速變攻擊網(wǎng)絡(luò)研究.pdf

1、速變(Fast-Flux)是指短時(shí)間內(nèi)將同一個(gè)域名映射到不同的網(wǎng)絡(luò)地址上。采用這一技術(shù)的網(wǎng)絡(luò)稱為速變網(wǎng)絡(luò)(Fast-Flux Service Network,FFSN)。這一技術(shù)最初被使用在大規(guī)模和重負(fù)荷的網(wǎng)絡(luò)上。然而,攻擊者也開始利用速變網(wǎng)絡(luò)去構(gòu)建一些非法網(wǎng)絡(luò),并隱藏真正的控制中心。該非法網(wǎng)絡(luò)稱為速變攻擊網(wǎng)絡(luò)(Fast-FluxAttack Network,FFAN)。由于良性速變網(wǎng)絡(luò)和速變攻擊網(wǎng)絡(luò)持有太多的共同點(diǎn)和相似點(diǎn),現(xiàn)在還沒有

2、一個(gè)有效的方法可以分辨它們。
　　 本文從三個(gè)不同的層面觀察和分析了良性速變網(wǎng)絡(luò)和速變攻擊網(wǎng)絡(luò),以找出有效的識別方案。論文主要做了以下的創(chuàng)新工作:
　　 (1)從DNS記錄的層面,本文對現(xiàn)實(shí)中的速變網(wǎng)絡(luò)進(jìn)行了觀察。本文首先詳細(xì)介紹了現(xiàn)有的度量方法,然后使用部分?jǐn)?shù)值化的度量方法,對現(xiàn)實(shí)中的良性速變網(wǎng)絡(luò)和速變攻擊網(wǎng)絡(luò)進(jìn)行了度量和觀察,最后基于觀察結(jié)果給出了速變攻擊網(wǎng)絡(luò)的一些新趨勢和新變化。
　　 (2)從網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)

3、質(zhì)量的層面,本文提出了一種新的識別速變攻擊網(wǎng)絡(luò)的方法。同以往的度量方法都關(guān)注于DNS記錄不同,該方法是基于網(wǎng)絡(luò)中節(jié)點(diǎn)的服務(wù)質(zhì)量來判斷是否為速變攻擊網(wǎng)絡(luò)。該方法首先會對所有的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行24小時(shí)的連續(xù)監(jiān)控,然后根據(jù)它們的服務(wù)狀態(tài)計(jì)算本文提出的兩個(gè)度量值,最后通過度量值結(jié)果判斷是否為速變攻擊網(wǎng)絡(luò)。
　　 (3)從服務(wù)內(nèi)容的層面,本文總結(jié)了速變攻擊網(wǎng)絡(luò)主頁更新頻率的規(guī)律,并提出了一種基于字節(jié)頻率的惡意代碼變種檢測算法。速變攻擊網(wǎng)絡(luò)通常