基于网络流量的僵尸网络动态检测平台的研究

发布时间：2025-07-01 22:11

　　僵尸网络由控制者利用主机存在的漏洞、社会工程学等方式建立秘密的可以控制的主机群组成，并借助该僵尸网络进行各种规模的恶意活动，对网络环境的安全构成了严重的威胁。但随着计算机通信技术和网络技术的发展，僵尸网络各受控主机之间的健壮性也得到了增强，命令控制的通信系统更加的强大和秘密，使僵尸网络的检测工作难度更大，已经受到更密切地关注。 首先，介绍了僵尸网络的整个发展历程，并对每类僵尸网络的特征进行了分析。我们将研究中的僵尸网络定义为由一组在工作中会产生相类似的通信流量和行为响应流量的计算机组成的网络。对目前国内外的僵尸网络检测机制和方法的研究进行了总结，分析各类检测方法的优缺点。 其次，为了更好的研究僵尸网络的检测，我们对僵尸程序的传播模型进行了研究，在已有的僵尸网络传播模型中考虑了互联网所具备的两个常态影响因素，构建了新的僵尸网络传播模型。通过仿真实验结果，与其他的传播模型进行了对比，为僵尸程序的传播感染过程提供了预测信息。 然后，针对目前已有的僵尸网络检测系统所存在的误检测率高、效率低、适用范围窄小以及检测端孤立等问题，提出了一个基于网络流量的僵尸网络动态检测模型，改进传统的检测...

【文章页数】：62 页

【学位级别】：硕士

【部分图文】：

图1.1僵尸网络技术的进化过程

与如今Internet上的很多技术一样，僵尸程序最开始是作为有用的工具为用户提供服务，带来方便的。僵尸程序最初作为虚拟个体开发研究，它加入IRC通信信道，在用户忙于其他事情的时候为其提供服务。图1.1追溯了1988年到200年间僵尸网络技术的进化过程，从第一个善....

图1.3分布式僵尸网络结构示意图

式僵尸网络僵尸网络的主要缺点——命令控制中心，攻击者开僵尸网络通信系统。因此，他们决定找一个模型，依赖一个或者几个选定的服务器，甚至是只能被安受控主机。因此，攻击者利用点对点通信的想法作有弹性的网络。基于P2P的C&C模式不久就使用僵尸网络对网络防御提出了更大的挑战。因....

图1.4混合型僵尸网络结构示意图

Bots——受控主机不能直接从Internet访问僵尸程序,但它们每一个邻节点都只能包含ServentBots。混合型僵尸网络的结构图如图1.4所示，“僵尸牧人”在通过命令控制服务器的相关认证机制后，就能从僵尸网络的任意节点发送控制命令和数据，在任何一个节点收到新的指令....

图1.5规模大于100的僵尸网络规模和数量统计

能造成的损失远大于其他安全威胁。国内的僵尸网络首例攻击案唐山的一名黑客操控了接近六万台个人计算机组成的僵尸网络对网站发起了三个月的分布式拒绝服务攻击（DDos），对其造成了经济损失。2010年2月18日NetWitness(美国互联网软件安全公尸网络Kneber已....

本文编号：4054766