10.3969/j.issn.1001-0548.2017.06.019
基于流相似性的两阶段P2P僵尸网络检测方法
僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一.由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度.为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络.首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络.使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率.
僵尸网络检测、会话特征、流相似性、P2P流量识别
46
TP311(计算技术、计算机技术)
国家自然科学基金61572115,61502086,61402080;四川省重大基础研究课题2016JY0007
2017-12-27(万方平台首次上网日期,不代表论文的发表时间)
共6页
902-906,948
