目前僵尸網(wǎng)絡(luò)被認(rèn)為是垃圾郵件的主要來源，有效的發(fā)現(xiàn)并檢測垃圾郵件僵尸網(wǎng)絡(luò)是阻止垃圾郵件攻擊的有效方法。 使用蜜罐對這些僵尸網(wǎng)絡(luò)進(jìn)行捕獲和分析，可以發(fā)現(xiàn)僵尸主機(jī)在網(wǎng)絡(luò)中會存在多種異常行為：掃描開放的郵件代理、郵件發(fā)送速度快、同時連接多個郵件服務(wù)器發(fā)送郵件以及MX查詢異常等等。這些異常在僵尸網(wǎng)絡(luò)中比較普遍，可以作為異常特征來過濾僵尸主機(jī)。同時，僵尸網(wǎng)絡(luò)的郵件大小離散程度比郵件服務(wù)器要小的多，以此作為輔助手段能很好的區(qū)分僵尸主機(jī)和郵件服務(wù)器。 結(jié)合現(xiàn)有檢測算法的優(yōu)點(diǎn)，提出了一種郵件行為異常和郵件內(nèi)容相似性匹配相結(jié)合的僵尸網(wǎng)絡(luò)檢測方法。檢測方法包含兩個模塊：異常行為告警模塊和內(nèi)容聚類模塊。首先通過分析校園網(wǎng)的網(wǎng)絡(luò)流量找出網(wǎng)絡(luò)行為相對比較異常的計算機(jī)進(jìn)行警告，在告警的同時還原得到每個告警計算機(jī)所發(fā)送的郵件；然后再重點(diǎn)分析這些還原得到的郵件，通過匹配郵件正文文本中的URL來估計這些計算機(jī)所屬僵尸網(wǎng)絡(luò)的規(guī)模。 檢測系統(tǒng)使用Libpcap庫進(jìn)行數(shù)據(jù)包捕獲。與純粹基于內(nèi)容的方法不同，檢測系統(tǒng)不需要經(jīng)過大量的特征訓(xùn)練，而且可以部署在網(wǎng)絡(luò)出口端。實(shí)驗(yàn)結(jié)果表明，檢測算法能達(dá)到不錯的垃圾郵件檢測效果，...

【文章頁數(shù)】：62 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖2-1集中式僵尸網(wǎng)絡(luò)拓?fù)鋱D

華中科技大學(xué)碩士學(xué)位論文集中式架構(gòu)與網(wǎng)絡(luò)拓?fù)渲械男男徒Y(jié)構(gòu)類似，由一臺或多臺計算機(jī)充當(dāng)整個令控制服務(wù)器，命令控制服務(wù)器是網(wǎng)絡(luò)的心臟，而受感染的計算機(jī)則與控接相連。這類僵尸網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，為了保護(hù)自身防止被人發(fā)現(xiàn)一般都的通信內(nèi)容進(jìn)行加密，一般使用IRC協(xié)議....

圖2-2分布式僵尸網(wǎng)絡(luò)拓?fù)鋱D

華中科技大學(xué)碩士學(xué)位論文，它的失效對于僵尸網(wǎng)絡(luò)來說往往是致命的，即使使用更多的計算機(jī)來充制服務(wù)器也仍然不能保證他們經(jīng)營的僵尸網(wǎng)絡(luò)不被摧毀。為了克服這個問式架構(gòu)的僵尸網(wǎng)絡(luò)開始出現(xiàn)。分布式架構(gòu)分布式僵尸網(wǎng)絡(luò)使用的是對等互聯(lián)網(wǎng)絡(luò)技術(shù)。在分布式僵尸網(wǎng)絡(luò)中，網(wǎng)絡(luò)計算機(jī)....

圖2-3Fast-flux僵尸網(wǎng)絡(luò)惡意內(nèi)容感染示意圖

華中科技大學(xué)碩士學(xué)位論文Fast-flux是僵尸網(wǎng)絡(luò)所獨(dú)創(chuàng)的一項(xiàng)用來隱藏網(wǎng)絡(luò)釣魚和惡意軟件下載點(diǎn)的技術(shù)。它不再是一個垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚者的測試概念，越來越多的垃圾郵件發(fā)送者正在利用這種技術(shù)。Fast-flux和DDNS類似，它通過使用大量受感染....

圖2-5Xarvester僵尸網(wǎng)絡(luò)所使用的模板文件每一個郵件模版代表一個垃圾郵件發(fā)送任務(wù)

圖2-5Xarvester僵尸網(wǎng)絡(luò)所使用的模板文件個郵件模版代表一個垃圾郵件發(fā)送任務(wù)。Spambot在接收郵件模版?zhèn)�電子郵箱列表文件，這個郵箱列表就是這些垃圾郵件的最終在完成模版發(fā)送任務(wù)后會將上次的發(fā)送結(jié)果上傳給控制服務(wù)器，這者能清楚的掌握他們的僵尸網(wǎng)絡(luò)到底成功的發(fā)送了多....

本文編號：4013154