基于降噪自動編碼器的僵尸網絡檢測模型

肖 琦,徐文龍

(中國計量大學 信息工程學院,浙江 杭州 310018)

隨著互聯網服務的普及和活躍使得用戶數量的不斷增加,以致互聯網安全越來越受到重視。在諸多問題中,僵尸網絡已經成為其中最嚴重的威脅之一[1]。僵尸網絡是由一組被惡意軟件攻擊的主機組成,在遠程主機的控制下執行不同類型的攻擊活動,例如:發起分布式拒絕服務(DDoS)攻擊，竊取敏感信息，發送垃圾郵件等等[2]。僵尸網絡一般由三個組件構成,分別是受控主機、遠程主機和命令與控制(C&C)服務器。受控主機指被惡意軟件感染過的主機;遠程主機則是由擁有僵尸網絡并控制僵尸網絡的惡意操控者組成;命令與控制服務器用于建立操控者和受控主機之間的聯系,以便控制者順利開展相關惡意活動。

僵尸網絡的非法活動對很多組織或企業造成了重大損害和財務損失。在最近的一項調查中,1 000家被調查企業中有300家遭受了DDoS攻擊,65%的攻擊每小時造成高達1萬美元的損失。根據全球數據統計,中國成為遭受DDoS攻擊的重災區,每年承受DDoS攻擊數量占全球總量的百分之八十多[3]。由于這些損失,使僵尸網絡檢測受到了相當多的關注。因此,有效地檢測出僵尸網絡成為亟待解決的問題。

近年來,僵尸網絡檢測是的一個主要研究課題,學術界已經提出了不同的解決方案。大致可以分為五種:基于特征碼的檢測方法[4],基于異常的檢測方法[5-7],基于域名系統的檢測方法[8-10]和基于機器學習的檢測方法[11-12]。……