基于网络流量相关性和数据融合的P2P botnet检测方法
僵尸网络(botnet)是一种恶意主机群,攻击者(botmaster)可以很方便地通过二次注入改变bot节点的负载,从而非常容易地发动DDoS、垃圾邮件攻击等不同类型的攻击.提出了一种基于网络流量相关性和数据融合理论的实时检测P2P botnet方法SED,主要关注P2P botnet的C&C(Command and Control)机制产生的本质流量—UDP流,它不会受P2P botnet的网络结构、协议和攻击类型的影响.首先分别用自相似性和信息熵来刻画UDP流的相关性特征,利用CUSUM检测上述特征的变化以得到检测结果,最后利用Dempster-Shafer证据理论融合上述特征的检测结果.同时,采用TCP流量特征在一定程度上消除P2P应用程序对P2P botnet检测的影响.实验表明,本文提出的方法可有效检测新型P2P botnet.
僵尸网络 数据融合 检测方法
国内会议
湖北恩施
中文
1-7
2014-09-13(万方平台首次上网日期,不代表论文的发表时间)