基于局域网协作的僵尸主机检测技术研究

项目名称： 基于局域网协作的僵尸主机检测技术研究

项目编号： No.61170265

项目类型： 面上项目

立项/批准年度： 2012

项目学科： 自动化技术、计算机技术

项目作者： 李强

作者单位： 吉林大学

项目金额： 56万元

中文摘要： 恶意代码对现行网络安全造成了极其严重的威胁，僵尸作为一类重要的恶意代码，攻击形式更为隐蔽，攻击手段更为灵活和高效，造成的危害也更为严重。相对基于僵尸网络流量的检测不能从根本上清除僵尸网络的危害，基于单个僵尸主机的检测对于保护主机安全方面显得尤为具体和实际，然而，由于僵尸具有深度隐蔽、迅速更新和灵活通信的特点，对其检测的准确率、有效性还亟待提高。本项目提出基于局域网信息的僵尸主机检测技术研究，将紧密结合未知僵尸检测的目标本质，深度挖掘检测过程的特征。主要研究：基于主机和局部网络两种模式合作的单个主机僵尸检测技术，使主机检测系统掌握更多的全局关联信息，提高检测有效性；使用主机行为分层与警报关联的未知僵尸检测技术，降低检测误报率和漏报率；单个主机僵尸检测系统的开销优化技术，降低检测开销。最终目标是发现已知和未知僵尸，用于尽早清除其对主机的感染，防止其造成更大的破坏。

中文关键词： 僵尸；主机行为；异常检测；警报关联；

英文摘要：

英文关键词： Bot；host behavior；anomaly detection；alert correlation；