论文总字数:30654字
摘 要
DTS中Camp;C流量获取子系统的设计与实现
王力丁伟
东南大学计算机科学与工程学院、软件学院
本论文主要介绍基于NBOS系统(Network Behavior Observation System)的DDoS攻击检测功能提供的僵尸主机的攻击行为和IPTAS采集系统提供的全报文采集功能,设计并实现的DTS系统(DDoS Tracking System)。DTS系统的主要功能是在定位僵尸主机的控制器(Botmaster)的同时,获取Camp;C流量。该系统由分析参数支持子系统、Camp;C流量获取子系统和流量采集子系统三个部分构成,本论文完成Camp;C流量获取子系统的设计与实现,它是DTS系统中最重要的子系统,支持最核心功能的实现。这些功能包括定位僵尸控制器和提取Camp;C流量样本等。
本论文首先对僵尸网络、DDoS攻击、NBOS系统中DDoS攻击检测模块以及DTS系统做了简要介绍,阐述了设计完成DTS系统的目的。接着,介绍了实现Camp;C流量获取子系统需要使用的两个基础工具:packet包数据解析原理和僵尸控制器检测规则。然后,给出了系统的总体设计到系统的详细设计方案,体现了实现Camp;C流量获取子系统的具体设计思路。在对实现环节的介绍之后,结合实现系统中遇到的问题,以及对系统获取结果的分析,给出了工作总结和对后续工作的展望。
【关键字】僵尸网络 僵尸控制器Camp;C流量规则分析NBOS
Abstract
Design and Realize of the Control amp; Command Flow Collection Subsystem of
theDDoS Tracking System
Li Wang Wei Ding
College of computer science and Engineering,Software Engineering,
the Southeast University
The primary work of this paper is to introduce thedesign and realize of the DDoS Tracking System (DTS), which depends on the DDoS detection function supported by Network Behavior Observation System (NBOS) and full packet capture function supported by IPTAS capture system. The main function of DTS is to find the Botmaster and collect the related Camp;C Flow. DTS is consist of three parts: Parameters Analysis Subsystem, Camp;C Flow Collection Subsystem and Flow Capture Subsystem. This paper mainly finished the design and realize of the Camp;C Flow Colleciton Subsystem, which is the most important part of the DTS and support the core functions. These functions include finding botmasters and collect Camp;C Flow and so on.
At the beginning of the paper, there are the introductions of the Botnet, the DDoS attack, the DDoS detection module of NBOS and the structure of DTS. Then, the paper introduces two of the main basic tools to realize the subsystem: the packet parsing principle and the rule of detecting botmaster. The most important content of this paper is the total design and detail design of the subsystem. After the introduction of realization, combined with the questions met in the developing and the analysis of the result, it shows us the summary of the complete work and presents the remaining work to be down in the future.
【key words】 Botnet, Botmaster, Camp;C Flow, Rule analysis, NBOS
目录
第1章绪论 6
1.1 引言 6
1.2 课题背景 6
1.2.1 僵尸网络 6
1.2.2 DDoS攻击 7
1.2.3 网络行为观测系统(NBOS)及DDoS攻击检测模块 7
1.2.4 DDoS追踪系统(DTS 系统) 11
1.3 课题的主要研究目标和研究内容 11
1.3.1 课题的主要研究目标 11
1.3.2 课题的主要研究内容 12
1.4 论文组织结构 12
第2章 DTS的僵尸检测规则 14
2.1 packet包数据解析原理 14
2.1.1 Packet 包头(16B)和Packet数据组成 14
2.1.2 IP首部和IP数据组成 15
2.1.3 TCP首部和TCP数据组成 15
2.1.4 UDP首部和UDP数据组成 16
2.2 DTS检测原理和过程 16
2.3 僵尸控制器检测规则 17
2.3.1 规则一 —— 基于内容的僵尸控制器检测规则 17
2.3.2 规则二 —— 基于行为的僵尸控制器检测规则 17
2.4 本章小结 18
第3章系统需求分析和总体设计 19
3.1 系统功能需求 19
3.2 系统角色及其功能分析 19
3.3 系统总体设计 19
3.3.1 子系统间接口设计 19
3.3.2 输入输出设计 22
3.3.3 子系统模块设计 22
3.4系统环境要求 22
3.5 本章小结 22
第4章系统的详细设计 23
4.1 数据库设计 23
4.1.1 系统配置参数表 23
4.1.2 系统接口数据表 23
4.1.3 系统内部处理表 24
4.1.4 系统结果存储表 25
4.2 系统的类的设计 25
4.2.1 DB类设计 25
4.2.2 SystemPara类设计 26
4.3 系统的流程设计 27
4.3.1 进程1——子系统交互进程 27
4.3.2 进程2——Camp;C流量分析进程 30
4.4 本章小结 33
第5章系统的实现 34
5.1 进程一实现时出现的文件读写冲突问题 34
5.1.1 问题描述 34
5.1.2 解决方法 34
5.2 msg解析问题 34
5.2.1 问题描述 34
5.2.2 解决方法 34
5.3 规则一的实现问题 35
5.3.1 问题描述 35
5.3.2 解决方法 36
5.4 规则二的实现问题 36
5.4.1 问题描述 36
5.4.2 解决方法 36
5.5 数据库中payload数据存储问题 37
5.5.1 问题描述 37
5.5.2 解决方法 37
5.6 本章小结 37
第6章系统的测试与结果分析 38
6.1 系统的测试 38
6.2 系统结果与分析 38
6.2.1 僵尸控制器检测结果 38
6.2.2 僵尸主机记录结果 38
6.2.3 僵尸控制器与僵尸主机对应关系 39
6.2.4 检测结果验证 39
6.2.5 系统的结果分析 41
6.3 本章小结 41
第7章总结与展望 42
7.1 工作总结 42
7.2 后续工作展望 42
致谢 43
参考文献 43
第1章绪论
1.1 引言
当今世界正处于信息化高速发展的时代,计算机网络技术在社会上的各个领域得到充分利用,我国乃至全世界大范围国家的家用、企业网络带宽逐年提高,带来网络访问速率的飞速提升。人们在享受计算机网络技术带来的工作、生活上的便利的同时,也需要提防计算机网络安全技术中存在的漏洞,以及这些漏洞造成的网络安全隐患。
在互联网应用快速发展的同时,计算机网络病毒也已经完成了从传播方式单一、运行机制原始的传统病毒(如木马、蠕虫等)到传播形式复杂、运行机制智能的以网络互连为基础的现代网络病毒的演化。僵尸网络作为现代网络病毒的典型代表,是一种从传统恶意代码形态进化而来的新型攻击方式,因为其能为攻击者提供隐匿、灵活且高效的一对多命令与控制(Camp;C),并实现通过控制大量僵尸主机进行信息窃取、分布式拒绝服务(DDoS)攻击和垃圾邮件发送等攻击的缘故,所以自出现以来,仅仅经历了短短的几年时间,就已经对网络安全形成了巨大的威胁。同时,僵尸网络正步入快速发展的时期,对互联网安全造成越来越大的危害。与此同时,对其进行检测和控制的研究也从来没有停止。
剩余内容已隐藏,请支付后下载全文,论文总字数:30654字
该课题毕业论文、开题报告、外文翻译、程序设计、图纸设计等资料可联系客服协助查找;
