基于SVM的Fast.docVIP

PAGE PAGE 1 基于SVM的Fast-flux僵尸网络检测技术研究 　　摘要： 近些年出现的采用Ｆａｓｔ－ｆｌｕｘ技术的僵尸网络，给网络安全带来了极大的威胁。因此，有效检测Ｆａｓｔ－ｆｌｕｘ僵尸网络就成为网络安全研究者关注的热点问题。目前的检测方法都存在误报率较高的问题。针对这个不足，通过对Ｆａｓｔ－ｆｌｕｘ僵尸网络数据进行分析，选取Ｆａｓｔ－ｆｌｕｘ僵尸网络的六个典型特征，提出了基于ＳＶＭ的Ｆａｓｔ－ｆｌｕｘ僵尸网络的检测方法。实验表明，基于ＳＶＭ的Ｆａｓｔ－ｆｌｕｘ僵尸网络检测方法明显地降低误报率。 　　关键词： 　　中图分类号： ＴＰ３９３ 文献标识码：Ａ 文章编号：２０９５－２１６３（２０１１）０１－００２４－０４ 　　０引言 　　僵尸网络能够实行ＤＤＯＳ、垃圾邮件、窃取个人信息、网络仿冒等攻击行为，对网络安全产生了极大的危害。因此，越来越多的研究者开始研究僵尸网络。研究表明，为了提高网络的健壮性和存活率，僵尸网络普遍采用Ｆａｓｔ－ｆｌｕｘ技术[１]。 　　Ｆａｓｔ－ｆｌｕｘ技术是为一个域名配置多个ＩＰ地址，并且这些ＩＰ地址以非常快的频率更换，从而实现域名到ＩＰ地址的动态映射。通过动态变换ＩＰ地址，每次用户访问某个域名时，实际上访问的并不是同一主机。利用此特征，僵尸网络控制者可以将其控制的肉鸡中服务能力比较强、具有公有ＩＰ的肉鸡作为代理，其他一些服务能力比较弱的主机通过与这些代理通信，代理将通信重定向到后面真正的控制者，完成控制者与肉鸡的通信过程。僵尸网络控制者通过频繁的更换域名到代理ＩＰ的映射，从代理网络中剔除不可用的以及服务能力较弱的代理，提高网络的健壮性和可用性。 　　１相关工作 　　１．１传统僵尸网络检测方法 　　Ｈｙｕｎｓａｎｇ Ｃｈｏｉ，Ｈａｎｗｏｏ Ｌｅｅ等人提出基于僵尸网络ＤＮＳ查询群体性特征的检测方法[２－３]。该方法通过对校园网ＤＮＳ数据分析发现：在僵尸网络活跃时，受控主机将同时发出ＤＮＳ查询这一群体性特征。但是，这种方法不能区分迅雷、ＢＴ等下载站点，因为当客户端同时下载一个资源时，也具有相同的行为。 　　Ｓｈｏｕｈｕａｉ Ｘｕ、Ｒａｖｉ Ｓａｎｄｈｕ等人提出一种基于主机ＤＮＳ访问与网页访问关系的僵尸网络检测方法[４]。这种方法需要获取大量主机页面访问的数据以及ＤＮＳ访问数据，并且需要将两种数据组合。数据量巨大，在大规模的网络中实现困难。 　　Ｋａｚｕｙａ Ｔａｋｅｍｏｒｉ等人提出基于信息熵理论的僵尸网络检测方法。该方法通过分析一段时间的校园网ＤＮＳ数据发现：当僵尸网络活跃时，某些域名的熵发生了剧烈变化[５－６]。但是Ｋａｚｕｙａ Ｔａｋｅｍｏｒｉ等人的方法在某些网站访问量剧增的时候会出现误报。如：２００８年北京奥运会开幕式当天，奥运会官网的访问量变化非常剧烈。 　　１．２Ｆａｓｔ－ｆｌｕｘ僵尸网络检测方法 　　Ｊｏｓｅ Ｎａｚａｒｉｏ等人对Ｆａｓｔ－ｆｌｕｘ僵尸网络进行长期观察，提出了Ｆａｓｔ－ｆｌｕｘ僵尸网络的九个基本特征，并详细分析了Ｆａｓｔ－ｆｌｕｘ僵尸网络的地域分布、生存时间、网络大小等基本特征[７]。Ｔｈｏｒｓｔｅｎ Ｈｏｌｚ利用已经发现的Ｆａｓｔ－ｆｌｕｘ僵尸网络的特征，采用线性划分的方法将Ｆａｓｔ－ｆｌｕｘ服务和ＲＲＤＮＳ（轮转域名系统）、ＣＤＮ（内容分发网络）相区分，获得了很好的效果[１]。 　　Ｃｈｅｎｆｅｎｇ Ｖｉｎｃｅｎｔ Ｚｈｏｕ等人提出了一种分布式入侵检测系统对采用Ｆａｓｔ－ｆｌｕｘ 技术的钓鱼网站的检测方法[８]。但是该方法需要各地的ＩＤＳ都得和其他ＩＤＳ交换数据来检测Ｆａｓｔ－ｆｌｕｘ域名，并不能在前端检测。 　　Ａｌｐｅｒ Ｃａｇｌａｙａｎ等人采用主动和被动方式实现ＦＦＳＮ的实时监测[９－１０]，但是其所采用的数据都是在非常小的时间段内获取的，如果某个网站将其服务迁移到不同的机器，将出现误报。 　　Ｅｍａｎｕｅｌｅ Ｐａｓｓｅｒｉｎｉ等利用ＦＦＳＮ（Ｆａｓｔ－ｆｌｕｘ服务网络）的九个特征，采用朴素贝叶斯算法，对ＦＦＳＮ进行检测[１１]。 　　Ｙａｎｇ Ｗａｎｇ利用僵尸网络ＩＰ数和ＡＳ（自治系统）数两个特征，采用ＳＶＭ对ＦＦＳＮ服务进行检测[１２]，取得了很好的效果。但因其只采用了９０个正常域名，３９个Ｆａｓｔ－ｆｌｕｘ域名的数据集，而数据集太小，则无法代表网络中的真实环境。 　　Ｊｉａｙａｎ Ｗｕ等人对现有的线性划分、ＫＮＮ（Ｋ最近邻）和朴素贝叶斯的ＦＦＳＮ检测方法进行了对比[１３]。 　　本文通过对哈尔滨工业大学两台ＤＮＳ服务器的长期数据进行分析，选取了Ｆａｓｔ－ｆｌｕｘ僵尸网络的六个典型特征，采用线性核函数的ＳＶＭ方法对Ｆａｓｔ－ｆｌｕｘ僵尸网络进行检测，取得了比较好的效果。 　　２特征选取及ＳＶＭ算法选取