P2P僵尸网络追踪技术研究

目录

摘要 (i)

ABSTRACT ........................................................................................................ i ii 第一章绪论 (1)

1.1 研究背景 (1)

1.1.1 僵尸网络 (1)

1.1.2 僵尸网络的危害 (1)

1.1.3 僵尸网络的发展历程 (2)

1.2 国内外研究现状 (3)

1.2.1 P2P僵尸网络研究 (3)

1.2.2 P2P僵尸网络追踪若干重要技术研究现状及存在的问题 (4)

1.3 当前P2P僵尸网络发展现状分析 (7)

1.4 本文主要研究工作 (10)

1.4.1 研究意义 (10)

1.4.2 研究思路 (10)

1.4.3 研究工作 (11)

1.5 本文的组织结构 (13)

第二章基于爬虫的P2P僵尸节点及拓扑发现 (15)

2.1 引言 (15)

2.2 Zeus协议解析 (15)

2.3 Zeus主动爬取 (16)

2.3.1 Zeus拓扑展示 (17)

2.3.2 Zeus节点地理分布 (18)

2.4 一种改进的爬行算法 (20)

2.5 实验评估 (22)

2.6 本章小结 (25)

第三章基于网络拓扑的P2P僵尸网络关键节点识别技术 (26)

3.1 引言 (26)

3.2 节点重要性度量指标 (27)

3.3 基于多重属性的节点重要性评估方法 (28)

3.4 实验评估 (30)

第四章基于流量统计的P2P僵尸网络关键节点识别技术 (34)

4.1 引言 (34)

4.2 关键节点流量差异性分析及特性选取 (34)

4.2.1 关键节点特点分析 (34)

4.2.2 分类特征定义及选取 (35)

4.3 系统框架 (37)

4.4 实验评估 (40)

4.5 本章小结 (43)

第五章基于加密流量的P2P僵尸网络活动识别技术 (44)

5.1 引言 (44)

5.2 本章研究基础 (44)

5.3 系统框架及实现 (47)

5.4 实验评估 (48)

5.5 本章小结 (51)

第六章结束语 (52)

6.1 本文主要工作 (52)

6.2 本文主要创新点 (53)

6.3 未来工作展望 (53)

致谢 (54)

参考文献 (55)

作者在学期间取得的学术成果 (61)

表目录

表1. 1 僵尸网络演变历程 (2)

表1. 2 当前P2P僵尸网络概况 (8)

表2. 1 初始节点列表 (16)

表2. 2 邻居节点列表 (17)

表2. 3 改进的爬行算法 (21)

表2. 4 Zeus拓扑数据集 (22)

表3. 1 P2P网络拓扑数据集 (28)

表4. 1 P2P应用数据集 (40)

表4. 2 Skype数据集 (41)

表4. 3 主机节点识别效果 (42)

表4. 4 关键节点识别效果 (42)

表5. 1 网络活动识别训练数据集 (48)

表5. 2 网络活动识别测试数据集 (49)

表5. 3 网络活动识别效果 (51)

图目录

图1. 1 Zeus架构 (9)

图1. 2 Zeus关键节点的流量模型 (10)

图1. 3 本文设计的P2P僵尸网络追踪原形系统 (11)

图1. 4 本文整体组织结构 (13)

图2. 1 Zeus爬取过程展示 (17)

图2. 2 Zeus拓扑展示(22912个节点) (18)

图2. 3 Zeus地理分布1 (19)

图2. 4 Zeus地理分布2 (19)

图2. 5 Zeus地理分布统计 (20)

图2. 6 Zeus全球地理分布图 (20)

图2. 7 不同参数组合下的平均请求次数/节点 (23)

图2. 8 不同参数组合下的平均时间开销/节点 (24)

图2. 9 三种爬行算法的节点请求次数对比 (24)

图2. 10 改进后算法的时间开销对比分析 (25)

图3. 1 关联分析1(采用P2P-Gnutella30) (29)

图3. 2 关联分析2(采用Zeus1) (30)

图3. 3 节点重要性度量指标对比分析(采用P2P-Gnutella08) (32)

图3. 4 节点重要性度量指标对比分析(采用Zeus2) (32)

图3. 5 节点重要性指标对比分析(采用Zeus3) (33)

图4. 1 普通节点和关键节点出度和入度统计对比 (35)

图4. 2 普通节点报文特征统计 (36)

图4. 3 关键节点报文特征统计 (36)

图4. 4 普通节点和关键节点速率特征统计 (37)

图4. 5 本文提出的关键节点识别系统 (38)

图4. 6 P2P主机识别系统框架 (39)

图4. 7 关键节点识别框架 (40)

图4. 8 阈值调整 (43)

图5. 1 刻画网络活动的有限状态自动机 (45)

图5. 2 网络活动识别系统框架 (47)

图5. 3 音频活动的状态转换图 (49)

图5. 4 聊天的状态转换图 (49)

图5. 5 文件传输的状态转换图 (49)

图5. 7 隐马尔可夫模型初步测试1 (50)

图5. 8 隐马尔可夫模型初步测试2 (50)

图5. 9 隐马尔可夫模型初步测试3 (50)

图5. 10 隐马尔可夫模型初步测试4 (50)