基于树突细胞算法数据融合的僵尸程序检测

作     者：邢建强 

作者单位：安徽理工大学 

学位级别：硕士

导师姓名：方贤进

授予年度：2013年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：树突细胞算法 僵尸网络 数据融合 僵尸网络检测技术 

摘      要：近年来,分布式拒绝服务攻击(DDoS)、垃圾邮件(Spam)、网络钓鱼(phishing)、蠕虫(worm)传播、窃取敏感信息等恶意活动使网络安全面临着重大的威胁,导致了巨大的经济损失,而其中大部分恶意活动是由于僵尸网络(Botnet)造成的。 僵尸网络是一种由受控计算机组成的大型计算机网络,从基于简单的IRC协议到复杂多变的P2P结构,再到基于]HTTP及DNS协议的控制模式,僵尸网络逐渐发展成为难以检测的恶意行为。虽然僵尸网络检测技术的研究成果显著,但已存在的检测技术很少是根据系统API函数调用来监控僵尸程序的行为,也没有使用人工免疫系统中的算法对不同的数据源进行数据融合。 基于此,本文的主要研究内容如下： 1.研究了僵尸网络的起源、分类及其危害,以及当前主要的僵尸网络检测手段和最新的检测理论研究成果,分析了各类检测技术的缺点和缺陷。 2.从树突细胞(Dendritic Cells Algorithm, DCA)生物学机理入手,分析了树突细胞在人体免疫系统中的功能,介绍了树突细胞算法和确定性树突细胞算法。 3.研究并分析了僵尸程序在僵尸主机中的行为,利用API Hook工具对僵尸程序行为的系统调用进行截获,完成了所截获数据与DCA输入信号之间的映射关系。通过分析DCA算法中树突细胞的行为特征,对不同来源的数据进行了融合和相互关联,并且在原有树突细胞算法的基础上将异常指标MCAV改变为MAC,实现对对僵尸程序的检测。通过实验表明,将DCA的数据融合能力应用到僵尸程序的检测中是可行且有效,并且采用MAC比MCAV具有更高的检测率,最后证明了检测结果受权值矩阵的影响较大,如何选取一个合适的权值矩阵以及合适的异常阈值是下一步要解决的问题。