發(fā)布時間：2020-01-24 09:10

【摘要】：僵尸網(wǎng)絡是融合了當前計算機病毒、網(wǎng)絡蠕蟲和特洛伊木馬等惡意軟件技術的、能夠可控的發(fā)起各種網(wǎng)絡攻擊活動的平臺。在與安全研究者的不斷對抗中,僵尸網(wǎng)絡使用各種網(wǎng)絡協(xié)議改進命令與控制機制,采用密碼學技術實現(xiàn)通信加密,利用變形和ROOTKIT技術實現(xiàn)自我保護,使得基于程序特征碼、基于網(wǎng)絡協(xié)議的以及基于攻擊行為的傳統(tǒng)檢測方法遇到越來越大的困難。本文研究了僵尸網(wǎng)絡發(fā)展歷史、功能原理、生命周期以及命令與控制機制,根據(jù)介入時間點的不同的分別研究了現(xiàn)有的僵尸網(wǎng)絡檢測技術,研究分析了人工神經(jīng)網(wǎng)絡原理和應用,分析了僵尸網(wǎng)絡的流量特征并據(jù)此提出了基于BP神經(jīng)網(wǎng)絡的僵尸網(wǎng)絡檢測技術。這種檢測技術主要包括數(shù)據(jù)采集和數(shù)據(jù)分析兩步,首先通過抓取網(wǎng)絡上的流量數(shù)據(jù),從中提取出數(shù)據(jù)流和流量特征信息;然后利用BP神經(jīng)網(wǎng)絡學習流量特征分類的規(guī)則得到網(wǎng)絡流量特征分類器,從而區(qū)分出僵尸網(wǎng)絡流量和正常網(wǎng)絡流量,進而檢測出僵尸主機和僵尸網(wǎng)絡的存在。這種方法僅依賴于網(wǎng)絡數(shù)據(jù)包頭部信息,可以檢測加密的僵尸網(wǎng)絡并且不侵犯用戶隱私;神經(jīng)網(wǎng)絡分類針對僵尸網(wǎng)絡命令控制流量,可以檢測到靜默狀態(tài)下的僵尸主機而不依賴于其攻擊行為,并且訓練完成的神經(jīng)網(wǎng)絡可以快速檢測新到來的流量。根據(jù)上述的檢測技術方案,本文描述了基于BP神經(jīng)網(wǎng)絡的僵尸網(wǎng)絡檢測原型系統(tǒng)的詳細設計方案,給出了系統(tǒng)的模塊構成和部署結構,具體闡述了網(wǎng)絡流量特征抓取以及BP神經(jīng)網(wǎng)絡的設計實現(xiàn)方法,并給出了方案中所涉及重要數(shù)據(jù)結構和關鍵過程的流程圖和偽代碼實現(xiàn)。為了驗證上述方案,本文針對Zeus 1.2.4.2僵尸網(wǎng)絡搭建了網(wǎng)絡環(huán)境并采集網(wǎng)絡流量數(shù)據(jù),給出了抓取到了數(shù)據(jù)包、數(shù)據(jù)流和流量特征數(shù)據(jù)結果;利用采集到的流量特征樣本訓練神經(jīng)網(wǎng)絡并測試分類效果,取得了良好的檢測率和誤報率數(shù)據(jù),并針對其Zeus 2.0.8.9和聊天應用進行了測試,從而驗證了基于BP神經(jīng)網(wǎng)絡的檢測技術有效性及其原型系統(tǒng)的可行性。
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08;TP183

【參考文獻】

相關期刊論文 前2條

1 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡檢測技術研究進展[J];計算機研究與發(fā)展;2010年12期

2 諸葛建偉;韓心慧;周勇林;葉志遠;鄒維;;僵尸網(wǎng)絡研究[J];軟件學報;2008年03期

相關碩士學位論文 前1條

1 吳海飛;基于異常檢測方法檢測僵尸網(wǎng)絡的研究[D];長春工業(yè)大學;2012年

，

本文編號：2572618