文档介绍:硕士学位论文
P2P 僵尸网络检测技术研究
RESEARCH ON DETECTION OF PEER-TO-PEER
张帅
哈尔滨工业大学
2012 年 7 月
国内图书分类号: 学校代码:10213
国际图书分类号: 密级:公开
工程硕士学位论文
P2P 僵尸网络检测技术研究
硕士研究生: 张帅
导师: 李斌教授
申请学位: 工程硕士
学科: 计算机技术
所在单位: 计算机科学与技术学院
答辩日期: 2012 年 7 月
授予学位单位: 哈尔滨工业大学
Classified Index:
:
Dissertation for the Master Degree in Engineering
RESEARCH ON DETECTION OF PEER-TO-PEER
Candidate: Zhang Shuai
Supervisor: Prof. Li Bin
Academic Degree Applied for: Master of Engineering
Specialty: Computer Technology
Affiliation: School puter Science and
Technology
Date of Defence: July, 2012
Degree-Conferring-Institution: Harbin Institute of Technology
哈尔滨工业大学工程硕士学位论文
摘要
僵尸网络是现在网络犯罪中的一项主要技术手段。利用僵尸网络,操控者
可以获取感染主机的相关敏感信息,也可以通过控制大量的主机,进行一些网
络恶意行为。新技术的使用使得僵尸网络更具攻击性和隐蔽性。特别是基于 P2P
通信协议的僵尸网络的出现,规避了传统集中式僵尸网络单点失效的缺陷,加
大了检测的难度。
通过对 P2P 僵尸网络特性分析,本文集中于两点进行研究:P2P 僵尸网络
使用 P2P 协议进行通信;P2P 僵尸网络在进行恶意网络行为时,必然会表现出
不同于正常网络通信流的特征。
通过分析 P2P 协议在网络中所呈现的特点,采用多重过滤的方法识别网络
中的 P2P 节点,通过聚类得到不同的 P2P 群,作为 P2P 僵尸网络的初步对象。
相较于神经网络和自学习等检测 P2P 流量的方法,多重过滤法不存在训练样本
的局限性,对 P2P 僵尸网络流的通信流提取更加全面。所以本文中使用端口检
测、应用层签名识别检测和 P2P 流量特征检测三种方法相结合进行 P2P 流量的
检测。
僵尸网络存在多种恶意行为,本文中对三种主要的恶意行为进行检测,即
端口扫描、DDoS 攻击、发送垃圾邮件。对于端口扫描和 DDoS 攻击,在提取
出特征序列以后,使用非参数自适应 CUSUM 算法进行波动的检测。对垃圾邮
件,使用 SMTP 上下行流量比、SMTP 闲置时间、主机对外连接数三种特性来
检测。最终整合P2P 检测和恶意流量检测的结果,判断是否存在P2P 僵尸网络。
在实验中,对两种数据流进行检测,一为 LBNL/ICSI Enterprise Tracing
Project 所提供的网络数据,一为在实验室中布置 Bot 节点所获得的网络数据,
以 LBNL-Trace 作为背景流量。实验结果证明,检测方法能够有效的检测出 P2P
僵尸网络。
关键词:P2P 僵尸网络;P2P 流量过滤;端口扫描检测;DDoS 攻击检测;垃圾
邮件检测
- I -
哈尔滨工业大学工程硕士学位论文
Abstract
The is now a major threat work security. Once the host infected,
controllers can control the PC from and malicious behaviors could be done
to the and PC. Lots of technique has been used to make the much
more difficulty to be detected, especially the