基于日志的僵尸网络攻击数据分析

作     者：朱涛 夏玲玲 李鹏辉 徐忠毅 ZHU Tao;XIA Lingling;LI Penghui;XU Zhongyi

作者机构：江苏警官学院计算机信息与网络安全系南京210031 北京奇虎科技有限公司北京100020 

基　　金：国家自然科学基金 江苏省教育科学“十四五”规划课题[C-c/2021/01/11] 江苏省高等教育学会“十四五”高等教育科学研究规划课题[YB074] 江苏警官学院高层次引进人才科研启动费资助项目[JSPIGKZ] 江苏省教育厅项目[2019SJA0443] 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2022年第22卷第10期

页      码：82-90页

摘      要：僵尸网络是近年来有组织进行黑客攻击的一种重要手段,其独特的攻击方式使数据具有不同于其他网络攻击手段的特点。文章基于采集的网络攻击报文,对僵尸网络攻击数据进行提取分析。首先,运用蜜罐域名服务代理技术构建网络攻击日志分析系统,并设计攻击日志文件的存储格式;然后,通过多种密文鉴别方法实现网络攻击明文的清洗提取,并根据僵尸网络攻击行为不同于网络扫描和黑客攻击的特点,提取僵尸网络的攻击数据,同时运用正则匹配方式发现僵尸网络攻击数据中包含5种类型的特定关键词,通过构建字符串库方式提高对僵尸网络的识别效率;最后,基于僵尸网络攻击数据选取特定聚类特征,运用两阶段聚类算法进行分析。实验结果表明,僵尸网络攻击具有端口偏向性特点,病毒下载是僵尸网络攻击展开的重要手段之一,特定端口攻击的属性数据分布明显不同于其他端口,选取的属性中除了与发送包大小相关的4个属性外,大多具有较强的聚类区分能力,可以作为进一步智能分析的重要特征。

主 题 词：僵尸网络 日志 两阶段聚类 聚类特征 

学科分类：08[工学] 0839[0839] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.3969/j.issn.1671-1122.2022.10.012

馆 藏 号：203115514...