發(fā)布時間：2024-11-30 23:05

　　目前僵尸網(wǎng)絡被認為是垃圾郵件的主要來源，有效的發(fā)現(xiàn)并檢測垃圾郵件僵尸網(wǎng)絡是阻止垃圾郵件攻擊的有效方法。 使用蜜罐對這些僵尸網(wǎng)絡進行捕獲和分析，可以發(fā)現(xiàn)僵尸主機在網(wǎng)絡中會存在多種異常行為：掃描開放的郵件代理、郵件發(fā)送速度快、同時連接多個郵件服務器發(fā)送郵件以及MX查詢異常等等。這些異常在僵尸網(wǎng)絡中比較普遍，可以作為異常特征來過濾僵尸主機。同時，僵尸網(wǎng)絡的郵件大小離散程度比郵件服務器要小的多，以此作為輔助手段能很好的區(qū)分僵尸主機和郵件服務器。 結合現(xiàn)有檢測算法的優(yōu)點，提出了一種郵件行為異常和郵件內(nèi)容相似性匹配相結合的僵尸網(wǎng)絡檢測方法。檢測方法包含兩個模塊：異常行為告警模塊和內(nèi)容聚類模塊。首先通過分析校園網(wǎng)的網(wǎng)絡流量找出網(wǎng)絡行為相對比較異常的計算機進行警告，在告警的同時還原得到每個告警計算機所發(fā)送的郵件；然后再重點分析這些還原得到的郵件，通過匹配郵件正文文本中的URL來估計這些計算機所屬僵尸網(wǎng)絡的規(guī)模。 檢測系統(tǒng)使用Libpcap庫進行數(shù)據(jù)包捕獲。與純粹基于內(nèi)容的方法不同，檢測系統(tǒng)不需要經(jīng)過大量的特征訓練，而且可以部署在網(wǎng)絡出口端。實驗結果表明，檢測算法能達到不錯的垃圾郵件檢測效果，...

【文章頁數(shù)】：62 頁

【學位級別】：碩士

【部分圖文】：

圖2-1集中式僵尸網(wǎng)絡拓撲圖

華中科技大學碩士學位論文集中式架構與網(wǎng)絡拓撲中的心型結構類似，由一臺或多臺計算機充當整個令控制服務器，命令控制服務器是網(wǎng)絡的心臟，而受感染的計算機則與控接相連。這類僵尸網(wǎng)絡結構比較簡單，為了保護自身防止被人發(fā)現(xiàn)一般都的通信內(nèi)容進行加密，一般使用IRC協(xié)議....

圖2-2分布式僵尸網(wǎng)絡拓撲圖

華中科技大學碩士學位論文，它的失效對于僵尸網(wǎng)絡來說往往是致命的，即使使用更多的計算機來充制服務器也仍然不能保證他們經(jīng)營的僵尸網(wǎng)絡不被摧毀。為了克服這個問式架構的僵尸網(wǎng)絡開始出現(xiàn)。分布式架構分布式僵尸網(wǎng)絡使用的是對等互聯(lián)網(wǎng)絡技術。在分布式僵尸網(wǎng)絡中，網(wǎng)絡計算機....

圖2-3Fast-flux僵尸網(wǎng)絡惡意內(nèi)容感染示意圖

華中科技大學碩士學位論文Fast-flux是僵尸網(wǎng)絡所獨創(chuàng)的一項用來隱藏網(wǎng)絡釣魚和惡意軟件下載點的技術。它不再是一個垃圾郵件發(fā)送者和網(wǎng)絡釣魚者的測試概念，越來越多的垃圾郵件發(fā)送者正在利用這種技術。Fast-flux和DDNS類似，它通過使用大量受感染....

圖2-5Xarvester僵尸網(wǎng)絡所使用的模板文件每一個郵件模版代表一個垃圾郵件發(fā)送任務

圖2-5Xarvester僵尸網(wǎng)絡所使用的模板文件個郵件模版代表一個垃圾郵件發(fā)送任務。Spambot在接收郵件模版?zhèn)�電子郵箱列表文件，這個郵箱列表就是這些垃圾郵件的最終在完成模版發(fā)送任務后會將上次的發(fā)送結果上傳給控制服務器，這者能清楚的掌握他們的僵尸網(wǎng)絡到底成功的發(fā)送了多....

本文編號：4013154