僵尸網(wǎng)絡(luò)檢測與傳播抑制.pdf

1、僵尸網(wǎng)絡(luò)是當(dāng)前面臨的一個(gè)最嚴(yán)重的互聯(lián)網(wǎng)安全威脅，近年來，僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、命令控制協(xié)議與傳播途徑都呈現(xiàn)多樣化發(fā)展的趨勢，給僵尸網(wǎng)絡(luò)檢測與傳播抑制帶來重大挑戰(zhàn)。為此，本文提出從網(wǎng)絡(luò)流量分析的角度來檢測僵尸網(wǎng)絡(luò)并抑制其傳播，主要包括以下三個(gè)不同層次：
　　 首先，從應(yīng)用層HTTP會話統(tǒng)計(jì)特征檢測網(wǎng)頁掛馬攻擊。網(wǎng)頁掛馬攻擊是目前僵尸網(wǎng)絡(luò)傳播的主要手段?，F(xiàn)有對網(wǎng)頁掛馬攻擊的檢測手段主要有網(wǎng)頁代碼特征匹配與高交互虛擬蜜罐技術(shù)，前者難以對

2、抗代碼加密與混淆變形技術(shù)，后者資源消耗較大難以在客戶端直接部署。本文提出一種新型的基于HTTP會話統(tǒng)計(jì)特征的網(wǎng)頁掛馬攻擊實(shí)時(shí)檢測方案。文中分析了用戶訪問正常網(wǎng)頁與掛馬網(wǎng)頁時(shí)，HTTP會話過程所表現(xiàn)的統(tǒng)計(jì)特征，包括請求-響應(yīng)的頭部特征與引用的域名特征等?；跁捥卣骷安捎糜斜O(jiān)督的機(jī)器學(xué)習(xí)技術(shù)，建立了能有效識別掛馬網(wǎng)頁的分類模型。
　　 其次，從網(wǎng)絡(luò)流量特征來分析僵尸網(wǎng)絡(luò)。大規(guī)模網(wǎng)絡(luò)范圍內(nèi)針對所有應(yīng)用類型的流量進(jìn)行僵尸網(wǎng)絡(luò)檢測會帶來

3、繁重的系統(tǒng)負(fù)擔(dān)。為了有效減小檢測僵尸網(wǎng)絡(luò)所需搜索的流量空間、提高檢測效率，本文提出一種無關(guān)應(yīng)用端口與載荷、基于流量特征與有監(jiān)督支持向量機(jī)學(xué)習(xí)的流量分類方法。實(shí)驗(yàn)證明，此流量分類方法具有較高的分類準(zhǔn)確率與穩(wěn)定性，能有效對幾種常見的僵尸網(wǎng)絡(luò)命令與控制協(xié)議類型的流量進(jìn)行有效分類，較大程度上縮減僵尸網(wǎng)絡(luò)流量搜索空間。
　　 最后，從僵尸主機(jī)群體行為特征來分析僵尸網(wǎng)絡(luò)。中心式結(jié)構(gòu)僵尸網(wǎng)絡(luò)因控制簡單、高效且規(guī)模大而被廣泛利用。當(dāng)前大多數(shù)研究

4、只是針對某種特定協(xié)議的僵尸網(wǎng)絡(luò)提出檢測方法，往往缺乏通用性與靈活性。本文提出一種通用的、基于僵尸主機(jī)群體行為的中心式結(jié)構(gòu)僵尸網(wǎng)絡(luò)檢測方法。此檢測方法主要基于僵尸網(wǎng)絡(luò)的本質(zhì)特征：屬于同一僵尸網(wǎng)絡(luò)的僵尸主機(jī)的網(wǎng)絡(luò)行為具有高度的空-時(shí)關(guān)聯(lián)性，即其網(wǎng)絡(luò)行為的相似性與同步性。通過計(jì)算評價(jià)大規(guī)模網(wǎng)絡(luò)范圍內(nèi)監(jiān)控到的匯聚流的流量載荷群體相似性以及流量序列群體相關(guān)性，檢測出可疑的僵尸網(wǎng)絡(luò)命令與控制流量。基于實(shí)際網(wǎng)絡(luò)流的實(shí)驗(yàn)表明，本方法能夠有效檢測當(dāng)前流行