基于Command and Control通信信道流量属性聚类的僵尸网络检测方法

作     者：苏欣 张大方 罗章琪 曾彬 黎文伟 

作者机构：湖南大学信息科学与工程学院长沙410082 中国移动湖南分公司长沙410015 

出 版 物：《电子与信息学报》 (Journal of Electronics & Information Technology)

年 卷 期：2012年第34卷第8期

页      面：1993-1999页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金项目(61173167 61173168 61070194) 国家发改委信息安全专项资助课题 

主　　题：网络检测 聚类 僵尸网络检测 命令与控制信道 流量属性 

摘      要：僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和C&C协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对C&C信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。