论文部分内容阅读
随着计算机网络技术的迅猛发展和广泛应用,特别是Internet的快速普及,促进了计算机与互联网科技的不断创新与升级。网络设施和资源对于国家、企业和个人的重要性日益增强,在不断改变人们传统的生活、工作与学习方式的同时也带来了新的问题和挑战。人类社会信息化程度日益增加,对网络依赖性日益增强,如何能够保证信息化社会的正常、安全、平稳地运转,其中计算机网络的安全性是最重要的环节之一,必须不断地得以充实、强化和提高。目前,网络互联领域的广度和深度不断扩展,开放特性不断深化,造成越来越多的网络系统面临攻击和入侵的威胁。僵尸网络(Botnet)是随自动智能程序的应用而逐步产生发展的。随着蠕虫技术的不断成熟,僵尸病毒的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的僵尸网络(Botnet)。僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络正步入快速发展时期,对互联网安全已经造成严重威胁。目前对僵尸网络的研究才刚刚兴起,采用的方法也多为传统的逆向工程的方法。即首先对获得病毒样本进行逆向工程分析,通过分析找到其特征码。然后根据特征码来对僵尸病毒进行捕获与处理。但这种应用于传统病毒的检测方法很大的弊病在于,僵尸病毒一般潜伏期很长,在潜伏期间并不表现出传统病毒的特征。这样,传统的分析方法就失去了效用。另外,由于近年来病毒技术的发展,各种各样的病毒加壳技术层出不穷,给利用逆向工程的传统病毒分析方法带来了巨大的困难。在上述背景下以及在对242项目—“P2P僵尸网络检测与反制”研究与实施过程中展开了将数据挖掘与网络入侵检测相集合来检测僵尸网络的探索。首先对入侵检测和数据挖掘技术的背景进行了简要的说明和归类。然后论述了基于数据挖掘的入侵检测技术在Botnet检测中的应用,并提出一种新的基于僵尸网络中僵尸机之间会话通信的检测机制。最后对全文工作进行了总结,分析了本论文存在的问题和相关技术的发展方向。