一种基于分层聚类方法的木马通信行为检测模型被引量：12

A Model of Trojan Communication Behavior Detection Based on Hierarchical Clustering Technique

下载PDF

导出

摘要木马是互联网安全最严重的威胁之一.现有的木马检测方法主要受到3个方面的限制:1)无法检测新出现的木马实例;2)必须随着木马的改变实时地更新;3)消耗了大量的计算资源.针对上述情况,这里从网络层和传输层两个层面分析了木马的网络通信行为,并提取了能够有效描述其网络行为的4个特征.然后采用分层聚类方法建立了木马通信检测模型,并利用实际的网络流量数据进行了评估.实验结果显示,该模型具有较高的准确率和较低的误报率,很好地验证了检测模型的有效性. 木马是互联网安全最严重的威胁之一.现有的木马检测方法主要受到3个方面的限制:1)无法检测新出现的木马实例;2)必须随着木马的改变实时地更新;3)消耗了大量的计算资源.针对上述情况,这里从网络层和传输层两个层面分析了木马的网络通信行为,并提取了能够有效描述其网络行为的4个特征.然后采用分层聚类方法建立了木马通信检测模型,并利用实际的网络流量数据进行了评估.实验结果显示,该模型具有较高的准确率和较低的误报率,很好地验证了检测模型的有效性.

作者李世淙云晓春张永铮

机构地区中国科学院计算技术研究所中国科学院信息工程研究所中国科学院大学

出处《计算机研究与发展》 EI CSCD 北大核心 2012年第S2期9-16,共8页 Journal of Computer Research and Development

基金国家自然科学基金项目(61070185 61003261)

关键词木马通信检测分层聚类网络行为网络安全 Trojan communication detection hierarchical cluster network behavior network security

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献25

1方滨兴,崔翔,王威.僵尸网络综述[J].计算机研究与发展,2011,48(8):1315-1331. 被引量：63
2AsSadhan B,Moura J M F,Lapsley D.Periodic behavior in botnet command and control channels traffic. Proc of IEEE GLOBECOM . 2009
3Levine J,Culver B,Owen H.A methodology for detecting new binary rootkit exploits. Proc of IEEE SoutheastCon2003 . 2003
4Myers A,Nystrom N,Zheng L et al.Jif:Java information flow. http://www.cs.cornell.edu/jif . 2001
5Gartner.Use network behavior analysis for better visibility into security and operations events. . 2005
6Martin Roesch.Snort - Lightweight Intrusion Detection for Networks. Proc of the 13th Conference on Systems Administration . 1999
7Guofei Gu,,Junjie Zhang,Wenke Lee.BotSniffer:Detecting Botnet Command and Control Channels in Network Traffic. Proc. of the 15th Annual Network and Distributed System Security Symposium (NDSS’’08) . 2008
8Kevin Borders,Atul Prakash.Quantifying information leaks in outbound web trace. IEEE Symposium on Security & Privacy . 2009
9Thimbleby H,Anderson S,Cairns P.A framework for modeling Trojans and computer virus infection. Computer Journal . 1998
10Bergeron J,Debbabi M,Desharnais J,Erhioui M M,Lavoie Y,Tawbi N.Static detection of malicious code in executable programs. Symposium on Requirements Engineering for Information Security . 2001

二级参考文献62

1Porras P, Saidi H, Yegneswaran V. A foray into Conficker's logic and rendezvous points [R/OL]. Berkeley, CA: USENIX, 2009. [2011-06-10]. http://www, usenix, org/ events/leet09/tech/full papers/porras/porras_html/.
2CNCERT.中国互联网网络安全报告[EB/OL].2011.[201-06-10].http://www.cert.org.cn/UserFiles/File/2010%20first%20half.pdf.2010.
3Symantec Inc. Symantec global Internet security threat report trends for 2009 volume XV [EB/OL]. 2010. E2011 06-101. http://eval, symantee, com/mktginfo/enterprise/white_ papers/b-whitepaper_internet security threat report xv 04 2010. en-us, pdf.
4Holz T, Gorecki C, Rieck C, et al. Detection and mitigation of fast-flux service networks [C] //Proc of the 15th Annual Network and Distributed System Security Symposium. Berkeley, CA: USENIX, 2008.
5Stone-Gross B, Cova M, Cavallaro L, et al. Your botnet is my botnet: Analysis of a botnet takeover[C] //Proc of the 16th ACM Conf on Computer and Communications Security. New York: ACM, 2009:635-647.
6Cui Xiang, Fang Towards advanced Usenix Workshop Threats. Berkeley, Binxing, Yin Lihua, et al. Andbot: mobile bomets [C] //Proc of the 4th on Large-scale Exploits and Emergent CA: USENIX, 2011:No 11.
7Wang P, Sparks S, Zou C C. An advanced hybrid peer-topeer botnet [C] //Proc of the 1st Conf on 1st Workshop on Hot Topics in Understanding Botnets. Berkeley, CA: USENIX, 2007: No 2.
8Holz T, Steiner M, Dahl F, et al. Measurements an mitigation of peer-to peer-based botnets:A case study o storm worm [C] //Proc of the 1st USENIX Workshop o Large-scale Exploits and Emergent Threats. Berkeley, CA USENIX, 2008: No 9.
9Kanich C, Levchenko K, Enright B, et al. The Heisenbot uncertainty problem: Challenges in separating bots from chaff [C] //Proc of the 1st USENIX Workshop on Large- Scale Exploits and Emergent Threats. Berkeley, CA: USENIX, 2008:1-9.
10Ramaehandran A, Feamster N. Understanding the networklevel behavior of spammers[C] //Proe of the 2006 Conf on Applications, Technologies, Architectures and Protocols for Computer Communications. New York: ACM, 2006: 291- 302.

共引文献62

1李跃,翟立东,王宏霞,时金桥.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012,49(S2):1-8. 被引量：10
2陈向东,李静蕾.僵尸网络攻击原理及检测技术研究[J].济南职业学院学报,2012(1):86-89.
3张敏,张阳.基于分布式防火墙控制僵尸网络的研究与设计[J].西南民族大学学报（自然科学版）,2012,38(4):648-653.
4黄萍.手机僵尸网络综述[J].现代计算机,2012,18(15):27-29.
5冯丽萍,韩琦,王鸿斌,康苏明.P2P僵尸网络的有效免疫措施[J].计算机应用,2012,32(9):2617-2619. 被引量：7
6Chen Wei,Yu Le,Yang Geng.Detecting Encrypted Botnet Traffic Using Spatial-Temporal Correlation[J].China Communications,2012,9(10):49-59. 被引量：3
7冯丽萍,韩琦,王鸿斌.具有变化感染率的僵尸网络传播模型[J].计算机科学,2012,39(11):51-53. 被引量：11
8杨光,吴小羽,王继志.手机僵尸网络研究[J].山东师范大学学报（自然科学版）,2012,27(4):38-41.
9欧阳赔,苏璞睿,和亮.僵尸网络仿真系统设计与实现[J].计算机应用与软件,2013,30(1):301-305.
10蒋鸿玲,邵秀丽.基于神经网络的僵尸网络检测[J].智能系统学报,2013,8(2):113-118. 被引量：3

同被引文献83

1汪生,金志刚.基于模糊SVM模型的入侵检测分类算法[J].计算机应用研究,2020,37(2):501-504. 被引量：8
2刘鹏,姚正,尹俊杰.一种有效的C4.5改进模型[J].清华大学学报（自然科学版）,2006,46(z1):996-1001. 被引量：28
3熊刚,孟姣,曹自刚,王勇,郭莉,方滨兴.网络流量分类研究进展与展望[J].集成技术,2012,1(1):32-42. 被引量：23
4程光,龚俭,丁伟,徐加羚.面向IP流测量的哈希算法研究[J].软件学报,2005,16(5):652-658. 被引量：54
5艾娜,吴作伟,任江华.支持向量机与人工神经网络[J].山东理工大学学报（自然科学版）,2005,19(5):45-49. 被引量：32
6段丹青,陈松乔,杨卫平.网络入侵检测中的支持向量机主动学习算法[J].计算机工程与应用,2006,42(1):117-119. 被引量：5
7李洋,方滨兴,郭莉,田志宏.基于主动学习和TCM-KNN方法的有指导入侵检测技术[J].计算机学报,2007,30(8):1464-1473. 被引量：31
8Han J,Kamber M.数据挖掘概念与技术[M].2版.北京:机械工业出版社,2007.
9国家互联网应急中心.网络安全信息与动态周报[EB/OL].[2011-10-10].http:∥www.cert.org.cn/.2011.
10国家互联网应急中心.2013年我国互联网网络安全态势综述[EB/OL].http://www.cert.org.cn/publish/main/upload/File/2013% 20 Network% 20 Security% 20 Situation ( 1 ). pdf.

引证文献12

1曹自刚,熊刚,赵咏,郭莉.隐蔽式网络攻击综述[J].集成技术,2014,3(2):1-16. 被引量：5
2胥攀,刘胜利,兰景宏,肖达.基于多数据流分析的木马检测方法[J].计算机应用研究,2015,32(3):890-894. 被引量：2
3兰景宏,刘胜利,吴双,王东霞.用于木马流量检测的集成分类模型[J].西安交通大学学报,2015,49(8):84-89. 被引量：5
4兰景宏,刘胜利,李晔,肖达,王东霞.一种基于多层联合分析的HTTP隧道木马检测方法[J].计算机应用研究,2016,33(1):240-244. 被引量：5
5吴金龙,石晓飞,许佳,史军.基于随机森林的分层木马检测技术研究[J].通信技术,2016,49(4):475-480. 被引量：1
6李晔,刘胜利,张兆林.基于漂移检测和集成学习的木马检测模型[J].信息工程大学学报,2017,18(6):708-711.
7Zhang Jinling,Lü Lei.Integrated Trojan detecting model based on period feature statistics[J].The Journal of China Universities of Posts and Telecommunications,2019,26(1):32-39. 被引量：2
8宋紫华,郭春,蒋朝惠.一种基于网络流量分析的快速木马检测方法[J].计算机与现代化,2019,0(6):9-15. 被引量：4
9赵幸,刘胜利,刘雨辰,孟轶同.一种基于序列分析的木马网络交互行为检测方法[J].信息工程大学学报,2018,19(6):738-742.
10吴双,刘胜利,赵幸,刘雨辰.木马网络通信时序分析方法[J].信息工程大学学报,2019,20(3):313-318.

二级引证文献23

1栗刚,孙中军,翟江涛,戴跃伟.一种基于条件变分自编码器的加密流量识别方法[J].计算机应用研究,2020,37(S01):301-303. 被引量：1
2江魁,余志航,陈小雷,李宇豪.基于BERT-CNN的Webshell流量检测系统设计与实现[J].计算机应用,2023,43(S01):126-132. 被引量：3
3CAO Zigang,XIONG Gang,ZHAO Yong,GUO Li,FANG Binxing.Two-Phased Method for Detecting Evasive Network Attack Channels[J].China Communications,2014,11(8):47-58. 被引量：2
4张天明.网络攻防关键技术探讨[J].无线互联科技,2015,12(1):14-14. 被引量：2
5兰景宏,刘胜利,吴双,王东霞.用于木马流量检测的集成分类模型[J].西安交通大学学报,2015,49(8):84-89. 被引量：5
6陶晓玲,伍欣,亢蕊楠.基于树莓派的隐蔽式渗透测试方法[J].电子技术应用,2016,42(6):94-97. 被引量：6
7胡向东,白银,张峰,林家富,李林乐.基于SVM的木马流量特征检测方法[J].重庆邮电大学学报（自然科学版）,2017,29(2):240-244. 被引量：1
8朱越凡,马迪,王伟,毛伟.一种NTP协议隐蔽通道[J].计算机系统应用,2017,26(5):119-125. 被引量：3
9Zhang Jinling,Lü Lei.Integrated Trojan detecting model based on period feature statistics[J].The Journal of China Universities of Posts and Telecommunications,2019,26(1):32-39. 被引量：2
10余红星,申国伟,郭春.一种基于自动特征工程与压缩感知的网络隧道检测方法[J].计算机与现代化,2019,0(6):1-8.

1张茹.嵌入式设备的通信检测与现场实测[J].信息与电脑（理论版）,2011(7):88-89. 被引量：1
2薛世润,高晓丁.基于单片机的铁路巡检仪设计[J].电子世界,2013(13):143-143. 被引量：1
3兰景宏,刘胜利,李晔,肖达,王东霞.一种基于多层联合分析的HTTP隧道木马检测方法[J].计算机应用研究,2016,33(1):240-244. 被引量：5
4张晓晨,刘胜利,刘龙.网络窃密木马的自适应检测模型研究[J].计算机应用研究,2013,30(11):3434-3437. 被引量：3
5林小进,钱江.基于ICMP的木马通信技术研究[J].微处理机,2009,30(1):81-83. 被引量：3
6钟明全,唐彰国,李焕洲,张健.基于差异对比法的文件可疑通信行为检测[J].计算机应用,2010,30(1):210-212.
7胡明科.基于木马通信协议分析的Snort规则的制定[J].电脑编程技巧与维护,2012(22):113-114.
8张函,郭锐锋,耿聪.MAS不良通信检测方法[J].小型微型计算机系统,2015,36(5):976-980.
9张臣,王轶骏,薛质.基于客户端蜜罐的木马隐蔽通信检测[J].信息安全与通信保密,2011,9(2):49-51. 被引量：2
10何仲昆,樊少菁,沈卓芹.一种主动的网络行为检测方法及实现[J].中国教育网络,2008(2_3):93-94.

计算机研究与发展

2012年第S2期

浏览历史

内容加载中请稍等...

一种基于分层聚类方法的木马通信行为检测模型被引量：12

参考文献25

二级参考文献62

共引文献62

同被引文献83

引证文献12

二级引证文献23

相关作者

相关机构

相关主题

浏览历史

一种基于分层聚类方法的木马通信行为检测模型 被引量：12

参考文献25

二级参考文献62

共引文献62

同被引文献83

引证文献12

二级引证文献23

相关作者

相关机构

相关主题

浏览历史

一种基于分层聚类方法的木马通信行为检测模型被引量：12