基于网络流量的僵尸网络动态检测平台的研究

作     者：成淑萍 

作者单位：四川师范大学 

学位级别：硕士

导师姓名：谭良

授予年度：2013年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：僵尸网络 网络流量 动态 检测平台 特征 

摘      要：僵尸网络由控制者利用主机存在的漏洞、社会工程学等方式建立秘密的可以控制的主机群组成，并借助该僵尸网络进行各种规模的恶意活动，对网络环境的安全构成了严重的威胁。但随着计算机通信技术和网络技术的发展，僵尸网络各受控主机之间的健壮性也得到了增强，命令控制的通信系统更加的强大和秘密，使僵尸网络的检测工作难度更大，已经受到更密切地关注。 首先，介绍了僵尸网络的整个发展历程，并对每类僵尸网络的特征进行了分析。我们将研究中的僵尸网络定义为由一组在工作中会产生相类似的通信流量和行为响应流量的计算机组成的网络。对目前国内外的僵尸网络检测机制和方法的研究进行了总结，分析各类检测方法的优缺点。 其次，为了更好的研究僵尸网络的检测，我们对僵尸程序的传播模型进行了研究，在已有的僵尸网络传播模型中考虑了互联网所具备的两个常态影响因素，构建了新的僵尸网络传播模型。通过仿真实验结果，与其他的传播模型进行了对比，为僵尸程序的传播感染过程提供了预测信息。 然后，针对目前已有的僵尸网络检测系统所存在的误检测率高、效率低、适用范围窄小以及检测端孤立等问题，提出了一个基于网络流量的僵尸网络动态检测模型，改进传统的检测框架，并为其设计了检测平台的网络部署结构图，使各个检测点能够进行通信，实现综合检测，从而提高检测结果的准确率。 最后，为了检验研究工作有效性，对检测平台进行原型系统的实现，并搭建了僵尸网络的实验环境进行真实的网络攻击，捕获网络中的网络流量，用原型系统来进行数据的分析，以完成检测平台的测试工作，并对实验结果进行了分析，验证了其有效性。