基于SVM的Fast-flux僵尸网络检测技术研究

由天下分享时间：2024/12/29 8:04:57 加入收藏我要投稿点赞

龙源期刊网 http://www.qikan.com.cn

作者：康乐李东余翔湛

来源：《智能计算机与应用》2011年第03期

摘要：近些年出现的采用Ｆａｓｔ－ｆｌｕｘ技术的僵尸网络，给网络安全带来了极大的威胁。因此，有效检测Ｆａｓｔ－ｆｌｕｘ僵尸网络就成为网络安全研究者关注的热点问题。目前的检测方法都存在误报率较高的问题。针对这个不足，通过对Ｆａｓｔ－ｆｌｕｘ僵尸网络数据进行分析，选取Ｆａｓｔ－ｆｌｕｘ僵尸网络的六个典型特征，提出了基于ＳＶＭ的Ｆａｓｔ－ｆｌｕｘ僵尸网络的检测方法。实验表明，基于ＳＶＭ的Ｆａｓｔ－ｆｌｕｘ僵尸网络检测方法明显地降低误报率。关键词：

中图分类号：ＴＰ３９３文献标识码：Ａ文章编号：２０９５－２１６３（２０１１）０１－００２４－０４０引言

僵尸网络能够实行ＤＤＯＳ、垃圾邮件、窃取个人信息、网络仿冒等攻击行为，对网络安全产生了极大的危害。因此，越来越多的研究者开始研究僵尸网络。研究表明，为了提高网络的健壮性和存活率，僵尸网络普遍采用Ｆａｓｔ－ｆｌｕｘ技术[１]。

Ｆａｓｔ－ｆｌｕｘ技术是为一个域名配置多个ＩＰ地址，并且这些ＩＰ地址以非常快的频率更换，从而实现域名到ＩＰ地址的动态映射。通过动态变换ＩＰ地址，每次用户访问某个域名时，实际上访问的并不是同一主机。利用此特征，僵尸网络控制者可以将其控制的肉鸡中服务能力比较强、具有公有ＩＰ的肉鸡作为代理，其他一些服务能力比较弱的主机通过与这些代理通信，代理将通信重定向到后面真正的控制者，完成控制者与肉鸡的通信过程。僵尸网络控制者通过频繁的更换域名到代理ＩＰ的映射，从代理网络中剔除不可用的以及服务能力较弱的代理，提高网络的健壮性和可用性。１相关工作

１．１传统僵尸网络检测方法

ＨｙｕｎｓａｎｇＣｈｏｉ，ＨａｎｗｏｏＬｅｅ等人提出基于僵尸网络ＤＮＳ查询群体性特征的检测方法[２－３]。该方法通过对校园网ＤＮＳ数据分析发现：在僵尸网络活跃