基於網路行為關連性偵測IRC僵屍網路之研究與實作

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：77

、訪客IP：18.191.210.18

姓名

游建宏(CHIEN-HUNG YU) 查詢紙本館藏

畢業系所

通訊工程學系在職專班

論文名稱

基於網路行為關連性偵測IRC僵屍網路之研究與實作

相關論文

★ UHF頻段RFID彈藥管理系統之設計、實作與評估	★ 移動物偵測與追蹤之IP Camera系統
★ SDN自適應性自動化網路安全之研究	★ Wi-Fi Direct Service 應用於IoT
★ 射頻前端電路應用於載波聚合長期演進技術	★ 3C無線充電裝置運用在車載系統所產生之EMI輻射
★ 基於LoRa技術的物聯網前端防盜警示感測裝置實作與評估	★ DOCSIS 3.1 效能研究與下行通道干擾阻隔之設計
★ 藍芽無線光學投影翻譯筆	★ 手持裝置應用於MIMO ( 8x8 ) Wi-Fi系統之設計
★ 基於無伺服器運算之智慧農業雲端系統設計與研究	★ 嵌入式系統實現電梯物聯網
★ 在802.11 Ad-Hoc網路中基於速率考量之路由協定設計	★ 合作博弈與灰色模糊方法改善無線網路之性能
★ 採用拍賣策略之動態分散式方法於減少叢集小型基地台間干擾之研究	★ 在LTE-A下聚合未授權頻譜及動態分配資源以優化系統效能

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

隨著網際網路的蓬勃發展，以Botnet為主的網路犯罪及攻擊活動以逐漸成為網路資訊安全上的重大議題。Botnet可以是木馬程式、後門及蠕蟲等三種惡意程式的其中一種型態，或結合三種惡意行為出現的一種新型態的攻擊活動，因此並不容易被偵測。在研究相關偵測的方法上，目前都有其本身偵測方法的優點與缺點。
為了能夠有效的偵測出Botnet，本論文以實作架設仿真網路環境。同時藉由實際的活動行為，將Botnet的生命週期分為四個階段來模擬並觀察活動的行為模式。並使用以網路行為關聯性的分析方法，來偵測區域網路內Botnet活動的網路行為特徵。從研究上我們發現病毒本身的特徵容易變化，但病毒的網路活動行為特徵卻不容易改變，也就是說即使特徵改變了但行為特徵並未隨特徵碼改變。因此本論文使用網路行為關聯性來分析出Botnet行為特徵，同時採用本論文所設計的偵測機制來偵測區域網路內的Botnet活動。

摘要(英)

Along with the flourishing development of Internet, many network crimes and malicious attacking activities base on Botnet become a major issue in network security. The Botnet can be either one of backdoors, Trojan horses, and worms or a new form of malicious code that combines those three types. Therefore, it is hard to be detected. The existing researches of detecting method have their own advantages and disadvantages.
In order to detect Botnet effectively, we build up an emulable network environment to observe real Botnet activities, and divide the life cycle of Botnet into four different stages to simulate and observe behaviors of its activities. In the same time, we use the correlation of network behavior to detect Botnet activities and their characteristics in LAN network. Eventfully, we found that even the binary code of bot is changed easily, the characteristics of its network behavior is not easy to change. In other words, the change of characteristics doesn’t always come along with the change of bot code. In this research, we analyze the characteristic of Botnet by using correlation of network behavior and using the detection scheme we designed to detect the Botnet activities in LAN network.

關鍵字(中)

★ 網路行為
★ 偵測方法
★ 僵屍網路

關鍵字(英)

★ the method of the Botnet detection
★ Network behavior
★ Botnet

論文目次

中文摘要 I
英文摘要 II
致謝 III
目錄 IV
圖目錄 VI
表目錄 VIII
第一章序論 1
1.1 研究背景 1
1.2 研究動機 2
1.3 研究目的 3
1.4 論文架構 3
第二章相關背景及研究 5
2.1 僵屍電腦（bot）與僵屍網路（Botnet） 5
2.1.1 Botnet的發展 5
2.1.2 Botnet的特性與感染 6
2.1.3 Botnet所造成的危害 5
2.1.4 Botnet相關名詞解說 6
2.2 Botnet的網路拓撲架構與通訊協定 10
2.2.1 Botnet網路拓撲架構 10
2.2.2 通訊協定 12
2.3 IRC Botnet 14
2.3.1 什麼是IRC Botnet 14
2.3.2 IRC Botnet活動方式 14
2.3.3 IRC Botnet生命週期 15
2.4 相關研究 17
2.4.1 偵測方法 17
第三章 IRC Botnet生命週期行為觀察與流量分析 21
3.1 IRC Botnet行為觀察架構介紹 22
3.2 IRC bot感染及控制過程 24
3.2.1 Bots感染於電腦中的行為模式 25
3.2.2 Bots感染後聯繫C&C Server行為模式 28
3.2.3 Botmaster控制bots下達攻擊指令 29
3.3 網路流量分析 32
3.3.1 環境說明 32
3.3.2 從網路流量來看Botnet 33
3.4 結語 35
第四章偵測方法與系統設計 36
4.1 網路流量行為關連性 37
4.1.1 分析流程架構說明 37
4.1.2 流量行為關連性 37
4.2 Botnet的網路行為 41
4.2.1 人為流量與bots流量 42
4.2.2 回應性 43
4.2.3 同質性 45
4.2.4 流量週期性 47
4.2.5 潛伏性 50
4.3 行為關連性分析結果 50
4.4 系統設計架構 51
4.5 系統運作機制 52
4.5.1 系統各功能模組介紹 52
4.5.2 系統偵測流程 55
4.6 結語 57
第五章實驗分析與實驗結果 58
5.1 偵測實驗分析 58
5.1.1 偵測系統偵測到Botnet活動行為 58
5.1.2 偵測系統偵測到正常流量 61
5.2 實驗數據分析 62
5.2.1 Botnet活動行為偵測結果數據分析 62
5.2.2 Human活動行為偵測結果數據分析 67
5.2.3 偵測方法比較 69
5.3 實驗結果 70
第六章結論與未來工作 71
6.1 結論 71
6.2 未來工作 71
參考文獻 73
附錄 75

參考文獻

[1] Nicole Immorlica, Kamal Jain, Mohammad Mahdian, and Kunal Talwar,“Click Fraud Resistant Methods for Learning Click-Through Rates.”Lecture Notes In Computer Science. Springer-Verlag,New York, 34–45
[2] Evan Cooke, Farnam Jahanian, Danny McPherson,“The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets.”In Usenix Workshop on Steps to Reducing Unwanted Traffic on the Internet , June 2005
[3] J Oikarinen, and D Reed,“Internet relay chat protocol.” RFC 1459, 1993
[4] Damballa, http://www.damballa.com/
[5] http://en.wikipedia.org/wiki/Botnet
[6] Bailey M, Cooke E, Jahanian F, Yunjing Xu, Karir M, “A Survey of Botnet Technology and Defenses.” 3-4 MIRCh 2009, Page(s):299 - 304
[7] http://www.runpc.com.tw/content/main_content.aspx?mgo=185&fid=G03
[8] Zhaosheng Zhu, Guohan Lu, Yan Chen, Zhi Judy Fu,Phil Reberts, and Keesook Han,“Botnet Research Survey. ” 2008 32nd Annual IEEE International Computer Software and Applications Conference
[9] Guofei Gu, Junjie Zhang, and Wenke Lee,“BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic.”Security Conference 2008
[10] Kugisaki Y, Kasahara Y, Hori Y, Sakurai K,“Bot Detection Based on Traffic Analysis.”11-13 Oc. 2007, Page(s):303–306
[11] Shahrestani A, Ramadass S, Feily M,“A survey of Botnet and Botnetm Detection.”18-23 June 2009, Page(s):268 -273
[12] The Honeynet Project, http://www.honeynet.org/
[13] Basil AsSadhan, José M F, Moura, David Lapsley, Christine Jones, and W Timothy Strayer,“Detecting Botnets using Command and Control Traffic.”
[14] Wang Ping, Wang Jung-hsiang, Su Hao-Yi, Yen Po-Chang, Kuo Pu-Tsn,“僵屍網路的感染途徑重建與分析.”TANET 2008 臺灣網際網路研討會, Oc. 2008
[15] Mazzariello C,“IRC Traffic Analysis for Botnet Detection.”8-10 Sept. 2008, Page(s):318 – 323
[16] The IDS Snort,URL,
http://www.snort.org/dl/binaries/win32/
[17] Katsumi Ono,Isamu Kawaishi,Toshihiko Kamon,“Trend of Botnet Activities.”2007
[18] The NAGIOS Project, http://www.nagios.org/
[19] Carl Livadas, Bob Walsh, David Lapsley and Tim Strayer,“Using Machine Learning Techniques to Identify Botnet Traffic,”In 2nd IEEE LCN Workshop on Network Security (WoNS'2006), 2006

指導教授

吳中實(Wu, Jung-Shyr)

審核日期

2010-7-21

推文