基于Botnet的DDoS攻击取证技术的研究与实现

论文摘要

随着计算机技术的发展,计算机安全事件频繁发生。计算机取证(computer forensics)正是在这种形势下产生和发展的,它可以对犯罪分子产生威慑作用。当前,分布式拒绝服务攻击(DDoS)已经成为信息安全的一个重大威胁,僵尸网络(Botnet)为发动DDoS攻击提供了方便。所以,对基于Botnet的DDoS攻击的取证分析也逐渐成为计算机取证工作中的重要内容。基于IRC协议的僵尸网络是当前最流行的僵尸网络。通过对僵尸网络IRC C2 (Command and Control命令与控制)行为特征的分析,本文提出了一种基于受控端的IRC C2行为识别方法：从普通数据流中分离IRC数据流,并从中抽取IRC行为特征,把抽取的IRC行为特征与匹配模型进行模糊匹配,进而识别出该IRC行为是否为僵尸网络IRC C2行为。当前DDoS攻击的主要方式是基于TCP协议的攻击和基于ICMP协议的攻击。本文针对这两种攻击的典型方法,提出相应的基于源端的DDoS攻击行为识别方法。对于基于TCP协议的攻击,以统计源端主机发往目标地址的SYN包个数与返回的SYN应答包个数的差值来量化目标主机的拥塞程度,以源端主机接收到的SYN应答包个数和源端主机返回给服务器的SYN应答包个数的差值来判断源端主机是否产生恶意攻击,采用非参数的CUSUM算法将连续攻击效果放大以减小检测的误警率。对于基于ICMP协议的攻击,从攻击的原理入手,提出了通过判断有无发生IP数据包伪造行为来确定是否发生了Smurf攻击的方法。实验结果表明,上述两个方法对DDoS攻击行为的检测均有很高的识别率。基于对僵尸网络的分析,本文提出利用选举向量检测黑客对僵尸网络的拆分和转移行为；利用攻击向量检测僵尸网络是否参与DDoS攻击。由于不能发动大规模DDoS攻击,本文开发一个模拟系统对算法进行验证。在本文的最后,分析取证系统的功能需求,设计并实现基于僵尸网络的DDoS攻击的取证原型系统。

论文目录

摘要

Abstract

第一章绪论

1.1 研究背景

1.2 问题的提出

1.3 本文研究内容

1.4 章节安排

第二章相关理论

2.1 DDoS攻击

2.1.1 DDoS攻击原理

2.1.2 DDoS攻击的种类

2.1.3 DDoS攻击发展趋势

2.2 Botnet

2.2.1 Botnet的定义

2.2.2 Botnet的分类

2.2.3 Botnet的危害

2.2.4 Botnet的发展趋势

2.2.5 Botnet的研究现状

2.3 计算机取证

2.3.1 计算机取证的定义

2.3.2 计算机取证过程

2.3.3 计算机取证的研究现状

2.3.4 计算机取证技术的发展趋势

2.4 本章小结

第三章基于Botnet的DDoS攻击取证技术研究

3.1 基于受控端的IRC C2行为的识别

3.1.1 IRC流的识别

3.1.2 IRC特征抽取

3.1.3 IRC模型匹配

3.1.4 IRC模型训练

3.2 基于源端的DDoS攻击行为的识别

3.2.1 SYN Flooding攻击行为的识别

3.2.2 ICMP攻击行为的识别

3.3 Botnet和DDoS攻击电子证据的分析

3.3.1 Botnet电子证据的分析

3.3.2 DDoS攻击电子证据的分析

3.3.3 模拟实验

3.4 本章小结

第四章取证系统的设计与实现

4.1 取证系统的功能分析

4.1.1 取证客户端需求分析

4.1.2 取证服务器端需求分析

4.2 取证系统的总体设计

4.2.1 系统的物理结构

4.2.2 系统的逻辑结构

4.3 取证系统详细设计与实现

4.4 本章小结

第五章结论与展望

5.1 本文主要工作

5.2 下一步工作展望

参考文献

致谢

基于Botnet的DDoS攻击取证技术的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢