基于行為特征的僵尸網(wǎng)絡(luò)檢測方法研究.pdf

1、互聯(lián)網(wǎng)的迅猛發(fā)展，給人們的生活和工作帶來了便利，但由此而引發(fā)的網(wǎng)絡(luò)安全問題也不容小覷。僵尸網(wǎng)絡(luò)就是一種巧妙設(shè)計(jì)并且已經(jīng)發(fā)展的比較成熟了的技術(shù)，這項(xiàng)技術(shù)正在被越來越多的應(yīng)用在如廣告發(fā)送、垃圾郵件和分布式拒絕服務(wù)攻擊等非法活動(dòng)中。
　　 僵尸網(wǎng)絡(luò)由大量被控制的計(jì)算機(jī)組成，這些計(jì)算機(jī)接收控制者的指令，然后執(zhí)行命令，通常這些指令都是惡意的。這樣控制者不僅可以達(dá)到隱蔽自身的目的，而且可以用這些被控制的計(jì)算機(jī)來發(fā)動(dòng)各種攻擊。所以，如何檢測僵

2、尸網(wǎng)絡(luò)，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)非常重要的問題。
　　 對(duì)僵尸網(wǎng)絡(luò)的惡意行為進(jìn)行了詳細(xì)的描述，并從中選取了六個(gè)典型的行為作為僵尸網(wǎng)絡(luò)的普遍行為特征。然后在入侵檢測系統(tǒng)的基礎(chǔ)上實(shí)現(xiàn)了六個(gè)插件，分別用來產(chǎn)生這六個(gè)行為的初級(jí)告警。接著通過對(duì)這些初級(jí)告警進(jìn)行關(guān)聯(lián)分析，從而檢測出僵尸網(wǎng)絡(luò)。
　　 對(duì)初級(jí)告警進(jìn)行關(guān)聯(lián)分析，只能檢測出已知的僵尸網(wǎng)絡(luò)。為了檢測未知的僵尸網(wǎng)絡(luò)，對(duì)被監(jiān)控的所有主機(jī)，計(jì)算其告警的行為相似性和時(shí)間相似性，然后依