僵尸网络检测关键技术研究-计算机系统结构专业论文.docx

僵尸网络检测关键技术研究 国防科学技术大学研究生院 Research on Key Technology of Botnet Detection Candidate：Wang HaiLong Supervisor：Prof. Gong ZhengHu A dissertation Submitted in partial fulfillment of the requirements for the degree of Doctor of Engineering in Computer Science and Technology Graduate School of National University of Defense Technology Changsha，Hunan，P.R.China September，2011 声独 创 性 明 声 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的 研究成果.尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意. 学位论文题目: 学位论文作者签名: 日期: 2 年 1气L 月 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文 档，允许论文被查阅和借阅;可以将学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文. (保密学位论文在解密后适用本授权书。) 学位论文题目: 僵尸网络检测关键技术研究 1/i 1/i Zi扎-tt  日期:  ，2，0 [1年  L ，-月 目 作者指导教师签名: - -iit 刁毛 - J - t..--  目期: (!年/2-月/ 目 国防科学技术大学研究生院博士学位论文 国防科学技术大学研究生院博士学位论文 目 录 摘 要 i Abstract v 第一章 绪论 1 1.1 研究背景及意义 1 1.2 僵尸网络概述 4 1.2.1 僵尸网络的发展历程 4 1.2.2 僵尸网络的定义组成 6 1.2.3 僵尸程序的功能结构 8 1.2.4 僵尸网络的控制机制 9 1.3 僵尸网络研究现状 12 1.3.1 研究内容 12 1.3.2 研究状况 13 1.3.3 关键问题 18 1.4 论文工作及创新点 20 1.5 论文结构 25 第二章 相关研究 27 2.1 僵尸网络检测概述 27 2.1.1 僵尸网络检测思想 27 2.1.2 僵尸网络生命周期 28 2.1.3 僵尸网络检测分类 28 2.2 检测技术分析 29 2.2.1 传播阶段 29 2.2.2 感染阶段 30 2.2.3 通信阶段 31 2.2.4 攻击阶段 34 2.2.5 其他 36 2.3 评价比较 36 2.4 本章小结 38 第三章 僵尸网络协同检测模型与体系结构 40 3.1 问题分析 40 第 I 页 3.2 相关研究 40 3.3 层次协同模型 43 3.3.1 模型框架 43 3.3.2 数据结构 45 3.3.3 建模过程 46 3.3.4 协同机制 48 3.4 协同检测系统 49 3.4.1 设计目标 49 3.4.2 体系结构 49 3.4.3 物理结构 51 3.4.4 逻辑结构 52 3.4.5 工作原理 53 3.5 系统分析评价 54 3.6 本章小结 55 第四章 僵尸网络协同检测技术研究 58 4.1 问题分析 58 4.2 相关工作 59 4.3 基于角色的策略型协同威胁感知模型 60 4.3.1 相关定义 61 4.3.2 模型建立 63 4.3.3 模型应用 65 4.4 基于信任度量的恶意传感器判定方法 68 4.4.1 信任度量机制 68 4.4.2 恶意 TAS 判定 70 4.4.3 实验分析 71 4.5 面向 DDoS 的僵尸网络协同检测方法 73 4.5.1 算法介绍 73 4.5.2 流程设计 76 4.5.3 实验分析 82 4.6 本章小结 88 第五章 僵尸网络特性分析方法研究 90 5.1 问题分析 90 5.2 相关研究 91 5.3 面向命令与控制的僵尸网络特性提取方法 92 第 II 页 第 第 PAGE IV 页 5.3.1 僵尸网络特性信息描述方法 92 5.3.2 CC 信道的特征提