透過封包分析偵測並瓦解僵屍網路

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：16

、訪客IP：3.144.31.86

姓名

陳天豪(Tian-Hao Chen) 查詢紙本館藏

畢業系所

資訊工程學系

論文名稱

透過封包分析偵測並瓦解僵屍網路
(Botnet Detection and Collapse based on Traffic Analysis)

相關論文

★ 整合多樣配置組態下的藍芽射頻驗證系統	★ 具檔案敘述相關語查詢之智慧型檔案搜尋系統
★ 具遲到者支援功能之網際網路簡報系統	★ 以快速廣播法建構熱門視訊隨選服務伺服器
★ 具事件同步再現特性之遠程電傳展示伺服器	★ 無線網路環境下之廣播資訊快速下載
★ 中文網站繁簡互訪協助系統	★ 支援時光平移播放之調適性現場直播演算法
★ 用於互動式廣播之段落對齊法	★ 熱門影片廣播法之影片區段復原機制
★ 配合熱門影片廣播的本地伺服器高效快取法	★ 一個增進SIP在防火牆環境中應用的協同模組
★ 考量網頁熱門度之一致性雜湊法解決網頁代理伺服器之負載平衡	★ 以網域名稱伺服器為基礎之色情網站過濾系統
★ 使用熱門廣播法及支援點對點傳輸之影音內容傳遞網路	★ 變動頻寬平滑化之熱門廣播演算法

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

現今的電腦網路安全正面臨到木馬、蠕蟲、分散式阻斷服務攻擊與廣告釣魚信件的威脅，而在背後支撐起這些恐怖力量的正是Botnet，也就是所謂的僵屍網路。
僵屍網路是由傳統的惡意程式進化來的新型態攻擊方式，特色在於提供了攻擊者隱密、有彈性且能夠一對多的操控僵屍進行任務。僵屍網路主要是透過IRC 通訊協定來做溝通，本文便以IRC的Botnet病毒為研究重心，透過域名轉向技術將中了僵屍網路病毒的電腦匯集在一起，阻斷與駭客之間的聯繫，再配合封包解析把控制僵屍的方法找出，以協助這些被駭客操控的電腦解毒。實驗結果證實我們的方法可行，不但成功將的把中了僵屍病毒的電腦匯集起來，還找到了協助他們解毒的辦法。

摘要(英)

A group of bots, referred to as a botnet, is remotely controllable by a server and can be used for sending spam mails, stealing personal information, and launching DDoS attacks. Botnets are evolved from malicious program, its features are providing the attacker secret, flexibility and very powerful capability.
IRC is the most common botnet commend and control mechanism because it is scalable and easy to hide within. So in this paper, we focus on the IRC-based virus, using DNS hijacking technology to converge computers infected with botnet virus, this way is to monopolize the connection between hackers. Then figure out hackers how to control bots via traffic analysis. Our results show that bots traffic can be filtering and redirection, and we also can give bot client assistance in clean virus up.

關鍵字(中)

★ 網際網路中繼聊天
★ 僵屍
★ 僵屍網路
★ 域名轉向
★ 網路安全

關鍵字(英)

★ IRC
★ bot
★ botnet
★ DNS hijacking
★ network security

論文目次

中文摘要 I
AbstractII
誌謝III
圖目錄VI
表目錄VII
第一章緒論1
1.1 研究背景1
1.2 研究動機2
1.3 論文架構2
第二章相關研究 3
2.1 什麼是INTERNET RELAY CHAT：IRC3
2.2 BOTNET4
2.3 預防技術7
2.3.1 利用監測DNS 封包的Group Activities 來偵測僵屍網路7
2.3.2 以機器自我學習技術來識別僵屍網路封包9
2.3.3 基於DNS 通信數據挖掘的Botnet 檢測方法研9
2.4 總結11
第三章系統設計12
3.1 電腦受IRC-BASED 病毒感染流程12
3.2 系統架構14
3.3 運作流程18
第四章系統實驗與分析19
4.1 實驗環境19
4.1.1 蜜網 ( Honeynet)19
4.1.2 IRC 伺服器 19
4.1.3 閘道路由器 ( gateway )19
4.2 病毒解析 20
4.3 封包過濾與轉向25
4.4 解毒控制 26
4.5 實驗結果30
4.6 實驗討論31
第五章結論與未來工作33
參考文獻34

參考文獻

[1]J. Oikarinen and D. Reed, “Internet relay chat protocol.” RFC 1459, 1993.
[2]Evan Cooke, Farnam Jahanian, Danny McPherson, “The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets. ” In Usenix Workshop on Steps to Reducing Unwanted Traffic on the Internet , June 2005.
[3]Nicole Immorlica, Kamal Jain, Mohammad Mahdian, and Kunal Talwar, “Click Fraud Resistant Methods for Learning Click-Through Rates.”Lecture Notes In Computer Science. Springer-Verlag, New York, 34–45.
[4]M. Overton, “Bots and botnets,” in Virus Bulletin 2005, Oct 2005.
[5]Damballa,http://www.damballa.com/
[6]C. Kalt, “Internet Relay Chat: Architecture.” RFC 2810, 2000
[7]Moheeb Abu Rajab, Jay Zarfoss, Fabian Monrose and Andreas Terzis, ”A Multifaceted Approach to Understanding the Botnet Phenomenon,” In IMC’06, October 25–27, 2006, Rio de Janeiro, Brazil
[8]Hyunsang Choi, Hanwoo Lee, Heejo Lee and Hyogon Kim, ” Botnet Detection by Monitoring Group Activities in DNS Traffic,” in Proc. 7th IEEE International Conference on Computer and Information Technology, 2007, pp. 715–720.
[9]Carl Livadas, Bob Walsh, David Lapsley and Tim Strayer, “Using Machine Learning Techniques to Identify Botnet Traffic,” In 2nd IEEE LCN Workshop on Network Security (WoNS'2006), 2006.
[10]涂浩,李之棠和周麗娟,"基於DNS通信數據挖掘的Botnet檢測方法研究,"發表在廈門大學核心期刊學報(自然科學版), 2007年第z2期
[11]W. W. Cohen, “Fast effective rule induction. In ICML,” pages 115-123, 1995.
[12]ThreatExpert , http://www.threatexpert.com/
[13]Craig Schiller and Jim Binkley, “ Botnets：The Killer Web App.”Syngress 2006.

指導教授

曾黎明(Li-Ming Tseng)

審核日期

2009-1-20

推文