速變攻擊網絡研究.pdf

1、速變(Fast-Flux)是指短時間內將同一個域名映射到不同的網絡地址上。采用這一技術的網絡稱為速變網絡(Fast-Flux Service Network,FFSN)。這一技術最初被使用在大規(guī)模和重負荷的網絡上。然而,攻擊者也開始利用速變網絡去構建一些非法網絡,并隱藏真正的控制中心。該非法網絡稱為速變攻擊網絡(Fast-FluxAttack Network,FFAN)。由于良性速變網絡和速變攻擊網絡持有太多的共同點和相似點,現(xiàn)在還沒有

2、一個有效的方法可以分辨它們。
　　 本文從三個不同的層面觀察和分析了良性速變網絡和速變攻擊網絡,以找出有效的識別方案。論文主要做了以下的創(chuàng)新工作:
　　 (1)從DNS記錄的層面,本文對現(xiàn)實中的速變網絡進行了觀察。本文首先詳細介紹了現(xiàn)有的度量方法,然后使用部分數(shù)值化的度量方法,對現(xiàn)實中的良性速變網絡和速變攻擊網絡進行了度量和觀察,最后基于觀察結果給出了速變攻擊網絡的一些新趨勢和新變化。
　　 (2)從網絡節(jié)點服務

3、質量的層面,本文提出了一種新的識別速變攻擊網絡的方法。同以往的度量方法都關注于DNS記錄不同,該方法是基于網絡中節(jié)點的服務質量來判斷是否為速變攻擊網絡。該方法首先會對所有的網絡節(jié)點進行24小時的連續(xù)監(jiān)控,然后根據它們的服務狀態(tài)計算本文提出的兩個度量值,最后通過度量值結果判斷是否為速變攻擊網絡。
　　 (3)從服務內容的層面,本文總結了速變攻擊網絡主頁更新頻率的規(guī)律,并提出了一種基于字節(jié)頻率的惡意代碼變種檢測算法。速變攻擊網絡通常