僵尸网络在线检测技术研究.pdf

僵尸网络在线检测技术研究于晓聪董晓梅于戈秦玉海网络流量群组划分,琟恳桓鯺都是一个卣飨,..·,,网络流量分类的目标是定义一个映僵尸网络是被僵尸控制者预先编写的中间件程序感染,通过命令与控制信道接收命令并相互通信,协同向目标主机发起攻击的主机群。其中,峁怪饕7治<惺接敕植际搅街帧网络安全专家已经开始关注并研究僵尸网络的检测技术,目前已经提出了一些有效的僵尸网络检测方法’,但由于集中式与分布式僵尸网络采用不同的控制协议与结构,这些方法只针对特定协议类型的僵尸网络进行检测∞“ㄓ玫募觳测手段一ü治隼吠缡菁觳饨┦机。由于网络环境不断变化,一些历史数据很容性需求,因此,本文提出了一种通用的僵尸网络在线检测技术,针对不同类型的群组,提出具有数据自适应的动态聚类技术,快速从海量网络数据中检测出可疑僵尸主机。该方法均适用于对集中式和分布式僵尸网络的检测。网络流鼍中包含各种类型的应用层协议的数或者榻写洹1疚睦迷谙叻掷技术分离出满足僵尸协议特征的网络流量群组。通过这种策略,可以将数据空间大大约减,从而为进一步快速准确地检测僵尸网络打下基础。另外,可以根据分离出的不同协议类型的群组,采用不同的标准检测基于相应协议的僵尸网络。基于网络流量的分类都是针对而言的。据包组成的集合。给定一个的集合量订,住琗抽琧代表一个类别集合。,射厂:狢,从而将每一个划分到特定的类别中。本文借鉴文献岢龅脑隽渴降南咝耘别方法针对僵尸网络在线检测的需求对其进行改进,重新修正了决策规则。假设炯蟈#,⋯,其中8鍪粲谔穑嗟难炯俏W蛹疿,,8属于甜。类的样本记为子集,:蚐。分别为类内离散度矩阵和类间离散度矩阵,硌揪值。传统的线性判别分析目的是寻找.,的一个线性变换—,⋯,,使准则函数取值最大化。通过构造特征空间判别模型#琒。,琋纯苫竦米钣诺南咝员浠幌量仞。在将多维样本空间映射到一维样本空间第卷第武汉大学学报·信息科学版协议的僵尸网络,难以满足实时需要。且不能通用。针对这种情况,提出了一种独立于控制协议与结构的僵尸网络在线检测技术,能够从网络流量数据中快速检测出可疑僵尸主机。模拟实验结果表明,该技术能够高效方法较少。另外,现有的方法大多数采用离线检易过时,导致检测结果不准确或不能够满足实时据,而当前的僵尸流量只是利用其中的这里指一次蛘遀连接中所有数,,同时年文章编号:东北大学信息科学与工程学院。沈阳市和平区文化路三号巷号,中国刑事警察学院计算机犯罪侦查系。沈阳市皇姑区塔湾街号,文献标志码:摘要:僵尸网络为平台的攻击发展迅速,当前大多数的检测方法是通过分析历史网络流量信息来发现特定地实现僵尸网络在线检测。关键词:僵尸网络;在线检测;增量式分类;动态聚类中图法分类号:收稿日期:——。项目来源:国家自然科学基金资助项目;国家苹酉钅孔手钅.
擦薡:一匪》鲜脾。一艿狪』纭蓿骸巍丙己“基于动态聚类技术的僵尸主机检测流表示为,,⋯,巍ぁ,其中,后,,改进的线性判别方法首先采用增量的方式训练数据集,然后对决策规则进行修正。假设已有的特征空间个样本,其对应的特征空间判别模型为虬,埃Γ琇隽渴较咝耘斜鸾ɡ胣和以一种增量计算的方式构造最新的特征空间判别模型:①一:,海危琋采用增量的方式可以避免利用全部数据莺新训练分类器,从而大大降低了计算开销。在线检测中,分类的目的只是能