基于网络流量的僵尸网络动态检测模型

doi:10.3969/j.issn.1000-3428.2014.11.021

计算机工程

基于网络流量的僵尸网络动态检测模型

成淑萍¹,谭　良^2,3

(1. 四川文理学院计算机学院,四川达州635001; 2. 四川师范大学计算机学院,成都610068;3. 中国科学院计算技术研究所,北京100190)

收稿日期:2013-09-12 出版日期:2014-11-15 发布日期:2014-11-13
作者简介:成淑萍(1988 - ),女,助教、硕士,主研方向:网络安全;谭　良,教授、博士。

Dynamic Detection Model in Botnet Based on Network Traffic

CHENG Shuping ¹,TAN Liang^2,3

(1. College of Computer,Sichuan University of Arts and Science,Dazhou 635001,China;2. College of Computer,Sichuan Normal University,Chengdu 610068,China;3. Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100190,China)

Received:2013-09-12 Online:2014-11-15 Published:2014-11-13

摘要/Abstract

摘要： 针对利用先验知识不能检测新型或变异僵尸网络(Botnet)的现状,提出一种基于网络流量的Botnet 动态检测模型。通过聚类分析通信流量并完成关联分析,以鉴定bot 之间的类似通信和恶意行为模式。该模型具有特征库更新和检测模型生成的动态性,并且可以处理来自不同僵尸网络的数据,其检测体系结构与协议和Botnet 的先验知识无关。实验结果验证了该模型的有效性和准确性。

关键词: 网络安全, 僵尸网络, 恶意代码, 网络流量, 动态检测

Abstract: For the status quo that the Botnet detection of a priori knowledge to get the matching and protocol-related are unable to be suitable for new or mutated Botnet detection,this paper proposes a dynamic Botnet detection model based on network traffic. By using clustering,it analyzes traffic and completes the correlation analysis to identify similar between bot communication and malicious behavior patterns. The test architecture has nothing to do with the agreement and Botnet prior knowledge. The model has three dynamic characteristics,such as the characteristics of library updated,detection model generation,and handling the network traffic from the dynamic Botnet. Finally,the effectiveness and the accuracy are verified by the experimental data.

Key words: network security, Botnet, malicious code, network flow, dynamic detection

中图分类号:

TP309

成淑萍,谭良. 基于网络流量的僵尸网络动态检测模型[J]. 计算机工程, doi: 10.3969/j.issn.1000-3428.2014.11.021.

CHENG Shuping,TAN Liang. Dynamic Detection Model in Botnet Based on Network Traffic[J]. Computer Engineering, doi: 10.3969/j.issn.1000-3428.2014.11.021.

https://www.ecice06.com/CN/Y2014/V40/I11/106

参考文献

参考文献 [ 1 ]　Bacher P,Holz T,Kotter M,et al. Know Your Enemy: Tracking Botnets[J / OL]. [2013-09-15]. http:/ / www. honeynet. org / papers / bots. [ 2 ]　Goebel J. Rishi:Identify Bot Contaminated Hosts by IRC Nickname Evaluation[C] / / Proceedings of HotBots’07. Berkeley,USA:USENIX,2007:47-56. [ 3 ]　Gu Guofei,Porras P,Yegneswaran V,et al. Bothunter: Detecting Malware Infection Through IDS-driven Dialog Correlation[C] / / Proceedings of Security’07. [S. l. ]: USENIX,2007:167-182. [ 4 ]　Gu Guofei,Zhang Junjie,Lee W. BotSniffer:Detecting Botnet Command and Control Channels in Network Traffic[ C ] / / Proceedings of NDSS ’ 08. San Diego, USA:[s. n. ],2008:234-251. [ 5 ]　Gu Guofei, Perdisci R, Zhang Junjie, et al. BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure Independent Botnet Detection [C]/ / Proceedings of USENIX Security’08. [S. l. ]:USENIX,2008:139-154. [ 6 ]　刘建波. 基于流量分析的P2P 僵尸网络检测[J]. 计算机与数字工程,2011,39(3):90-91. [ 7 ]　刘　丹,李毅超,胡　跃. 多阶段过滤的P2P 僵尸网络检测方法[J]. 计算机应用,2010,30(12):3355-3356. [ 8 ]　王海龙,胡　宁. Bot_CODA:僵尸网络协同检测体系结构[J]. 通信学报,2009,30(10A):15-22. [ 9 ]　李润恒,王明华. 基于通信特征提取和IP 聚集的僵尸网络相似性度量模型[J]. 计算机学报,2010,33(1): 45-54. [10]　Collins M,Shimeall T,Faber S,et al. Using Uncleanliness to Predict Future Botnet Addresses [C]/ / Proceedings of ACM/ USENIX Internet Measurement Conference. [S. l. ]: ACM Press,2007:91-102. [11]　Ramachandran A, Feamster N. Understanding the Network-level Behavior of Spammers[C] / / Proceedings of ACM SIGCOMM’ 06. [S. l. ]:ACM Press,2006: 291-302. [12]　Zhuge J,Holz T,Han Xinhui,et al. Characterizing the IRC-based Botnet Phenomenon[R]. Peking University & University of Mannheim, Technical Report: TR-2007- 010,2007. [13]　冯宗彬,时　剑,黄国庆,等. 一种新的P2P 僵尸网络综合防御系统框架[J]. 军事通信技术,2010,31(l): 66-71. [14]　谢文彪. 基于Agellt 协作机制的分布式入侵检测组织结构研究[D]. 长沙:中南大学,2006. 编辑　金胡考

[1]	石琼, 段辉, 师智斌. 基于深度强化学习的可信任务卸载方案[J]. 计算机工程, 2024, 50(8): 142-152.
[2]	魏德宾, 杨力, 潘成胜, 沈婷. 基于流量自相似性的网络队列管理算法[J]. 计算机工程, 2024, 50(5): 306-312.
[3]	郭雷, 荆山, 魏亮, 赵川. 基于软件定义网络的Crossfire攻击防御方法[J]. 计算机工程, 2024, 50(10): 216-227.
[4]	周莎, 申国伟, 郭春. 基于安全知识图谱与逆向特征的弱点信息补全[J]. 计算机工程, 2024, 50(1): 145-155.
[5]	余长宏, 陆雅, 王海鑫, 高明. 基于滑动时间窗的物联网设备流量分类算法[J]. 计算机工程, 2023, 49(7): 259-268.
[6]	邓昕, 刘朝晖, 欧阳燕, 陈建华. 基于CNN CBAM-BiGRU Attention的加密恶意流量识别[J]. 计算机工程, 2023, 49(11): 178-186.
[7]	李晨曦, 任建国. 基于点对群网络反馈机制的恶意代码传播模型[J]. 计算机工程, 2023, 49(1): 163-172.
[8]	董卫宇, 李海涛, 王瑞敏, 任化娟, 孙雪凯. 基于堆叠卷积注意力的网络流量异常检测模型[J]. 计算机工程, 2022, 48(9): 12-19.
[9]	葛昕, 邹福泰, 郭万达, 谭越, 李林森. 社交僵尸网络发展综述[J]. 计算机工程, 2022, 48(8): 12-24.
[10]	李贝贝, 彭力, 戴菲菲. 结合马氏距离与自编码器的网络流量异常检测方法[J]. 计算机工程, 2022, 48(4): 133-142.
[11]	崔景洋, 陈振国, 田立勤, 张光华. 基于机器学习的用户与实体行为分析技术综述[J]. 计算机工程, 2022, 48(2): 10-24.
[12]	孙鹏宇, 张恒巍, 谭晶磊, 李晨蔚, 马军强, 王晋东. 基于时机博弈的网络安全防御决策方法[J]. 计算机工程, 2022, 48(11): 145-151.
[13]	倪思源, 扈红超, 刘文彦, 梁浩. 基于轮换策略的异构云资源分配算法[J]. 计算机工程, 2021, 47(6): 44-51,67.
[14]	杨艳丽, 宋礼鹏. 融合社交网络威胁的攻击图生成方法[J]. 计算机工程, 2021, 47(5): 104-116.
[15]	陈佳捷, 彭伯庄, 吴佩泽. 基于动态行为和机器学习的恶意代码检测方法[J]. 计算机工程, 2021, 47(3): 166-173.

选择文件类型/文献管理软件名称

选择包含的内容

基于网络流量的僵尸网络动态检测模型

Dynamic Detection Model in Botnet Based on Network Traffic

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

模态框（Modal）标题

选择文件类型/文献管理软件名称

选择包含的内容

基于网络流量的僵尸网络动态检测模型

Dynamic Detection Model in Botnet Based on Network Traffic

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价