恶意流量检测论文
恶意流量检测论文
计算机网络技术专业毕业论文题目
你是不是在为选计算机网络技术专业毕业论文题目烦恼呢?以下是我为大家整理的关于计算机网络技术专业毕业论文题目,希望大家喜欢!
1. 基于移动互联网下服装品牌的推广及应用研究
2. 基于Spark平台的恶意流量监测分析系统
3. 基于MOOC翻转课堂教学模式的设计与应用研究
4. 一种数字货币系统P2P消息传输机制的设计与实现
5. 基于OpenStack开放云管理平台研究
6. 基于OpenFlow的软件定义网络路由技术研究
7. 未来互联网试验平台若干关键技术研究
8. 基于云计算的海量网络流量数据分析处理及关键算法研究
9. 基于网络化数据分析的社会计算关键问题研究
10. 基于Hadoop的网络流量分析系统的研究与应用
11. 基于支持向量机的移动互联网用户行为偏好研究
12. “网络技术应用”微课程设计与建设
13. 移动互联网环境下用户隐私关注的影响因素及隐私信息扩散规律研究
14. 未来互联网络资源负载均衡研究
15. 面向云数据中心的虚拟机调度机制研究
16. 基于OpenFlow的数据中心网络路由策略研究
17. 云计算环境下资源需求预测与优化配置方法研究
18. 基于多维属性的社会网络信息传播模型研究
19. 基于遗传算法的云计算任务调度算法研究
20. 基于OpenStack开源云平台的网络模型研究
21. SDN控制架构及应用开发的研究和设计
22. 云环境下的资源调度算法研究
23. 异构网络环境下多径并行传输若干关键技术研究
24. OpenFlow网络中QoS管理系统的研究与实现
25. 云协助文件共享与发布系统优化策略研究
26. 大规模数据中心可扩展交换与网络拓扑结构研究
27. 数据中心网络节能路由研究
28. Hadoop集群监控系统的设计与实现
29. 网络虚拟化映射算法研究
30. 软件定义网络分布式控制平台的研究与实现
31. 网络虚拟化资源管理及虚拟网络应用研究
32. 基于流聚类的网络业务识别关键技术研究
33. 基于自适应流抽样测量的网络异常检测技术研究
34. 未来网络虚拟化资源管理机制研究
35. 大规模社会网络中影响最大化问题高效处理技术研究
36. 数据中心网络的流量管理和优化问题研究
37. 云计算环境下基于虚拟网络的资源分配技术研究
38. 基于用户行为分析的精确营销系统设计与实现
39. P2P网络中基于博弈算法的优化技术研究
40. 基于灰色神经网络模型的网络流量预测算法研究
41. 基于KNN算法的Android应用异常检测技术研究
42. 基于macvlan的Docker容器网络系统的设计与实现
43. 基于容器云平台的网络资源管理与配置系统设计与实现
44. 基于OpenStack的SDN仿真网络的研究
45. 一个基于云平台的智慧校园数据中心的设计与实现
46. 基于SDN的数据中心网络流量调度与负载均衡研究
47. 软件定义网络(SDN)网络管理关键技术研究
48. 基于SDN的数据中心网络动态负载均衡研究
49. 基于移动智能终端的医疗服务系统设计与实现
50. 基于SDN的网络流量控制模型设计与研究
51. 《计算机网络》课程移动学习网站的设计与开发
52. 数据挖掘技术在网络教学中的应用研究
53. 移动互联网即时通讯产品的用户体验要素研究
54. 基于SDN的负载均衡节能技术研究
55. 基于SDN和OpenFlow的流量分析系统的研究与设计
56. 基于SDN的网络资源虚拟化的研究与设计
57. SDN中面向北向的`控制器关键技术的研究
58. 基于SDN的网络流量工程研究
59. 基于博弈论的云计算资源调度方法研究
60. 基于Hadoop的分布式网络爬虫系统的研究与实现
61. 一种基于SDN的IP骨干网流量调度方案的研究与实现
62. 基于软件定义网络的WLAN中DDoS攻击检测和防护
63. 基于SDN的集群控制器负载均衡的研究
64. 基于大数据的网络用户行为分析
65. 基于机器学习的P2P网络流分类研究
66. 移动互联网用户生成内容动机分析与质量评价研究
67. 基于大数据的网络恶意流量分析系统的设计与实现
68. 面向SDN的流量调度技术研究
69. 基于P2P的小额借贷融资平台的设计与实现
70. 基于移动互联网的智慧校园应用研究
71. 内容中心网络建模与内容放置问题研究
72. 分布式移动性管理架构下的资源优化机制研究
73. 基于模糊综合评价的P2P网络流量优化方法研究
74. 面向新型互联网架构的移动性管理关键技术研究
75. 虚拟网络映射策略与算法研究
76. 互联网流量特征智能提取关键技术研究
77. 云环境下基于随机优化的动态资源调度研究
78. OpenFlow网络中虚拟化机制的研究与实现
79. 基于时间相关的网络流量建模与预测研究
80. B2C电子商务物流网络优化技术的研究与实现
81. 基于SDN的信息网络的设计与实现
82. 基于网络编码的数据通信技术研究
83. 计算机网络可靠性分析与设计
84. 基于OpenFlow的分布式网络中负载均衡路由的研究
85. 城市电子商务物流网络优化设计与系统实现
86. 基于分形的网络流量分析及异常检测技术研究
87. 网络虚拟化环境下的网络资源分配与故障诊断技术
88. 基于中国互联网的P2P-VoIP系统网络域若干关键技术研究
89. 网络流量模型化与拥塞控制研究
90. 计算机网络脆弱性评估方法研究
91. Hadoop云平台下调度算法的研究
92. 网络虚拟化环境下资源管理关键技术研究
93. 高性能网络虚拟化技术研究
94. 互联网流量识别技术研究
95. 虚拟网络映射机制与算法研究
96. 基于业务体验的无线资源管理策略研究
97. 移动互联网络安全认证及安全应用中若干关键技术研究
98. 基于DHT的分布式网络中负载均衡机制及其安全性的研究
99. 高速复杂网络环境下异常流量检测技术研究
100. 基于移动互联网技术的移动图书馆系统研建
101. 基于连接度量的社区发现研究
102. 面向可信计算的分布式故障检测系统研究
103. 社会化媒体内容关注度分析与建模方法研究
104. P2P资源共享系统中的资源定位研究
105. 基于Flash的三维WebGIS可视化研究
106. P2P应用中的用户行为与系统性能研究
107. 基于MongoDB的云监控设计与应用
108. 基于流量监测的网络用户行为分析
109. 移动社交网络平台的研究与实现
110. 基于 Android 系统的 Camera 模块设计和实现
111. 基于Android定制的Lephone系统设计与实现
112. 云计算环境下资源负载均衡调度算法研究
113. 集群负载均衡关键技术研究
114. 云环境下作业调度算法研究与实现
115. 移动互联网终端界面设计研究
116. 云计算中的网络拓扑设计和Hadoop平台研究
117. pc集群作业调度算法研究
118. 内容中心网络网内缓存策略研究
119. 内容中心网络的路由转发机制研究
120. 学习分析技术在网络课程学习中的应用实践研究
检测DNS协议上恶意和低吞吐量数据泄露
摘要:在存在安全对策的情况下,设计用于数据泄露的恶意软件必须使用隐蔽的通道来实现其目标。域名系统(DNS)协议是目前恶意软件开发者常用的秘密渠道。虽然近十年来人们一直在研究利用DNS进行隐蔽通道的检测,但以往的研究主要涉及到一个特定的隐蔽通道子类,即DNS隧道化。虽然隧道检测的重要性不应该被最小化,但是整个低吞吐量DNS泄露恶意软件被忽略了。
在这项研究中,我们提出了一种在DNS上检测隧道和低吞吐量数据泄露的方法。在确定之前检测到的恶意软件使用了网络活动注册的网络域名,而不是损害现有的合法域名后,我们专注于检测和拒绝这些域名的请求,作为一个有效的数据泄漏关闭。因此,我们提出的解决方案处理流式DNS流量,以便检测和自动拒绝用于数据交换的域的请求。初始数据收集阶段以允许长时间扫描的方式收集每个域的DNS日志,因此能够处理“慢速”攻击。第二阶段是基于每个域的查询行为提取特征,最后阶段是利用异常检测模型对域进行分类。至于检测,DNS请求被分类为用于数据泄露的域将被无限期拒绝。
我们的方法是在一个大型递归DNS服务器日志上进行评估,其峰值为每小时4700万次请求。在这些DNS日志中,我们从DNS隧道挖掘工具以及两个现实生活中的恶意软件中注入了数据泄露流量:FrameworkPOS,它曾在2014年被用于从家得宝(Home Depot)窃取5600万张信用卡;BackdoorWin32Denis,在2016年被用于Cobalt Kitty APT。即使将我们的方法限制在极低的假阳性率(5万个域中的1个)时,它也检测到了上述所有情况。此外,这些日志还被用来比较我们的系统和最近发表的两种方法,这两种方法的重点是检测DNS隧道,以强调检测低吞吐量过滤恶意软件的新颖性。
一、介绍
个人电脑和计算机网络一直是数据盗窃攻击的目标,通常使用的技术包括中间人攻击[7]或通过秘密渠道[25][40]泄露数据的恶意软件。在恶意软件的情况下,通常是作为命令和控制(C&C)的远程服务器,等待来自恶意软件的通信并记录传输到它的数据。然而,在受保护的网络(私有的或组织的)中,目标主机可以驻留在一个有限的段中,与外界的访问受限。在这种情况下,即使允许连接,通常也会由安全解决方案对可疑行为进行监视。因此,在这种情况下,恶意软件必须找到一个隐蔽的通道,以便将数据过滤到远程服务器,而现有的安全解决方案不会阻止或检测到这些数据。实现这一目标的一个渠道是域名系统(DNS)协议,这是本研究的重点。
从本地计算机到Internet的任何通信(不包括基于静态ip的通信)都依赖于DNS服务。因此,限制DNS通信可能导致合法远程服务断开连接;因此,必须保守地使用DNS来阻止内容。从攻击者的角度来看,这使得DNS协议成为数据泄漏[3]的隐蔽通信通道的一个很好的候选。
典型地,DNS协议不是为任意数据交换而设计的;DNS消息相对较短,响应不相关,这意味着它们到达的顺序不一定与发送[27]的请求的顺序相同。这些局限性可以通过攻击者使用两种方法之一:(1)建立一个双向通信信道上的DNS(例如,通过模拟一个可靠的C&C的恶意软件和服务器之间的会话),或(2)使用通道发送小短的数据点,用最小的开销和请求,并且消息是独立的(如信用卡号码、用户凭证,keylogging和地理位置)。我们将这两种方法分别称为高吞吐量隧穿和低吞吐量恶意软件。DNS过滤的完整威胁环境包括这两类,因此,任何通过DNS协议检测或防止数据泄漏的解决方案都必须同时处理这两类问题。
近年来检测到的低吞吐量泄露恶意软件使用的互联网域名购买、注册和操作完全是为了他们的网络运动。对于需要用户提供和配置Internet域的DNS隧道工具来说也是如此。因此,拒绝这些域的请求相当于在不影响正常网络运行的情况下停止数据泄漏。
本文提出了一种基于机器学习技术的新型DNS泄露检测方法,该方法既针对DNS隧道化,又针对低吞吐量的恶意软件泄露。我们的方法的输入是一个DNS流量日志流,它经常按域分组。这些日志收集的时间足够长,即使数据交换速度相对较慢,也可以检测到恶意软件。对每个域的收集日志定期应用特征提取阶段。然后,对每个域的特征进行分类阶段,以确定该域是否用于数据交换。该分类是使用隔离森林[21]异常检测模型进行的,该模型事先对合法流量进行了训练。在分类之后,对任何已被分类为异常的域的请求将被无限期地阻塞,从而停止数据泄漏。
我们使用隧道工具和之前检测到的低吞吐量泄露恶意软件的流量模拟来评估我们的工作。这些模拟与合法的大规模DNS流量一起执行,其峰值速率为每小时4100万次请求,从而使检测任务尽可能真实。该该检测覆盖率下表明少于0.002%假阳性率以及低误报率随着时间的推移而更少,我们将最近发表的两篇论文旨在检测隧道方法与本文进行比较,证明我们的方法的贡献——检测的低吞吐量漏出恶意软件。
我们工作的贡献有三方面:
1)除了检测DNS隧道外,我们的工作还能够检测低吞吐量DNS泄露恶意软件。
2)因为我们的方法在特定的时间范围内对域进行分类(称为每个域),所以它通过拒绝对被分类为用于数据交换的域的请求,来立即、准确和自动地阻止出现的DNS数据泄漏尝试。可以论证的是,对于在特定时间段内对用户进行分类的检测系统来说,情况并非如此,因为基于恶意软件的存在对合法用户的流量进行无限期阻塞可能是不可接受的。
3)据我们所知,之前的研究还没有对大规模、高质量的DNS流量日志(超过106个查询/小时)进行评估。由于DNS上的数据泄露可能试图低调神秘地操作,针对大规模流量的测试可能是任何检测系统的最终挑战。前一种说法得到了支持,因为当我们将我们提出的方法与以前建议的方法进行比较时,我们发现它们的报告结果有所减少。
二、背景
论文阅读01-流量模型
网络流量建模有着广泛的应用。在本文中,我们提出了网络传输点过程(NTPP),这是一种 概率深层机制 ,它可以模拟网络中主机的流量特性,并有效地预测网络流量模式,如负载峰值。现有的随机模型依赖于网络流量本质上的自相似性,因此无法解释流量异常现象。这些异常现象,如短期流量爆发,在某些现代流量条件下非常普遍,例如数据中心流量,从而反驳了自相似性的假设。我们的模型对这种异常具有鲁棒性,因为它使用时间点流程模型有效地利用了突发网络流量的自激特性。 在从网络防御演习(CDX)、网站访问日志、数据中心流量和P2P流量等领域收集的7个不同的数据集上,NTPP在根据几个基线预测网络流量特性(从预测网络流量到检测流量峰值)方面提供了显著的性能提升。我们还演示了我们的模型在缓存场景中的一个应用程序,表明可以使用它来有效地降低缓存丢失率。
对新型网络应用和系统的需求日益增长, 使得网络流量行为更加复杂和不可预测 。例如,在数据中心网络中,流量微爆发源于应用程序[1]的突然流行,而在副本[2]间的信息同步过程中产生的大象流会在骨干网络上造成临时的负载不均衡。另一方面,由于不同的终端用户活动模式[3],诸如多媒体流媒体和视频会议等流量密集型应用导致了蜂窝网络和移动网络上的巨大流量差异。这种流量差异影响最终用户应用程序[4]的体验质量(QoE)。此外,随着基于Internet小型计算机系统接口(iSCSI)的分布式存储[5]和物联网(IoT)应用[6]的大规模地理分布式云存储同步的迅速普及,网络流量变异性成倍增加。各种安全攻击,如分布式拒绝服务攻击(DDoS),加剧了流量模式预测[7]的假阴性问题。 由于应用范围的多样化,短期和长期的流量爆发在各种类型的网络中都很常见;因此,研究人员探索了不同的 基于突发周期性假设 的流量突发预测技术,如 流量矩阵[8]的部分可预测性 、 张量补全方法 [9]等。然而,最近网络流量的高度不均匀性 使这种流量突发周期性的假设失效,并导致了明显的流量差异和多重分形流量变化 ,这需要单独的检测工作。这种交通差异和多重分形的例子包括数据中心或或ISP骨干[11]网中流量的突发峰值(微突发)[10]、多媒体应用的流量(如视频流媒体)[12]、存储同步[13]、恶意或攻击流量(例如物联网设备中的DDoS攻击)[7]。因此,需要开发一个流量事件预测模型,该模型可以捕获诸如流量突发、突发峰值、主机带宽使用的意外跳变等流量差异和多重分形流量变化。 在这项工作中,我们旨在 将差异性和可变性检测集成到网络流量建模中 ,从而为高度异常的网络流量提供统一的模型。为此,我们按照单独的网络主机(例如数据中心服务器或终端用户设备)的传输特性来分解流量预测问题,在此我们着重于总网络带宽的份额每个主机使用的时间,称为给定时间的“优势”。为此,我们提出了网络传输点过程(NTPP),它是一种基于时间点过程机制的深度概率机制。 NTPP首先使用 循环标记时间点过程 (RMTPP)表征主机突发流量产生的事件[14],该过程结合了主机的影响以根据可用带宽转发流量突发。此外,我们使用一组学习来对任意给定时间内对网络中不同主机进行排序的模板进行 排序 ,从而对不同主机之间的争用进行建模,其中主机的排序由其生成的通信量决定。这些模板提供了各种方法来评估一对主机的相对顺序,这些顺序是由它们的争用过程引起的。这些措施,连同底层的包传输过程,确保在整个时间窗口内主机之间的正确排序。为了了解传输动态以及排名的变化,我们将给定主机的观测传输时间的似然性最大化,并结合学习对模板进行排名的其他措施进行统一。这种额外的小工具使我们的模型能够预测意外的峰值,带宽使用量的跳跃,否则很难追踪(实验着重证明了这一点)。 我们根据来自不同域的 七个 真实数据集上的几个最新基准评估了我们的系统,这些数据集可能会显示异常流量。其中四项是从各个组织进行的网络防御演习中获得的,一项是从网站访问日志(1998年世界杯Web服务器)获得的,另一项是从数据中心流量的获得的,另一项是从BitTorrent网络获得的。我们观察到,在预测主机流量方面,NTPP的平均性能比最具竞争力的基准好11%,而在检测主机带宽消耗的突然跳升或峰值时,NTPP的预测精度提高了约25%。我们还使用基于NTPP的模拟器实现了下游缓存应用程序,并且观察到缓存未命中率降低了约10%。 贡献 : (1) 复杂包传输过程建模 :我们设计了NTPP,这是一个多主机网络流量动态的非线性随机模型,能够准确地捕捉到包传输过程中攻击性跳跃和不规则行为的存在。此外,与现有的离散时间流量模型(如[9]、[15])相比,我们使用了时间点过程的连续时间特性。 (2) 主机间的争用建模 :我们的NTPP方案利用了[16]中提出的产品竞争建模思想,将丰富的学习文献与网络流量建模联系起来,对[17]其进行排名。 (3) 预测能力 :NTPP不仅具有理论基础,而且具有实践效果。我们的模型能够比几种最先进的基准更有效地预测分组传输动态。此外,嵌入式鉴别模块有助于实时估计带宽消耗的突然变化,这是一个至关重要的实际挑战,所有基准都无法追踪。 (4) 下游应用 :我们演示了NTPP在下游缓存场景中的应用,突出了它的实用性。现有的原始内容缓存由于突发的流量而存在较高的缓存丢失率,而我们的模型支持的智能内容缓存通过根据不同主机的预测流量为它们保留不同数量的内存空间来实现更好的性能。
从历史上看,大量的工作集中在从各种不同的角度对万维网流量进行建模,使用各种分布模型,如泊松、帕累托、威布尔、马尔科夫和嵌入式马尔科夫、ON-OFF等。随着互联网的发展和各种Web服务的引入,提出了更复杂的模型,如马尔科夫调制泊松过程[19]、马尔科夫调制流体模型[20]、自回归模型[21]、流量矩阵[8]的部分可预测性、张量补全方法[9]等。然而, 这些模型只能捕获特定类型的网络事件,而不能泛化为捕获Internet流量中的不同流量差异和变化 。在另一个独立的线程中,研究人员将互联网流量爆发建模为一种显示自相似性[22]的现象。然而,许多工作23],[24]也质疑“自相似性”的假设,特别是在互联网骨干网中,从多个来源的流量会得到多路复用。 随着大规模数据中心、基于物联网的平台、蜂窝网络和移动网络、信息中心网络等领域的出现,互联网流量的性质发生了巨大变化。因此,出现了各种领域特有的模型,如数据中心[15]的流量微突发预测、流量异常检测[25]、物联网流量表征[26]、互联网社交事件预测[27]等。此外,由于网络流量在不同的差异和变化下具有不同的性质,最近的一些工作探索了基于机器学习的技术来预测流量模式[12]、[28]、[29]中的不同事件、异常和不一致性。然而, 这种预测模型是针对特定的网络系统设计的,缺乏通用性 。
在本节中,我们将制定NTPP,即所提出的模型(参见图1),该模型捕获了网络流量动态的两个主要组成部分—(i)集体包传输机制和(ii)多个主机之间的争用。在一开始,NTPP是由一种基于点过程的深层概率机制驱动的——点过程是一种特殊类型的随机过程,它自然地捕获了连续数据包到达背后的机制。此外,它还包含一个判别模块,该模块包含一系列对函数[17]进行排序的学习,专门设计用于建模主机间争用过程。接下来,我们将从时间点过程的概述开始,详细描述它们,然后描述学习和预测动态的方法。
上一篇:阳光本科毕业论文
下一篇:期刊论文卷号