HTTP僵尸网络检测技术研究与实现
僵尸网络作为一种新型的攻击方式,为攻击者提供了隐蔽、灵活、高效的控制机制,能够控制大量主机进行分布式拒绝服务攻击、发送垃圾邮件,点击欺诈等活动。这种攻击方式的流行对因特网安全构成严重威胁。目前僵尸网络的检测方法可以分为两类:一类是从网络通信内容的角度进行检测;另一类则是从网络流特征的角度进行检测。长期以来,僵尸网络主要是通过IRC聊天协议进行构建的,所以僵尸网络研究也一直是针对IRC僵尸网络进行的,不管是基于通信内容还是基于网络流,都有许多有效的检测方法。但是这些检测手段是在IRC通信协议的基础上进行研究的,只能对基于IRC协议构建的僵尸网络进行检测,而经过10余年的发展,僵尸网络的通信方式从传统的IRC协议开始向HTTP协议转变,有了新的协议特征,同时也变得更加隐蔽。本文将机器学习的方法引入到对HTTP僵尸网络控制信道的检测中,从训练样本中学习得到决策树,从网络通信内容的角度对恶意代码的HTTP通信中可能存在的僵尸网络控制信道进行检测。实验结果表明,本文提出方法具有较低的漏报率和误报率,能够有效地从恶意代码通信中找出HTTP僵尸网络通信。
网络安全 僵尸网络 HTTP协议
钟金辉 诸葛建伟 郭晋鹏 叶志远
北京大学 计算机科学技术研究所 北京 100871 网络与软件安全保障教育部重点实验室(北京大学))
国内会议
西安
中文
455-463
2008-09-25(万方平台首次上网日期,不代表论文的发表时间)