基于多告警源關(guān)聯(lián)分析的僵尸檢測方法研究.pdf

1、目前，僵尸程序已經(jīng)成為網(wǎng)絡(luò)安全的重大隱患，人們尚無有效手段根除，主要原因有二：一、攻擊者受經(jīng)濟(jì)利益的驅(qū)使，不斷更新惡意代碼技術(shù)，使得防御者被動(dòng)應(yīng)付；二、僵尸主機(jī)地域分布廣泛，在小規(guī)模網(wǎng)絡(luò)中檢測達(dá)不到實(shí)際要求的檢測效果，而大規(guī)模網(wǎng)絡(luò)中的檢測又存在較高的誤報(bào)和漏報(bào)。因此，設(shè)計(jì)高度可信的僵尸檢測算法，改變被動(dòng)防御地位是亟待解決的重要安全問題。
　　 通過對國內(nèi)外相關(guān)僵尸檢測算法的分析研究，設(shè)計(jì)了一種基于多告警源關(guān)聯(lián)分析的檢測系統(tǒng)，旨在

2、對僵尸主機(jī)的活動(dòng)進(jìn)行多方位的監(jiān)測，并對監(jiān)測產(chǎn)生的告警數(shù)據(jù)進(jìn)行綜合分析，去除單個(gè)告警源產(chǎn)生的大量冗余數(shù)據(jù)，極大提高檢測結(jié)果的可信度。
　　 系統(tǒng)的數(shù)據(jù)采集包括數(shù)據(jù)包采集和NetFlow流數(shù)據(jù)采集，流采集使用Nprobe技術(shù)，回避了思科路由器流采集軟件因采樣而帶來的數(shù)據(jù)丟失且效率更高；告警監(jiān)測由三個(gè)部分組成：僵尸行為監(jiān)測，惡意活動(dòng)監(jiān)測和異常行為監(jiān)測。僵尸行為監(jiān)測利用已有的P2P僵尸、IRC僵尸檢測算法產(chǎn)生告警；惡意活動(dòng)監(jiān)測主要關(guān)注主