基于Botnet的DDoS攻擊取證技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)安全事件頻繁發(fā)生。計(jì)算機(jī)取證(computerforensics)正是在這種形勢下產(chǎn)生和發(fā)展的，它可以對(duì)犯罪分子產(chǎn)生威懾作用。當(dāng)前，分布式拒絕服務(wù)攻擊(DDoS)已經(jīng)成為信息安全的一個(gè)重大威脅，僵尸網(wǎng)絡(luò)(Botnet)為發(fā)動(dòng)DDoS攻擊提供了方便。所以，對(duì)基于Botnet的DDoS攻擊的取證分析也逐漸成為計(jì)算機(jī)取證工作中的重要內(nèi)容。
　　 基于IRC協(xié)議的僵尸網(wǎng)絡(luò)是當(dāng)前最流行的僵尸網(wǎng)絡(luò)。通過對(duì)僵尸網(wǎng)絡(luò)

2、IRC C2(Command and Control命令與控制)行為特征的分析，本文提出了一種基于受控端的IRC C2行為識(shí)別方法：從普通數(shù)據(jù)流中分離IRC數(shù)據(jù)流，并從中抽取IRC行為特征，把抽取的IRC行為特征與匹配模型進(jìn)行模糊匹配，進(jìn)而識(shí)別出該IRC行為是否為僵尸網(wǎng)絡(luò)IRC C2行為。
　　 當(dāng)前DDoS攻擊的主要方式是基于TCP協(xié)議的攻擊和基于ICMP協(xié)議的攻擊。本文針對(duì)這兩種攻擊的典型方法，提出相應(yīng)的基于源端的DDoS攻

3、擊行為識(shí)別方法。對(duì)于基于TCP協(xié)議的攻擊，以統(tǒng)計(jì)源端主機(jī)發(fā)往目標(biāo)地址的SYN包個(gè)數(shù)與返回的SYN應(yīng)答包個(gè)數(shù)的差值來量化目標(biāo)主機(jī)的擁塞程度，以源端主機(jī)接收到的SYN應(yīng)答包個(gè)數(shù)和源端主機(jī)返回給服務(wù)器的SYN應(yīng)答包個(gè)數(shù)的差值來判斷源端主機(jī)是否產(chǎn)生惡意攻擊，采用非參數(shù)的CUSUM算法將連續(xù)攻擊效果放大以減小檢測的誤警率。對(duì)于基于ICMP協(xié)議的攻擊，從攻擊的原理入手，提出了通過判斷有無發(fā)生IP數(shù)據(jù)包偽造行為來確定是否發(fā)生了Smurf攻擊的方法。實(shí)