高级搜索

基于流量时空特征的fast-flux僵尸网络检测方法

牛伟纳 蒋天宇 张小松 谢娇 张俊哲 赵振扉

引用本文: 牛伟纳, 蒋天宇, 张小松, 谢娇, 张俊哲, 赵振扉. 基于流量时空特征的fast-flux僵尸网络检测方法[J]. 电子与信息学报, doi: 10.11999/JEIT190724 shu
Citation:  Weina NIU, Tianyu JIANG, Xiaosong ZHANG, Jiao XIE, Junzhe ZHANG, Zhenfei ZHAO. Fast-flux Botnet Detection Method Based on Spatiotemporal Feature of Network Traffic[J]. Journal of Electronics and Information Technology, doi: 10.11999/JEIT190724 shu

基于流量时空特征的fast-flux僵尸网络检测方法

    作者简介: 牛伟纳: 女,1990年生,博士,讲师,研究方向为网络安全、软件安全、AI在网络安全安全中的应用;
    蒋天宇: 男,1995年生,硕士生,研究方向为网络安全、网络攻击检测;
    张小松: 男,1968年生,博士,教授,研究方向为大数据应用及安全、人工智能的应用与安全、移动计算安全、网络攻击的追踪溯源;
    谢娇: 女,1996年生,硕士生,研究方向为网络安全、网络攻击检测;
    张俊哲: 男,1997年生,本科生,研究方向为网络安全、网络攻击检测;
    赵振扉: 男,1991年生,硕士生,研究方向为网络安全、网络攻击检测
    通讯作者: 蒋天宇,johnsonzxs@uestc.edu.cn
  • 基金项目: 国家重点研发计划(2016QY06X1205, 2018YFB0804050),国家自然科学基金(61572115, U19A200503)

摘要: 僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。

English

    1. [1]

      OR K, RAVIV P, and GUY M. Digging deeper-an in-depth analysis of a fast flux network[EB/OL]. https://www.akamai.com/cn/zh/multimedia/documents/white-paper/digging-deeper-in-depth-analysis-of-fast-flux-network.pdf, 2017.

    2. [2]

      蒋鸿玲, 邵秀丽, 李耀芳. 基于MapReduce的僵尸网络在线检测算法[J]. 电子与信息学报, 2013, 35(7): 1732–1738.
      JIANG Hongling, SHAO Xiuli, and LI Yaofang. Online botnet detection algorithm using MapReduce[J]. Journal of Electronics &Information Technology, 2013, 35(7): 1732–1738.

    3. [3]

      ZANG Xiaodong, GONG Jian, MO Shaohuang, et al. Identifying fast-flux botnet with AGD names at the upper DNS hierarchy[J]. IEEE Access, 2018, 6: 69713–69727. doi: 10.1109/ACCESS.2018.2880884

    4. [4]

      AL-DUWAIRI B, AL-HAMMOURI A, ALDWAIRI M, et al. GFlux: A google-based system for Fast Flux detection[C]. Proceedings of 2015 IEEE Conference on Communications and Network Security (CNS), Florence, Italy, 2015: 755–756. doi: 10.1109/CNS.2015.7346920.

    5. [5]

      ALIEYAN K, ANBAR M, ALMOMANI A, et al. Botnets detecting attack based on DNS features[C]. Proceedings of 2018 International Arab Conference on Information Technology (ACIT), Werdanye, Lebanon, 2018: 1–4. doi: 10.1109/ACIT.2018.8672582.

    6. [6]

      ALMOMANI A. Fast-flux hunter: A system for filtering online fast-flux botnet[J]. Neural Computing and Applications, 2018, 29(7): 483–493. doi: 10.1007/s00521-016-2531-1

    7. [7]

      Al NAWASRAH A. Fast flux botnet detection based on adaptive dynamic evolving spiking neural network[D]. [Ph.D. dissertation], University of Salford, 2018.

    8. [8]

      JIANG Cibin and LI J S. Exploring global IP-usage patterns in fast-flux service networks[J]. Journal of Computers, 2017, 12(4): 371–380.

    9. [9]

      WANG Zhi, QIN Meilin, CHEN Mengqi, et al. Hiding fast flux botnet in plain email sight[C]. SecureComm 2017 International Workshops on Security and Privacy in Communication Networks, Niagara Falls, 2017: 182–197.

    10. [10]

      REIMERS A C, BRUGGEMAN F J, OLIVIER B G, et al. Fast flux module detection using matroid theory[J]. Journal of Computational Biology, 2015, 22(5): 414–424. doi: 10.1089/cmb.2014.0141

    11. [11]

      ERQUIAGA M J, CATANIA C, and GARCÍA S. Detecting DGA malware traffic through behavioral models[C]. Proceedings of 2016 IEEE Biennial Congress of Argentina (ARGENCON), Buenos Aires, Argentina, 2016: 1–6. doi: 10.1109/ARGENCON.2016.7585238.

    12. [12]

      TORABI S, BOUKHTOUTA A, ASSI C, et al. Detecting internet abuse by analyzing passive DNS traffic: A survey of implemented systems[J]. IEEE Communications Surveys & Tutorials, 2018, 20(4): 3389–3415. doi: 10.1109/COMST.2018.2849614

    13. [13]

      HSU F H, WANG C S, HSU C H, et al. Detect fast-flux domains through response time differences[J]. IEEE Journal on Selected Areas in Communications, 2014, 32(10): 1947–1956. doi: 10.1109/JSAC.2014.2358814

    14. [14]

      CELIK Z B and MCDANIEL P. Extending detection with privileged information via generalized distillation[C]. Proceedings of 2018 IEEE Security and Privacy Workshops (SPW), San Francisco, USA, 2018: 83–88. doi: 10.1109/SPW.2018.00021.

    15. [15]

      CHEN Wenlin, CHEN Yixin, and WEINBERGER K Q. Fast flux discriminant for large-scale sparse nonlinear classification[C]. Proceedings of the 20th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, New York, 2014: 621–630.

    16. [16]

      田生伟, 周兴发, 禹龙, 等. 基于双向LSTM的维吾尔语事件因果关系抽取[J]. 电子与信息学报, 2018, 40(1): 200–208. doi: 10.11999/JEIT170402
      TIAN Shengwei, ZHOU Xingfa, YU Long, et al. Causal relation extraction of Uyghur events based on bidirectional Long Short-term Memory model[J]. Journal of Electronics &Information Technology, 2018, 40(1): 200–208. doi: 10.11999/JEIT170402

    17. [17]

      CTU University. MCFP Dataset-Malware Capture facility project[EB/OL]. https://mcfp.weebly.com/mcfp-dataset.html, 2018. (未找到本条文献信息, 请核对)

    18. [18]

      University of Victoria. ISOT Botnet dataset[EB/OL]. https://www.uvic.ca/engineering/ece/isot/datasets/index.php, 2010.

    19. [19]

      LOMBARDO P, SAELI S, BISIO F, et al. Fast flux service network detection via data mining on passive DNS traffic[C]. Proceedings of the 21st International Conference on Information Security, Guildford, UK, 2018: 463–480. doi: 10.1007/978-3-319-99136-8_25.

    20. [20]

      CHAHAL P S and KHURANA S S. TempR: Application of stricture dependent intelligent classifier for fast flux domain detection[J]. International Journal of Computer Network and Information Security, 2016, 8(10): 37–44. doi: 10.5815/ijcnis.2016.10.05

  • 图 1  总体框架设计图

    图 2  模块预处理流程图

    图 3  正常流量和fast-flux流量的可视化结果

    图 4  Dense block设计

    图 5  DenseNet模型整体结构

    图 6  BiLSTM模型整体结构

    图 7  效果准确率对比

    图 8  效果精确率对比

    图 9  会话切割试验效果图

    图 10  流切割试验效果图

    图 11  图片大小试验结果

    图 12  准确率对比图

    图 13  召回率对比图

    图 14  精确度对比图

    表 3  数据集组成表

    数据来源
    数据类型
    CTU-13ISOT数据集自收集
    良性DNS流量513302874
    Fast-FluxDNS流量422940030
    下载: 导出CSV

    表 1  实验硬件环境参数表

    硬件具体参数
    服务器戴尔PowerEdge R730XD
    内存4个金士顿16 GB
    处理器2个英特尔E5-2630
    硬盘东芝2 TB
    下载: 导出CSV

    表 2  实验软件环境参数表

    软件版本
    操作系统Cenos7
    编译器IntelliJ Idea
    GCC5.2.1
    TensorFlow1.1.1
    下载: 导出CSV
  • 加载中
图(14)表(3)
计量
  • PDF下载量:  4
  • 文章访问数:  219
  • HTML全文浏览量:  669
文章相关
通讯作者: 陈斌, bchen63@163.com
  • 1. 

    沈阳化工大学材料科学与工程学院 沈阳 110142

  1. 本站搜索
  2. 百度学术搜索
  3. 万方数据库搜索
  4. CNKI搜索

/

返回文章