论文部分内容阅读
僵尸网络已经成为当今互联网最大的安全威胁之一,伴随P2P技术而兴起的P2P僵尸网络更是主流的新一代僵尸网络。P2P僵尸网络作为全新的网络攻击手段,具有安全隐匿和灵活可靠的特点,给网络空间安全带来了更加严峻的挑战。与此同时,针对P2P僵尸网络的构建、追踪、测量、检测和防御等各方面的研究也在积极地开展。其中,P2P僵尸网络的检测技术研究已是信息安全界的一大重点与难点。
论文主要研究基于流量分析的P2P僵尸网络检测技术,设计、实现并验证了一个检测系统,主要工作如下:
1.分析了P2P僵尸网络检测技术的国内外研究现状及其存在的问题,在研究P2P僵尸网络分类及生命周期等相关理论与技术的基础上,采用基于协议流量分析的方法来检测P2P僵尸网络。
2.给出了P2P协议的一种复合识别方案,在分析现有的P2P流量识别技术基础上,结合基于内容特征的模式串匹配算法与基于四种流行为特征的筛选算法,并参考端口特性过滤,提出了一种复合识别方案。
3.给出了一种采用支持向量机算法的P2P僵尸网络检测方案,通过分析P2P僵尸网络的流量,提取数据流每秒包数、每秒字节数、每包字节数以及每流包数这四类属性特征,经过训练,构建SVM分类器来分类出P2P僵尸网络流量。
4.设计、实现并验证一个P2P僵尸网络的检测系统——CAID系统,该系统由捕获(Capture)、分析(Analysis)、识别(Identify)和检测(Detect)四个模块组成。实验验证和结果分析表明:本文提出的复合识别方案能够很好地完成P2P协议流量的识别,正确识别率达到了98%以上;提出的基于支持向量机的检测方案也能够很好实现P2P僵尸网络的检测,正确检测率达到了94.81%。
论文主要研究基于流量分析的P2P僵尸网络检测技术,设计、实现并验证了一个检测系统,主要工作如下:
1.分析了P2P僵尸网络检测技术的国内外研究现状及其存在的问题,在研究P2P僵尸网络分类及生命周期等相关理论与技术的基础上,采用基于协议流量分析的方法来检测P2P僵尸网络。
2.给出了P2P协议的一种复合识别方案,在分析现有的P2P流量识别技术基础上,结合基于内容特征的模式串匹配算法与基于四种流行为特征的筛选算法,并参考端口特性过滤,提出了一种复合识别方案。
3.给出了一种采用支持向量机算法的P2P僵尸网络检测方案,通过分析P2P僵尸网络的流量,提取数据流每秒包数、每秒字节数、每包字节数以及每流包数这四类属性特征,经过训练,构建SVM分类器来分类出P2P僵尸网络流量。
4.设计、实现并验证一个P2P僵尸网络的检测系统——CAID系统,该系统由捕获(Capture)、分析(Analysis)、识别(Identify)和检测(Detect)四个模块组成。实验验证和结果分析表明:本文提出的复合识别方案能够很好地完成P2P协议流量的识别,正确识别率达到了98%以上;提出的基于支持向量机的检测方案也能够很好实现P2P僵尸网络的检测,正确检测率达到了94.81%。