基于大數(shù)據(jù)分析的惡意域名檢測(cè)技術(shù)研究與實(shí)現(xiàn)
發(fā)布時(shí)間:2020-12-12 03:16
網(wǎng)絡(luò)安全是我們永遠(yuǎn)無(wú)法回避的話題,不法分子在互聯(lián)網(wǎng)上常常會(huì)使用域名作為傳播網(wǎng)絡(luò)攻擊的手段,比如連接木馬、僵尸網(wǎng)絡(luò)通信等。速變域名和域名生成算法等技術(shù)的應(yīng)用使得網(wǎng)絡(luò)攻擊更加隱蔽、惡意域名更難被識(shí)別,域名黑名單在這種情況下作用有限,而通過(guò)分析域名的DNS數(shù)據(jù)來(lái)識(shí)別檢測(cè)惡意域名成為一種更有效的方法。本文首先調(diào)研了惡意域名檢測(cè)的相關(guān)技術(shù),分析了當(dāng)前惡意域名檢測(cè)面臨的困難,總結(jié)了目前已有的技術(shù)方案以及相關(guān)研究成果,同時(shí)研究了機(jī)器學(xué)習(xí)分類模型和大數(shù)據(jù)技術(shù),利用HadooP、Spark、Kafka等搭建了大數(shù)據(jù)分析的基礎(chǔ)架構(gòu)。在此基礎(chǔ)上,本文從大量DNS數(shù)據(jù)入手,利用機(jī)器學(xué)習(xí)方法構(gòu)建了基于DNS行為特征的惡意域名檢測(cè)模型。通過(guò)分析DNS數(shù)據(jù)的統(tǒng)計(jì)分布,從4個(gè)維度提取了 22個(gè)特征,通過(guò)交叉驗(yàn)證比較隨機(jī)森林和梯度提升決策樹(shù)兩種分類模型,測(cè)試證明隨機(jī)森林在準(zhǔn)確率、召回率等指標(biāo)上具有優(yōu)勢(shì)。最后,基于大數(shù)據(jù)平臺(tái)設(shè)計(jì)和實(shí)現(xiàn)了惡意域名檢測(cè)系統(tǒng),并將構(gòu)建的檢測(cè)模型應(yīng)用到系統(tǒng)中。系統(tǒng)架構(gòu)的設(shè)計(jì)考慮了輸入來(lái)源、數(shù)據(jù)存儲(chǔ)、執(zhí)行效率、可擴(kuò)展性等一系列問(wèn)題,最終劃分成4個(gè)功能模塊。為了保證系統(tǒng)能夠在高速網(wǎng)絡(luò)中保持穩(wěn)定可用,...
【文章來(lái)源】:北京郵電大學(xué)北京市 211工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:78 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 研究背景及意義
1.2 研究現(xiàn)狀
1.3 研究?jī)?nèi)容
1.4 論文組織結(jié)構(gòu)
第二章 相關(guān)技術(shù)研究
2.1 惡意域名檢測(cè)技術(shù)分析
2.1.1 惡意域名檢測(cè)面臨的困難
2.1.2 惡意域名檢測(cè)的技術(shù)方案
2.2 機(jī)器學(xué)習(xí)分類模型研究
2.2.1 隨機(jī)森林模型
2.2.2 梯度提升決策樹(shù)模型
2.3 大數(shù)據(jù)技術(shù)研究
2.3.1 Hadoop體系架構(gòu)
2.3.2 Spark體系架構(gòu)
2.3.3 Kafka體系架構(gòu)
第三章 惡意域名檢測(cè)模型的構(gòu)建
3.1 數(shù)據(jù)準(zhǔn)備
3.1.1 數(shù)據(jù)內(nèi)容
3.1.2 數(shù)據(jù)標(biāo)注
3.2 特征提取
3.2.1 基于時(shí)間的特征
3.2.2 基于DNS響應(yīng)報(bào)文的特征
3.2.3 基于TTL的特征
3.2.4 基于域名的特征
3.3 特征選擇
3.3.1 基于Sigmoid的特征選擇算法
3.3.2 基于信息增益比的特征排序算法
3.3.3 特征選擇過(guò)程
3.4 模型訓(xùn)練
3.4.1 初始訓(xùn)練數(shù)據(jù)處理
3.4.2 模型選擇方法與評(píng)價(jià)指標(biāo)
3.4.3 模型效果對(duì)比評(píng)估
3.4.4 模型泛化能力檢驗(yàn)
第四章 惡意域名檢測(cè)系統(tǒng)的設(shè)計(jì)
4.1 需求分析
4.1.1 功能需求
4.1.2 技術(shù)挑戰(zhàn)
4.2 系統(tǒng)架構(gòu)設(shè)計(jì)
4.2.1 功能架構(gòu)
4.2.2 技術(shù)架構(gòu)
4.2.3 數(shù)據(jù)架構(gòu)
4.3 系統(tǒng)各模塊設(shè)計(jì)
4.3.1 DNS數(shù)據(jù)獲取模塊
4.3.2 數(shù)據(jù)處理模塊
4.3.3 模型檢測(cè)模塊
4.3.4 結(jié)果展示模塊
4.4 數(shù)據(jù)庫(kù)設(shè)計(jì)
第五章 惡意域名檢測(cè)系統(tǒng)的實(shí)現(xiàn)和測(cè)試
5.1 系統(tǒng)運(yùn)行環(huán)境配置
5.1.1 軟硬件配置
5.1.2 系統(tǒng)接入位置配置
5.2 系統(tǒng)各模塊實(shí)現(xiàn)
5.2.1 DNS數(shù)據(jù)獲取模塊
5.2.2 數(shù)據(jù)處理模塊
5.2.3 模型檢測(cè)模塊
5.2.4 結(jié)果展示模塊
5.3 系統(tǒng)測(cè)試
5.3.1 功能測(cè)試
5.3.2 性能測(cè)試
第六章 總結(jié)與展望
6.1 研究工作總結(jié)
6.2 不足和展望
參考文獻(xiàn)
致謝
攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文
【參考文獻(xiàn)】:
期刊論文
[1]基于Passive DNS的速變域名檢測(cè)[J]. 周昌令,陳愷,公緒曉,陳萍,馬皓. 北京大學(xué)學(xué)報(bào)(自然科學(xué)版). 2016(03)
[2]僵尸網(wǎng)絡(luò)研究[J]. 諸葛建偉,韓心慧,周勇林,葉志遠(yuǎn),鄒維. 軟件學(xué)報(bào). 2008(03)
[3]高速網(wǎng)絡(luò)內(nèi)容監(jiān)控若干關(guān)鍵技術(shù)[J]. 程圣宇,白英杰,肖瀛,蘆東昕. 計(jì)算機(jī)應(yīng)用. 2003(S2)
碩士論文
[1]網(wǎng)絡(luò)數(shù)據(jù)獲取與協(xié)議還原系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 楊帆.華中科技大學(xué) 2009
[2]Fast-flux服務(wù)網(wǎng)絡(luò)檢測(cè)方法研究[D]. 汪洋.華中科技大學(xué) 2009
本文編號(hào):2911753
【文章來(lái)源】:北京郵電大學(xué)北京市 211工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:78 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 研究背景及意義
1.2 研究現(xiàn)狀
1.3 研究?jī)?nèi)容
1.4 論文組織結(jié)構(gòu)
第二章 相關(guān)技術(shù)研究
2.1 惡意域名檢測(cè)技術(shù)分析
2.1.1 惡意域名檢測(cè)面臨的困難
2.1.2 惡意域名檢測(cè)的技術(shù)方案
2.2 機(jī)器學(xué)習(xí)分類模型研究
2.2.1 隨機(jī)森林模型
2.2.2 梯度提升決策樹(shù)模型
2.3 大數(shù)據(jù)技術(shù)研究
2.3.1 Hadoop體系架構(gòu)
2.3.2 Spark體系架構(gòu)
2.3.3 Kafka體系架構(gòu)
第三章 惡意域名檢測(cè)模型的構(gòu)建
3.1 數(shù)據(jù)準(zhǔn)備
3.1.1 數(shù)據(jù)內(nèi)容
3.1.2 數(shù)據(jù)標(biāo)注
3.2 特征提取
3.2.1 基于時(shí)間的特征
3.2.2 基于DNS響應(yīng)報(bào)文的特征
3.2.3 基于TTL的特征
3.2.4 基于域名的特征
3.3 特征選擇
3.3.1 基于Sigmoid的特征選擇算法
3.3.2 基于信息增益比的特征排序算法
3.3.3 特征選擇過(guò)程
3.4 模型訓(xùn)練
3.4.1 初始訓(xùn)練數(shù)據(jù)處理
3.4.2 模型選擇方法與評(píng)價(jià)指標(biāo)
3.4.3 模型效果對(duì)比評(píng)估
3.4.4 模型泛化能力檢驗(yàn)
第四章 惡意域名檢測(cè)系統(tǒng)的設(shè)計(jì)
4.1 需求分析
4.1.1 功能需求
4.1.2 技術(shù)挑戰(zhàn)
4.2 系統(tǒng)架構(gòu)設(shè)計(jì)
4.2.1 功能架構(gòu)
4.2.2 技術(shù)架構(gòu)
4.2.3 數(shù)據(jù)架構(gòu)
4.3 系統(tǒng)各模塊設(shè)計(jì)
4.3.1 DNS數(shù)據(jù)獲取模塊
4.3.2 數(shù)據(jù)處理模塊
4.3.3 模型檢測(cè)模塊
4.3.4 結(jié)果展示模塊
4.4 數(shù)據(jù)庫(kù)設(shè)計(jì)
第五章 惡意域名檢測(cè)系統(tǒng)的實(shí)現(xiàn)和測(cè)試
5.1 系統(tǒng)運(yùn)行環(huán)境配置
5.1.1 軟硬件配置
5.1.2 系統(tǒng)接入位置配置
5.2 系統(tǒng)各模塊實(shí)現(xiàn)
5.2.1 DNS數(shù)據(jù)獲取模塊
5.2.2 數(shù)據(jù)處理模塊
5.2.3 模型檢測(cè)模塊
5.2.4 結(jié)果展示模塊
5.3 系統(tǒng)測(cè)試
5.3.1 功能測(cè)試
5.3.2 性能測(cè)試
第六章 總結(jié)與展望
6.1 研究工作總結(jié)
6.2 不足和展望
參考文獻(xiàn)
致謝
攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文
【參考文獻(xiàn)】:
期刊論文
[1]基于Passive DNS的速變域名檢測(cè)[J]. 周昌令,陳愷,公緒曉,陳萍,馬皓. 北京大學(xué)學(xué)報(bào)(自然科學(xué)版). 2016(03)
[2]僵尸網(wǎng)絡(luò)研究[J]. 諸葛建偉,韓心慧,周勇林,葉志遠(yuǎn),鄒維. 軟件學(xué)報(bào). 2008(03)
[3]高速網(wǎng)絡(luò)內(nèi)容監(jiān)控若干關(guān)鍵技術(shù)[J]. 程圣宇,白英杰,肖瀛,蘆東昕. 計(jì)算機(jī)應(yīng)用. 2003(S2)
碩士論文
[1]網(wǎng)絡(luò)數(shù)據(jù)獲取與協(xié)議還原系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 楊帆.華中科技大學(xué) 2009
[2]Fast-flux服務(wù)網(wǎng)絡(luò)檢測(cè)方法研究[D]. 汪洋.華中科技大學(xué) 2009
本文編號(hào):2911753
本文鏈接:http://www.lk138.cn/guanlilunwen/ydhl/2911753.html
最近更新
教材專著
