基于SVM的Fast—flux僵尸网络检测技术研究

近些年出现的采用Fast—flux技术的僵尸网络，给网络安全带来了极大的威胁。因此，有效检测Fast—flux僵尸网络就成为网络安全研究者关注的热点问题。目前的检测方法都存在误报率较高的问题。针对这个不足，通过对Fast—flux僵尸网络数据进行分析，选取Fast—flux僵尸网络的六个典型特征，提出了基于SVM的Fast—flux僵尸网络的检测方法。实验表明，基于SVM的Fast—flux僵尸网络检测方法明显地降低误报率。

基于代理控制力的Fast-Flux僵尸网络检测方法

本文基于Fast-Flux僵尸网络对僵尸代理机器控制能力的分析,提出了一种实时检测Fast-Flux僵尸网络的方法,该方法可以通过主动提交DNS查询或者被动分析DNS响应数据包以度量可疑域名相映射IP地址的均匀分布率和平均可服务率以鉴别该域名是否是Fast-Flux域名。通过利用支持向量机(SVM)的实验表明,该方法具有较高的检测率、较低的误判率。

基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究

Domain Flux僵尸网络域名多用于僵尸网络的命令控制信道中,因此检测Domain Flux僵尸网络域名对僵尸网络的检测有重要意义。目前Domain Flux僵尸网络域名的检测方法存在较多的问题,如资源消耗多、检测精确率不高等。针对这些问题,文章提出了一种基于加权支持向量机的Domain Flux僵尸网络域名检测方法。通过分析Domain Flux僵尸网络域名和正常域名的区别,提取出数十种域名特征用于区分正常域名和Domain Flux僵尸网络域名;为了使每种特征发挥最大的区分效果,通过信息增益比来计算每种特征的权重值并对特征进行加权;使用支持向量机算法对加权后的特征数据集进行训练,获得检测模型。实验表明,该方法有效地提高了Domain Flux僵尸网络域名的检测准确率,可以较好的识别Domain Flux僵尸网络域名。

基于域名的僵尸网络行为分析

域名系统作为互联网中最大的分布式系统,是连接用户和互联网的桥梁。但由于其自身协议的缺陷,不但出现了许多针对域名的恶意攻击行为,而且大量恶意行为还利用域名系统提高自身的生命力,如僵尸网络、网络钓鱼、垃圾邮件等。文章介绍了僵尸网络的内涵和域名流量数据特征,分析了基于域名系统的Fast-Flux和Domain-Flux网络工作方式和基本特征,并总结了目前效率比较高的Flux僵尸网络的检测算法。