基于DNS数据流的僵尸网络检测技术研究

僵尸网络作为一个攻击平台,可以发动分布式拒绝服务攻击、垃圾邮件、网络仿冒等各种攻击行为,已经成为网络安全最大的威胁之一,是网络安全研究者目前研究的最热点问题。 本文首先介绍了僵尸网络的威胁、研究现状等,然后对僵尸网络的基本概念、僵尸网络的生存周期、检测方法的分类进行了简单的介绍,重点阐述了僵尸网络检测方法中的基于DNS数据流的僵尸网络检测方法。 本文通过对僵尸网络DNS查询特征的长期分析,提出了基于加权支持向量机的Fast-flux僵尸网络检测方法,通过与Thorsten Holz的线性划分方法对比,实验表明,加权支持向量机方法能明显减少误报率。在此基础上,提出了基于含有IP域名和DNS TXT查询的僵尸网络检测的增强方法。通过僵尸网络的归并算法,可以发现看起来不相干的两个僵尸网络域名或IP地址其实是属于同一个僵尸网络。利用基于含有IP地址域名的僵尸网络检测方法,可以检测出采用不同协议的僵尸网络。针对新出现的采用DNS TXT查询进行通信的僵尸网络,提出了一种基于DNS TXT查询的僵尸网络检测方法。实验表明,这些僵尸网络增强检测方法,对于僵尸网络的检测,都有很好的促进效果。