两阶段P2P僵尸网络检测：流相似性与随机森林方法

本文主要探讨了"基于流相似性的两阶段P2P僵尸网络检测方法"，发表在2017年11月的电子科技大学学报上，作者包括牛伟纳、张小松、孙恩博、杨国武和赵凌园。他们来自电子科技大学网络空间安全研究中心和计算机科学与工程学院，地址位于成都市。 僵尸网络已经成为网络安全领域的一大挑战，主要通过蠕虫、木马和rootkit等工具进行分布式拒绝服务攻击、传播恶意链接和提供非法服务。P2P（点对点）僵尸网络因其去中心化和分布式的特性，使得传统的检测方法如IRC和HTTP僵尸网络相比更为复杂，难以有效识别。 文章提出了一种创新的两阶段流量分类方法来解决这一难题。首先，阶段一采用了知名的端口分析、DNS查询检查、流量计数和端口判断策略，以过滤掉非P2P的网络流量，减少后续处理的噪音。这种方法能够有效地识别出正常网络行为与异常P2P通信模式之间的差异。 第二阶段，文章重点转向数据流特征提取和流相似性分析。通过对P2P会话的深入分析，提取出关键的会话特征，这些特征能够反映出僵尸网络特有的通信模式和行为模式。流相似性则是用来比较不同会话之间的特征，以发现可能的僵尸网络活动。 最终，作者利用UNBISCX僵尸网络数据集对该方法进行了实证验证。实验结果显示，这种两阶段的检测方法相较于传统的P2P僵尸网络检测技术，显著提高了检测的准确率。其优势在于能够更精细地识别异常流量，并且在处理大规模、动态变化的P2P网络中表现出了更强的鲁棒性和适应性。 关键词包括：僵尸网络检测、会话特征、流相似性、P2P流量识别。这些关键词反映了文章的核心技术路线和研究重点，强调了该方法在对抗P2P僵尸网络威胁方面的创新性和有效性。这篇论文对于网络安全研究人员和实践者来说，提供了有价值的新思路和技术手段，对于提升网络安全防护水平具有重要意义。