【摘要】：近年來,隨著網絡的普及,網絡安全也面臨著越來越大的威脅,各種木馬病毒層出不窮。其中,僵尸網絡在分布式拒絕服務攻擊(DDoS)、垃圾郵件(Spam)、網絡釣魚(phishing)、蠕蟲(1worm)傳播、竊取敏感信息等方面有著特有的優(yōu)勢,成為網絡安全的重大威脅之一。據(jù)國家互聯(lián)網應急中心統(tǒng)計,在中國大陸有近74萬臺主機被僵尸網絡控制著。 早期的僵尸網絡都是使用IRC協(xié)議來構建其控制與命令信道,但是隨著研究人員對基于IRC協(xié)議的Bot認識不斷深入,基于IRC協(xié)議的Bot越來越難以生存,于是黑客們開始用更加復雜的P2P協(xié)議與HTTP協(xié)議構建命令與控制信道。 基于新協(xié)議的Bot大量出現(xiàn),研究新的檢測技術來發(fā)現(xiàn)Bot的問題迫在眉睫。在檢測IRC Bot中使用的終端檢測、網絡流量分析檢測等具有良好的檢測性能。本文首先學習了僵尸網絡方面的相關知識,對僵尸網絡有了比較全面的了解,分析了HTTP Bot的行為；然后研究了DCA算法的原理及應用；最后研究了APIHOOK技術。在對以上三種知識有了比較全面的了解后,總結前人研究Bot檢測的方法,給出了一種檢測HTTP Bot的方法。方法描述如下：用API HOOK工具截獲系統(tǒng)中特定函數(shù)的調用,這些函數(shù)通常是Bot為完成其功能所必須要調用的函數(shù)。在獲得了函數(shù)的調用序列后,將其映射為DCA算法的輸入信號,將產生函數(shù)調用的進程PID號映射為抗原,經過DCA算法處理后得到輸出數(shù)據(jù),根據(jù)輸出數(shù)據(jù)計算M(CAV值,MCAV表示抗原的異常指標,將MCAV值與異常閥值進行比較,判斷抗原是否異常。在異常指標方面,引入了新的異常指標MAC,并與MCAV進行比較。 通過實驗將DCA應用于HTTP Bot的檢測,實驗結果表明能夠在感染主機上發(fā)現(xiàn)其異常進程,同時還表明使用異常指標MAC比使用MCAV具有更低的誤報率。
【學位授予單位】：安徽理工大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前5條

1 陳岳兵;馮超;張權;唐朝京;;面向入侵檢測的集成人工免疫系統(tǒng)[J];通信學報;2012年02期

2 諸葛建偉;唐勇;韓心慧;段海新;;蜜罐技術研究與應用進展[J];軟件學報;2013年04期

3 陳岳兵;馮超;張權;唐朝京;;基于DCA的數(shù)據(jù)融合方法研究[J];信號處理;2011年01期

4 于曉聰;董曉梅;于戈;;基于主機行為異常的P2P僵尸網絡在線檢測方法[J];小型微型計算機系統(tǒng);2012年01期

5 方賢進;宋丹劫;;樹突細胞算法及其應用于Nmap端口掃描研究(英文)[J];中國通信;2012年03期

，

本文編號：2526690