基于流相似性的两阶段P2P僵尸网络检测方法

被引：12

作者：

牛伟纳 ^{[1
,2
]}

张小松 ^{[1
,2
]}

孙恩博 ^{[2
]}

杨国武 ^{[2
]}

赵凌园 ^{[2
]}

机构：

[1] 电子科技大学网络空间安全研究中心

[2] 电子科技大学计算机科学与工程学院

来源：

电子科技大学学报 | 2017年 / 46卷 / 06期

关键词：

僵尸网络检测; 会话特征; 流相似性; P2P流量识别;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

摘要：

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。

引用

页码：902 / 906+948 +948

页数：6

共 3 条

[1]

DFBotKiller: Domain-flux botnet detection based on the history of group activities and failures in DNS traffic.[J].Reza Sharifnya;Mahdi Abadi.Digital Investigation.2015,

[2]

Botnet detection based on traffic behavior analysis and flow intervals.[J].David Zhao;Issa Traore;Bassam Sayed;Wei Lu;Sherif Saad;Ali Ghorbani;Dan Garant.Computers & Security.2013,

[3]

基于组特征过滤器的僵尸主机检测方法的研究 [J].

王劲松 ;

刘帆 ;

张健 .

通信学报, 2010, (02) :29-35

← 1 →