基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的研究與實現(xiàn).pdf

1、僵尸網(wǎng)絡(luò)是指控制者出于惡意目的使用僵尸程序感染大量網(wǎng)絡(luò)主機并對其進行控制從而形成的一種攻擊網(wǎng)絡(luò)，它主要通過命令與控制(C&C)信道進行通信。僵尸網(wǎng)絡(luò)可以用來執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件、竊取個人信息等網(wǎng)絡(luò)惡意行為，從而給互聯(lián)網(wǎng)安全帶來了嚴重的威脅。
　　隨著僵尸網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，新的僵尸類型及其變種屢見不鮮，僵尸網(wǎng)絡(luò)的檢測技術(shù)也在不斷更新。然而時至今日，還沒有一種方法能夠?qū)λ蓄愋偷慕┦W(wǎng)絡(luò)進行檢測，每種檢測

2、方法只能對部分僵尸樣本或者某一個僵尸族有比較好的檢測效果。但是在僵尸網(wǎng)絡(luò)及其檢測技術(shù)發(fā)展的歷程中，可以看到:為了增強僵尸網(wǎng)絡(luò)的魯棒性和健壯性，越來越多的僵尸網(wǎng)絡(luò)控制者傾向于使用加密的通信方式從而躲避檢測;僵尸網(wǎng)絡(luò)控制者通過C&C信道向僵尸機發(fā)布命令從而對其進行控制，C&C通信的檢測能夠很好地表征僵尸網(wǎng)絡(luò)的存在;僵尸網(wǎng)絡(luò)由于其群體性以及協(xié)同工作機制的存在，其內(nèi)部主機產(chǎn)生的消息響應(yīng)或行為響應(yīng)具有一定的時空關(guān)聯(lián)性。
　　針對上述問題的存

3、在，本文主要對加密流量識別、C&C通信檢測以及僵尸網(wǎng)絡(luò)的時空關(guān)聯(lián)性進行了研究與分析，在這些工作的基礎(chǔ)上設(shè)計并實現(xiàn)了一個基于時空關(guān)聯(lián)性的僵尸網(wǎng)絡(luò)檢測系統(tǒng)。本文的主要工作有:(1)利用流量加密前后有效負載的混亂性和隨機性發(fā)生變化這一特性，提出了基于流的加密流量識別方法，使用相對熵和Monte CarloPI估計誤差作為特征，與僅使用相對熵作為特征向量的方法相比，準確率較高且誤報率低;(2) HTTP僵尸主機在與C&C服務(wù)器進行通信時的流量屬