面向大规模新型P2P僵尸网络的检测研究

Botnet is a novel attack strategy evolved from traditional malware forms. The protection concept of detecting potential threat for the large scale of malicious software, sometimes referred to as the botnet, would be of strategic significance since such threats are serious and fateful at a lower cost. Botnet, network of malware-infected machines (bots) controlled by botmaster, usually carry out their nefarious tasks, such as sending spam, launching denial of service attacks, and even stealing personal data. The researches of botnet include defense, migration, propagation, detecting botnet, and bot visualization etc. In this process, how to detect botnet and remove them has become a basic problem. Most of detection algorithms are based on packet or flow. Although these algorithms achieve comparatively high accuracy in actual environment, they cause a series of problems such as lower detection rate, sensitive signature, and usually can not recognize unknown bots. On the basis of flow technique and association method between network behaviors and host behaviors which were realized in our study, we propose node-based sampling P2P bot detection method utilizing the cloud computing. The system has the characteristics of easy expansibility and easy deploying, which meets the real-time requirements of large scale botnet.

僵尸网络是一种从传统恶意代码进化而来的新型攻击形式。低成本高效地僵尸网络通过发送垃圾邮件、拒绝服务攻击、窃取敏感信息等恶意活动已对正常的网络服务造成严重威胁。僵尸网络研究涉及防御或抑制、迁移、传播、检测、可视化等各个方面，而其中的僵尸网络检测是对其进行有效防御和反制的基本前提。现有多数检测算法均基于包或流方式。虽然这类算法在很多实际环境中取得了较高的准确率等性能，但导致了诸如检测率低、特征敏感、处理数据量大及无法识别未知僵尸等问题。该课题基于本团队已实现的流技术、主机行为和网络行为相关技术的基础上，提出基于节点的利用云计算的僵尸检测研究。通过协调采样周期和时间窗口；减少需处理的捕获数据量；通过由检测率和准确度得到的综合因子改善评价指标；通过节点的层面提高对僵尸的检测范围。本方案易于扩展（即各部分插件式设计）和部署（即可只需部署在核心交换机或路由器），适合大规模实时性的僵尸检测。

背景：僵尸网络是一种从传统恶意代码进化而来的新型攻击形式。其拒绝服务攻击、窃取敏感信息等恶意活动已对正常的网络服务造成严重威胁。现有多数检测算法均基于包或流方式。虽然这类算法在很多实际环境中取得了较高的准确率等性能，但导致了诸如检测率低、特征敏感、处理数据量大及无法识别未知僵尸等问题，本项目针对这些挑战，展开了如下的研究。.内容：围绕僵尸网络检测，拓展研究网络数据捕获和特征选择技术。并在这些技术的支持下，对适应大数据的分类检测算法和检测未知攻击行为的聚类算法进行研究。同时，对数据流环境下的异常检测算法和大数据环境下的隐私保护算法也进行了相关研究。本项目内容涉及建模、算法设计、理论分析、实验对比等研究，并取得如下主要成果：.1）在僵尸网络数据捕获和基于网络行为的检测方面，实现了对僵尸网络的主机行为和网络行为捕获和分析，对特征进行了形式化处理和入库，为后续研究提供数据。同时，针对获取的僵尸网络行为特征，结合数据挖掘工具和相关人工智能算法，提出了基于对话流特征的僵尸检测策略和基于网络细胞的僵尸检测策略。.2）在特征选择方面，通过更全面的选择最优个体并进行克隆复制来对入侵行为进行检测，提出了改进的AIS克隆选择算法。通过结合相关性算法与冗余度算法来进行最优的特征子集的选择，提出了改进的混合型特征选择算法。.3）在僵尸网络的分类检测算法方面，针对数据流下内存开销和单次扫描的问题，结合传统的Hoeffding树算法，提出了Hoeffding-ID分类算法。通过基于互信息的改进得到了新的单位度量－集合互信息。集合互信息能全面地衡量特征集合对于分类结果的影响，并且提供标准的单位度量，同时引入Hoeffding不等式作为筛选准则，提出了特征选择算法HSF。.4）在基于聚类算法的未知攻击行为检测方面，针对传统的K-means算法、SOM算法存在的初始聚类中心敏感性等问题，提出了改进的K-means算法和SOM算法，实现了更好的聚类效果和检测率。.5）在面向数据流的异常检测方面，提出了一种改进的数据流聚类算法，并根据改进的算法设计了异常检测模型，能够根据数据流的变化自动调整，有效的检测数据流中的异常行为。同时，在大数据下的隐私保护方面，提出了一种基于聚类算法的改进大数据安全匿名模型，该模型集成了K-匿名和L-多样性两种算法，能够解决不均衡的敏感属性分布问题。