基于树突细胞行为模型的僵尸程序检测方法研究
基本信息
结项摘要
Bots and botnet pose severe security threats to Internet, PC and smartphone users. Due to existing problems for bots/botnet detection, a novel framework of detecting bots on individual host will be explored as a basic aim of this proposal, which adapts to different command & control structure bots/botnet such as IRC and P2P protocols etc. A more intelligent algorithm, called dendritic cells algorithm inspired by the innate immune system in human immunology, is explored to perform data fusion on a set of ‘signals' (that is, various system activity behaviors, e.g. keylogging) in specified time window. After that, this information is correlated with potentially anomalous ‘suspect entities’ termed ‘antigen’ (that is, system events or processes) in order to perform bots anomaly detection. An approach is presented to collect the activity behaviors of system as raw input data of the algorithm by using hooking mechanism to monitor and intercept API function calls. The theories and methodology will be addressed to automatically select, map and normalize the ‘signals’ and ‘antigens’ from these raw input data according to the inherent characteristic of dendritic cells algorithm and problem domain. The several crucial problems including detection accuracy, detection performance, robustness and tolerance of the detection algorithm will be investigated respectively. The aim is to achieve a prototype software system for bots detection based on behavioral correlation inspired by the biological functions of dendritic cells in human immunology.
Bots/botnet已对Internet、PC及智能手机用户产生了严重的安全威胁。由于当前bots/botnet检测方法存在的问题,本项目以研究基于个体主机中的僵尸程序检测为基本目标,适于不同命令与控制结构的bots/botnet检测,如IRC、P2P 等协议。探索受人体免疫系统启示的智能化的树突细胞算法作为僵尸程序检测方法,在特定时间窗内对一系列“信号”值(即各种系统行为,如击键记录等)执行数据融合,将融合结果与称之为“抗原”(如进程)的可疑实体进行相互关联来实现分类检测。提出根据Hooking机制监控与截获API 函数调用的方法去收集系统行为并作为算法所需的原始数据;根据树突细胞算法内在特点及问题域,研究从原始数据中自动地选择、映射及归一化信号与抗原的理论与方法;对影响算法的检测精度、性能、容错性与鲁棒性等几个关键问题展开研究,实现基于树突细胞行为相互关联的bots检测原型系统。
项目摘要
僵尸程序是一种恶意的软件应用程序,能运行自动任务或脚本,用于在互联网上构建大规模攻击平台。根据其使用的通信协议,僵尸程序分为IRC-bot, HTTP-bot, P2P-bot及其它bot. 而僵尸网络是通过互联网连接的由许多设备或主机组成的一个逻辑上的网络,每个主机或设备运行一个或多个僵尸程序。黑客通过操纵botmaster程序控制僵尸网络去执行DDoS攻击、窃取数据、发送垃圾邮件等。目前僵尸网络活动在全球范围内成增长趋势,已成为互联网安全的严重威胁。例如,Mirai是当前最有影响力的僵尸网络,2016年发生的主要网络攻击都与其有关。因此,对僵尸程序检测方法的研究具有一定的理论与实际意义。本项目聚焦研究主机中的僵尸程序检测,且适于不同命令与控制结构如IRC、P2P、HTTP等协议的僵尸程序检测。探索受人体免疫系统启示的智能化的树突细胞算法作为僵尸程序检测方法,在特定时间窗内对一系列“信号”值(即各种系统行为,如击键记录等)执行数据融合,将融合结果与称之为“抗原”(如进程)的可疑实体进行相互关联来实现异常检测。.项目研究的重要结果、关键数据及其科学意义:(1)由于DCA算法的输入是由抗原与信号组成的时间序列,这些复杂的元数据必须经过预处理形成输入数据流。DCA的预处理过程包括元数据收集、选择、抽取、抗原与信号的映射过程等。本项目获得了用于僵尸程序检测的输入数据预处理方法,该方法适用于不同协议如IRC与P2P协议的僵尸程序检测。(2)通过APItraces工具获取P2P僵尸程序检测的原始数据。将进程id映射为“抗原”,将进程产生的行为数据映射为“信号”,把它们作为DCA算法的时间序列输入数据,并实现了数据融合和相互关联。通过相关实验,本项目实现了一种新的P2P僵尸程序检测方法,由于该方法在检测与分析过程中的线性计算能力,以及无需训练阶段,使得其性能优于已存在的P2P僵尸程序检测技术。(3)项目研究了两个基于DCA算法输入数据流的运行时间变量,并且证明了这两个变量是如何对算法输入数据与算法运行时变量进行关联,也揭示了在给定时间窗内基于输入数据的算法行为,而这些都与面向实际应用执行的算法无关。此研究工作为算法的进一步应用开发提供了指导。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
玉米叶向值的全基因组关联分析
玉米叶向值的全基因组关联分析
论大数据环境对情报学发展的影响
论大数据环境对情报学发展的影响
资本品减税对僵尸企业出清的影响——基于东北地区增值税转型的自然实验
资本品减税对僵尸企业出清的影响——基于东北地区增值税转型的自然实验
基于多模态信息特征融合的犯罪预测算法研究
基于多模态信息特征融合的犯罪预测算法研究
基于分形维数和支持向量机的串联电弧故障诊断方法
基于分形维数和支持向量机的串联电弧故障诊断方法
王丽的其他基金
相似国自然基金
面向僵尸网络的网络协同行为机理分析与检测方法研究
基于高阶模型检测的复杂高阶程序的验证方法研究
基于共享变量的多核并发程序模型检测
基于局域网协作的僵尸主机检测技术研究