發(fā)布時(shí)間：2025-01-18 13:50

　　僵尸網(wǎng)絡(luò)是由大量受控主機(jī)組成的一個(gè)攻擊平臺(tái),攻擊者利用它可以發(fā)起分布式拒絕服務(wù)攻擊、垃圾郵件、網(wǎng)絡(luò)仿冒等各種攻擊,對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重的威脅。因此,如何準(zhǔn)確、高效的檢測(cè)出僵尸網(wǎng)絡(luò)已成為國(guó)內(nèi)外研究的熱點(diǎn)問題。僵尸網(wǎng)絡(luò)為了躲避檢測(cè)和封堵,提高自身的生存能力采取各種規(guī)避技術(shù),其中應(yīng)用最為廣泛的是基于DNS的規(guī)避技術(shù)。目前針對(duì)DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)檢測(cè)方法中存在以下問題:首先每種檢測(cè)方法只針對(duì)某一種類型的僵尸網(wǎng)絡(luò),只對(duì)指定類型的僵尸網(wǎng)絡(luò)有較高的檢測(cè)效率,無法應(yīng)用到實(shí)際環(huán)境的僵尸網(wǎng)絡(luò)檢測(cè)中去;其次每種檢測(cè)方法都是獨(dú)立整體,無法與其他僵尸網(wǎng)絡(luò)檢測(cè)方法進(jìn)行關(guān)聯(lián)分析。對(duì)此,本文提出了一種基于模糊聚類的僵尸網(wǎng)絡(luò)反規(guī)避技術(shù),較好地解決了目前針對(duì)DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)檢測(cè)方法中存在的問題。主要工作包括:(1)為了有效地對(duì)基于DNS規(guī)避技術(shù)的僵尸網(wǎng)絡(luò)進(jìn)行檢測(cè),本文對(duì)僵尸網(wǎng)絡(luò)域名與正常網(wǎng)絡(luò)域名的DNS查詢特征進(jìn)行對(duì)比分析,提取了 22個(gè)可以明顯區(qū)別僵尸網(wǎng)絡(luò)域名與正常網(wǎng)絡(luò)域名的特征,同時(shí)考慮到不同僵尸網(wǎng)絡(luò)之間特征的重疊性與高維特征在運(yùn)算過程中存在的“維數(shù)災(zāi)難”問題,提出了一種前向選擇與后向消除結(jié)合的特征選擇方法...

【文章頁數(shù)】：73 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖１－１?２０１６年僵尸網(wǎng)絡(luò)規(guī)模分布??Ｆｉｇｕｒｅ?１－１?Ｂｏｔｎｅｔ?ｓｉｚｅ?ｄｉｓｔｒｉｂｕｔｉｏｎ?ｉｎ?２０１６??

測(cè)發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)中，規(guī)模在１００臺(tái)主機(jī)以上的僵尸網(wǎng)絡(luò)數(shù)量達(dá)４８９個(gè)，其中有??５２個(gè)僵尸網(wǎng)絡(luò)的規(guī)模甚至達(dá)到了?１０萬臺(tái)主機(jī)以上。２０１６年僵尸網(wǎng)絡(luò)的規(guī)模分布??如圖１－１所示。??單位（個(gè)）??４０００??３５００?｜響｜??３０００??２５００??２０００??１５００??１００....

圖２－１僵尸網(wǎng)絡(luò)生命周期??Ｆｉｇｕｒｅ?２－１?Ｌｉｆｅ?ｃｙｃｌｅ?ｏｆ?ｚｏｍｂｉｅ?ｎｅｔｗｏｒｋ??

２．１．２?僵尸網(wǎng)絡(luò)生命周期??從一個(gè)僵尸程序到由成千上萬臺(tái)受控主機(jī)組成的僵尸網(wǎng)絡(luò)，其中涉及僵尸網(wǎng)??絡(luò)生命的多個(gè)階段。僵尸網(wǎng)絡(luò)的生命周期如圖２－１所示，主要分為傳播過程、＇感染??過程、加入網(wǎng)絡(luò)、擴(kuò)散階段、發(fā)起攻擊等階段［３２］。??７??

圖２－２集中式Ｃ＆Ｃ結(jié)構(gòu)??Ｆｉｇｕｒｅ?２－２?Ｃｅｎｔｒａｌｉｚｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??

?僵尸網(wǎng)絡(luò)相關(guān)研究??信息，網(wǎng)絡(luò)拓?fù)渲袥]有固定的中心服務(wù)器，因此不存在單點(diǎn)失效問題。如圖２－３所??示，控制者可以登錄網(wǎng)絡(luò)中任意一個(gè)感染僵尸程序的主機(jī)，將其作為Ｃ＆Ｃ服務(wù)器??發(fā)布命令。這種僵尸網(wǎng)絡(luò)一般采用Ｐ２Ｐ協(xié)議構(gòu)建其Ｃ＆Ｃ信道�；�于分散式Ｃ＆Ｃ??結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中的每個(gè)僵尸....

圖２－３分布式Ｃ＆Ｃ架構(gòu)??Ｆｉｇｕｒｅ?２－３?Ｄｉｓｔｒｉｂｕｔｅｄ?Ｃ＆Ｃ?ａｒｃｈｉｔｅｃｔｕｒｅ??１３??

?僵尸網(wǎng)絡(luò)相關(guān)研究??信息，網(wǎng)絡(luò)拓?fù)渲袥]有固定的中心服務(wù)器，因此不存在單點(diǎn)失效問題。如圖２－３所??示，控制者可以登錄網(wǎng)絡(luò)中任意一個(gè)感染僵尸程序的主機(jī)，將其作為Ｃ＆Ｃ服務(wù)器??發(fā)布命令。這種僵尸網(wǎng)絡(luò)一般采用Ｐ２Ｐ協(xié)議構(gòu)建其Ｃ＆Ｃ信道。基于分散式Ｃ＆Ｃ??結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中的每個(gè)僵尸....

本文編號(hào)：4028695