬飛;基于周期性通訊行為的P2P僵尸網(wǎng)絡(luò)檢測[D];山東大學;2018年

3 袁辰;基于對抗模型的惡意域名檢測方法的研究與實現(xiàn)[D];北京建筑大學;2018年

4 陳松健;移動僵尸網(wǎng)絡(luò)的命令與控制信息隱匿技術(shù)研究[D];南京郵電大學;2018年

5 Asante Isaac Osei;對銀行系統(tǒng)的案例研究—加納GCB銀行攻擊[D];華中師范大學;2018年

6 周亞勝;基于行為分析的僵尸網(wǎng)絡(luò)畫像技術(shù)研究[D];西安電子科技大學;2018年

7 胡淵博;基于多特征的SMS僵尸網(wǎng)絡(luò)檢測技術(shù)研究[D];西安電子科技大學;2018年

8 路一鳴;基于移動平臺僵尸網(wǎng)絡(luò)的反追蹤技術(shù)的研究與實驗[D];北京郵電大學;2015年

9 陳良;基于云平臺的僵尸網(wǎng)絡(luò)反追蹤技術(shù)的研究與實驗[D];北京郵電大學;2014年

10 王中晴;基于網(wǎng)絡(luò)流量的Fast-Flux僵尸網(wǎng)絡(luò)檢測方法研究[D];電子科技大學;2018年

本文編號：2892226