僵尸网络异常流量分析与检测

僵尸网络被不法分子用于拒绝服务攻击、发送垃圾邮件、窃取金融信息等,对国家网络安全造成了较大的威胁,如何能够准确地实现僵尸网络异常检测是亟待解决的一个问题。 本文首先基于蜜罐技术获取可疑僵尸IP,并针对每天可疑IP的个数及其产生的异常流量统计规律进行深入的分析,以便能够利用获取的可疑IP集合更好地实现高速网络流量过滤,达到有效缩减高速网络流量的目的；然后,本文通过对指纹特征提取技术的研究提高指纹特征的提取效率,为基于指纹特征的僵尸网络检测算法性能的提高提供基础,更好地完成已知类型僵尸网络的检测；最后,通过将基于指纹特征的僵尸网络检测算法、基于流统计特征的僵尸网络检测算法和基于行为的僵尸网络检测算法相结合,以便能够更加准确的检测未知类型的僵尸网络。主要研究内容和创新点如下： 蜜罐异常流量分析及实验统计模型。本文针对部署在数据中心的蜜罐进行470天的不间断数据监测,提出了蜜罐服务器每天的攻击人数分布统计模型,指出每天的扫描攻击人数在某一个较短的时间段内是服从正态分布的,而服务器所在网络的安全状况随网络环境及网络安全措施的变化而变化,因此不同时间段内,扫描人数的均值和方差会发生变化,因此尽管扫描人数在某一个网络环境相对稳定的时间段内服从正态分布,但其是非平稳的。攻击人数的分布统计模型为评估僵尸网络可疑IP规模提供一定的实验统计基础；同时,本文对攻击者攻击频率、端口攻击频率等统计特征分布进行了详细分析,分析指出,网络安全人员应该对所占比例小、网络安全危害大的可疑IP、可疑端口、可疑网段进行过滤,使有限的网络安全资源重点关注可疑对象,以便能够更好的解决网络安全问题。 僵尸网络指纹特征自动提取技术研究。指纹特征自动提取算法能够有效实现指纹特征地自动提取,为僵尸网络检测提供基础,但僵尸网络流量有其固有的流量特性,已有的指纹特征提取算法并不能完全适用于僵尸网络指纹特征的自动提取。本文提出的指纹特征自动提取算法及系统设计框架是在已有算法的基础上,依据僵尸网络指纹特征分布的特点进行改进,能够自适应地对不同功能的数据流分别进行指纹特征提取。基于改进后的僵尸网络指纹特征提取算法对采集的僵尸网络异常流量数据进行指纹特征提取,实验结果表明,改进后算法获取的有效指纹特征数要远远优于改进前算法提取的有效特征数,从而能够更好地完成僵尸网络的异常检测。 基于行为特征的僵尸网络检测算法研究内容具体如下： 1)僵尸网络传播特性研究。蠕虫传播过程根据不同的网络环境,基于传染病模型进行建模分析。而僵尸网络传播过程与蠕虫有所不同,受感染的僵尸主机根据分工不同实现合作,用于僵尸程序传播的主机只是受感染主机的一部份,即传播受控。基于僵尸网络传播特性,在SIR (Susceptibles, Infectives, Recovered)模型基础上根据僵尸网络传播特点进行建模,分析了僵尸网络感染的主机数与传播比例之间的关系,并引入稳定传播持续时间的定义,用于量化分析网络稳定性。使用该模型从理论上分析了传播比例、预期达到的僵尸网络规模和网络稳定性之间的关系,指出僵尸网络传播的受控特性能够很好的适应僵尸网络规模日趋分散化的发展趋势。 2)高速网络中的扫描行为检测算法研究。为有效地检测存在于高速链路中的扫描攻击,在扫描检测算法TRW (Threshold RandomWalk)的基础上,基于蜜罐对TRW算法进行了改进,并对其性能进行了深入的分析,分析表明改进算法能更加快速确定扫描源。同时着重分析了在选择性系统采样下,Snort、TRW和TRWHP (Threshold Random Walk Based on Honeypot)三种扫描检测算法的异常检测准确率,实验结果表明在同样的采样比率下,改进算法TRWHP与TRW算法相比,误报率相差不大,但漏报率指标则得到显著改善,获得较好的检测性能。同时,针对已有的基于数据报文长度的选择性采样方法,从理论上分析了其对扫描检测算法性能的影响。同时,研究基于报文长度的选择性采样方法和系统采样方法对TRW算法检测性能的影响。实验结果表明,在确保两种采样方法采样前后报文数相等的情况下,基于数据报文长度的选择性采样方法对TRW算法的检测性能影响较小,能够获得更高的扫描成功检测率。通过研究各种采样技术对各种扫描检测算法的影响,为在高速链路中扫描异常流量的检测提供相应的实验基础。 3)基于多级分类器的僵尸网络检测算法研究。僵尸网络各种变种层出不穷,已有的异常检测算法尽管在一定程度上具有检测未知类型僵尸网络的能力,但模型的泛化能力及检测准确性仍有待提高。本文提出的基于多级分类器的僵尸网络异常检测结构,第一级分类器提出一种新的周期性通信检测方法,该方法与频谱分析的方法相比算法复杂度低,能够在线、实时检测僵尸网络；第二级分类器则利用周期通信IP对的统计特征基于决策树算法进行僵尸网络的异常检测。实验结果表明,周期性通信检测算法针对异常的检测准确率高,但存在误判率偏高的问题。而多级分类器构造的模型则在保证异常检测准确率的基础上,有效降低了误判率,达到了6.5%的较好水平。因此,多级分类器构造的模型对未知类型的僵尸网络具有良好的检测性能。 基于流统计特征的僵尸网络检测技术研究。本文将基于指纹特征的检测方法与基于流统计特征的检测算法相结合,提出二级僵尸网络检测结构实现高速网络流量中的IRC僵尸网络异常检测。首先,基于IRC协议的指纹特征完成IRC流量的准确检测。然后利用特征选择算法完成特征集合的筛选,并针对不同特征子集基于LADTree分类算法进行僵尸网络异常检测。实验结果表明基于获取的特征子集1和特征子集2利用LADTree分类算法,分别针对不同时间段的测试数据集进行僵尸网络检测,异常检测准确率和正常检测准确率分别达到83.3%和93%以上,表明本文提出的二级僵尸网络检测结构具有良好的检测效果和泛化能力。