当前位置:文档之家 › 僵尸网络检测技术的研究

僵尸网络检测技术的研究

  • 格式:pdf
  • 大小:264.90 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

僵尸网络检测研究

僵尸网络检测研究

僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。

其中,僵尸网络成为网络安全的一大威胁。

僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。

因此,僵尸网络的检测研究具有重要意义。

1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。

首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。

其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。

此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。

2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。

其中,基于网络流量的检测方法是较为常见的一种。

通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。

此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。

3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。

它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。

具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。

其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。

最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。

4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。

具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。

其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。

最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。

僵尸网络检测和防范研究

僵尸网络检测和防范研究
2 1 根 据 流 量 和 行 为 特 征 检 测 .
因此 , 识 和 研 究 僵 尸 网 络 是 当 前 网 络 与 信 息 安 全 保 认 本 文 讨 论 的 基 于 I C 协 议 的 僵 尸 网 络 中 , 尸 主 机 和 R 僵 障 工 作 的 一 个 重 要 课 题 , 必 要 建 立 长 效 机 制 , 其 进 行 长 控 制 端 的会 话 与 正 常 的 I C数 据 流 相 比 , 显 著 的差 异 , 有 对 R 有 僵 期 、 效 的处置 。 有 尸 主 机 的行 为 具 有 规 律 性 和 一 定 的持 续 性 。
1 僵 尸 网 络 的 结 构 和 工 作 原 理
特 征 1控 制 端 在 频 道 内对 所 有 的 僵 尸 主 机 发 送 广 播 命
2 0 年 网络 与信 息安 全技术 研讨 会上 , Nc R 05 c E T对 僵 令 , 要求 僵尸 主 机 执 行 同 一 条命 令 , 令 长度 短 于普 通 的 命 尸网络 的定 义为 : 尸 网络 是 指 攻击 者 利用 互 联 网秘 密 建 I C数 据 包 的 平 均 长 度 。 僵 R
件 , 起 了社 会 各 界 的 广 泛 关 注 。 据 国 家 计 算 机 网 络 应 急 引 交 易 的 一 部 分 。这 样 , 鱼 攻 击 者 、 客 、 圾 邮 件 制 造 者 钓 黑 垃
技术处理 协调 中心( 简称 c E Nc RT) 样 监测 统计 , 0 8年 和 病 毒 作 者 就 能 够 利 用 僵 尸 网络 销 售 信 息 和 服 务 。 抽 20 我 国境 内 感 染 僵 尸 网 络 控 制 端 的 I 址 为 1 8 5个 , 染 2 僵尸 网络 的追 踪和 防范 P地 ,2 感
立 的 可 以控 制 的 计 算 机 群 。其 组 成 通 常 包 括 被 植 入 “ 尸 ” 僵

中心式结构僵尸网络的检测方法研究

中心式结构僵尸网络的检测方法研究

中心式结构僵尸网络的检测方法研究近年来,在网络安全领域,中心式结构(centralized architecture)僵尸网络演化越来越快,给网络安全带来了严重威胁,同时也为中心式结构僵尸网络的检测提出了挑战。

因此,为了防范网络威胁,研究人员提出了识别和消灭中心式结构僵尸网络的方法,并在实际应用中取得了良好的效果。

一、中心式结构僵尸网络的基本特点中心式结构僵尸网络是一种典型的多层次组织结构,由命令控制中心(C&C)和大量受感染的僵尸主机组成。

在网络安全中,僵尸主机相当于受感染的计算机,攻击者可以通过C&C的控制,将这些主机组合成大规模的攻击工具,对目标系统进行攻击。

因此,中心式结构僵尸网络的基本特点在于其分布式机制更加复杂、隐藏性更高,为攻击者提供了更大的灵活性和可持续性。

二、中心式结构僵尸网络的检测方法在网络安全领域,中心式结构僵尸网络的检测方法主要分为三类,即基于端口、基于内容和基于行为的方式。

1、基于端口的检测方法:此类方法主要是基于端口扫描来检测中心式结构僵尸网络。

具体来说,通过检测网络上的特定端口来确定是否存在与C&C服务器进行连接的正常数据包。

如果发现网络上存在这些特定的数据包,就可以判断是否存在中心式结构的僵尸网络。

2、基于内容的检测方法:此类方法是基于网络数据包的内容来检测中心式结构僵尸网络。

具体来说,通过对数据包进行深度分析,检测数据包中的特征(如流量、协议、数据包大小等),来识别中心式结构的僵尸网络。

3、基于行为的检测方法:此类方法是基于网络上的行为特征来检测中心式结构僵尸网络。

具体来说,通过分析网络的流量、端口开放情况、访问频率等,来确定是否存在中心式结构的僵尸网络。

三、中心式结构僵尸网络的防御措施针对中心式结构僵尸网络,防御措施主要包括以下几个方面:1、加强网络安全防护:提高系统用户的安全意识,加强网络的安全性管理,尽可能降低网络受到攻击的风险。

2、尽早发现中心式结构僵尸网络:对网络中存在的中心式结构僵尸网络进行早期发现和拦截,防止其对网络进行大规模攻击。

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告一、选题背景和意义随着互联网技术的不断发展,网络安全问题也越来越受到重视。

其中,僵尸网络成为当前互联网中流行的一种安全威胁,它通过控制大量的“僵尸主机”(即受到攻击者控制的合法主机),对其他主机进行攻击或传播病毒、木马等恶意软件,对网络安全形成了较大威胁。

因此,如何快速、准确地检测僵尸网络成为当前亟待解决的问题。

通过对网络流量进行分析,可以精确地识别出存在的僵尸网络节点,进而快速采取防御措施,提升网络安全水平。

二、研究内容和目标本研究的主要内容是基于网络流量分析的僵尸网络在线检测技术研究。

具体包括以下几个方面:1. 僵尸网络的特征提取通过对网络流量进行分析,确定僵尸网络的行为特征,如通信模式、数据包大小、传输协议等。

2. 构建算法模型结合机器学习技术,设计合适的算法模型,对提取的特征进行分类处理,确定僵尸网络节点。

3. 实现在线检测系统在研究基础上,实现一个基于网络流量分析的僵尸网络在线检测系统,完成节点的实时识别和防御措施的应用。

三、研究方法和步骤本研究将采用以下步骤进行研究:1. 文献调查:回顾近年来关于网络流量分析和僵尸网络检测方面的相关文献和技术报告,对研究方向进行熟悉和理解。

2. 数据采集与预处理:通过网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。

3. 特征提取:根据分析网络流量数据中的特征,采用时间序列等算法技术,提取网络流量中的行为特征,如通信模式、数据包大小、传输协议等。

4. 数据分类:结合机器学习技术,将提取的特征交给算法模型进行分类处理,确定僵尸网络节点。

5. 系统实现:在确定的算法模型基础上,实现一个基于流量分析的僵尸网络在线检测系统,实现实时检测和防御功能。

四、研究进度安排1. 前期准备(1个月):熟悉相关文献和技术报告,确定研究方向和目标。

2. 数据采集和预处理(2个月):采用网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。

僵尸程序网络行为分析及检测方法研究

僵尸程序网络行为分析及检测方法研究

华中科技大学硕士学位论文僵尸程序网络行为分析及检测方法研究姓名:冉俊秀申请学位级别:硕士专业:信息安全指导教师:李汉菊20090526华中科技大学硕士学位论文摘要僵尸网络是由多个被植入僵尸程序的主机构成,它往往被用以发起大规模的网络攻击,同时被植入僵尸程序的主机,其信息也面临被泄露的威胁。

无论是网络运行安全还是用户数据安全,僵尸网络都是巨大的安全隐患!因此,有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。

目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。

基于行为特征的检测技术能够比较精确的检测僵尸程序的活动,但是处理数据的能力有限;而基于流量特征的检测技术能够处理较大规模的数据量,但是存在较大的误报。

基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点,有效地检测在较大背景流量中活动的僵尸程序。

由于目前在僵尸程序代码的设计上存在结构化的特性,同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。

分析了僵尸程序的流特征,根据实验结果,设计出了基于轻量级有效载荷协议匹配算法。

然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。

基于以上分析,设计并实现了一个原型系统,系统主要包含了三个模块:网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。

为了检测网络中的僵尸活动,首先,网络流预处理模块对网络流量进行监控分析,通过白名单技术过滤掉正常网络流量;然后,使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包;最后,通过序列假设检验分析模块识别僵尸程序的活动。

为了进行验证,在局域网环境部署了多台有僵尸程序活动的主机,然后利用原型系统对获取的网络流量进行分析处理,分析结果表明能够对局域网内的僵尸活动进行有效检测。

关键词:僵尸程序,网络行为,基于轻量级有效载荷协议匹配算法,序贯概率比检验算法华中科技大学硕士学位论文AbstractBotnets are constituted by many hosts which are infected by bots. Botnets are always used for launching large scale network attack. Meanwhile, the infected hosts encounter the thread of information revelation. Botnets are serious hidden danger for both network running security and user data security. Thus, detecting botnets effectively is urgent for nowadays network management.Currently, research of botnet detecting is mainly focus on behavioral characteristics and flow characteristics. Behavioral characteristics based detecting technology can detect bots accurately, but its data processing ability is limited. Flow characteristics based detecting technology can process large scale data, but its false alarm rate is a little high. The method discussed in this paper combine the advantages of these two methods and can effectively detect botnet activities in large background trafic.Analyzing flow characteristics of Botnet, within the same botnet will likely demonstrate patial-temporal correlation and similarity because of the structured nature of Botnet. Design a protocol matching algorithm based on light-weight payload according to the experimental results. And then determine network behavior of bots using the sequential probability ratio test algorithm.Due to above research, A prototype system is designed and implemented, which contains three main modules: network flow preprocessing module, protocol matching module based on light-weight payload, and analysis module based on sequence probability ratio test algorithm. First of all, filter out known flow which can not be botnets flow through whitelist technology; Secondly, identify suspicious botnets C&C flow in the remaining flow by using the light-weight payload technology; Finally, identify bots activities by using sequential probability ration testing algorithms.In order to test and verify the method discussed in this paper, arrange several hosts containing bot activities, then analysis and process the captured network flow by using the prototype system. The result shows that the method can detect bot activities in LAN effectively.Keywords: bots, network behavior, protocol matching algothrim based on light weightpayload, sequential probability ratio tesing algorithm独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。

如何通过网络追踪追踪网络僵尸网络(六)

如何通过网络追踪追踪网络僵尸网络(六)

如何通过网络追踪网络僵尸网络网络僵尸网络(botnet)是指由大量受感染的计算机组成,被黑客操控用于发起有害网络行为的网络。

网络僵尸网络的存在对互联网的安全构成了巨大的威胁,因此,追踪和摧毁网络僵尸网络成为了网络安全专家们的重要任务之一。

本文将从技术手段和合作机制两个方面,探讨如何通过网络追踪和摧毁网络僵尸网络。

第一部分:技术手段一、主动追踪技术主动追踪技术是关键的网络僵尸网络追踪手段之一。

其中,监视网络数据流量是最常见的一种方式。

网络安全专家利用混合网络监测系统(Honeynet)和混合网络入侵检测系统(HIDS)等技术,对网络流量进行实时监测和分析,以发现和定位僵尸网络。

二、蜜罐技术蜜罐是一种为黑客提供的虚假系统或网络,它可以诱使黑客进行攻击,并将攻击行为记录下来以便分析。

网络僵尸网络追踪中,合理构建和部署蜜罐系统可以引诱黑客攻击,并获得与网络僵尸网络相关的重要信息,为进一步的追踪提供有力的依据。

第二部分:合作机制一、国际合作网络没有国界,网络安全更是一个全球性的问题。

只有通过国际合作,加强信息共享和技术交流,才能更有效地追踪和打击网络僵尸网络。

各国网络安全机构和企业应建立合作机制,共同开展网络僵尸网络追踪和防范工作,共同维护全球网络安全。

二、跨部门合作僵尸网络追踪和摧毁工作需要多个部门的协同配合。

网络安全机构、执法部门、通信运营商等各个部门之间应建立起有效的信息交流和合作机制。

只有各个环节的无缝衔接,才能确保网络僵尸网络的追踪工作顺利进行。

第三部分:挑战与展望网络僵尸网络具有隐蔽性和复杂性,追踪工作充满挑战。

首先,黑客对网络僵尸网络进行高度隐匿化处理,使得追踪工作更加困难。

其次,网络僵尸网络利用分布式技术,使得探测和追踪成为一项相当繁琐的工作。

最后,网络技术的不断发展,使得黑客手段日益先进,压力加大。

然而,面对这些挑战,我们仍然有理由对网络僵尸网络的追踪工作充满信心。

随着科技的进步,我们为确保网络安全所创造的技术手段也在不断发展完善。

僵尸网络检测方法研究

究尚处于起步阶段。
2 僵 尸 网络 的 结 构
僵尸网络主要由攻击者(o a e)僵尸主机(0) bt s r、 m t bt以
利益的驱动 , 僵尸网络得到迅速发展, 根据国家计算机网
络应急技术处理协调中心(N E T C 提交的 20 CCR/ ) C 06年度 报告, 研究人员在中国大陆发现大约 1 0 万台主机被安 0 0 装了僵尸软件【 可见僵尸网络已经成为互联网一个新的 1 】 ,
点 专 项 科 研 基 金 资 助 课 题 (0 4 5 8 3 20050 ) 4
安装恶意软件、 窃取用户机密信息等 , 一般而言, 僵尸主机 的行为不容易被主机用户所察觉。 命令与控制信道是攻击
维普资讯
硕 博 沦 文
者和僵尸主机的通信渠道 , 对整个僵尸网络的运作非常重 要,因此攻击者往往对命令和控制信道进行隐藏和保护,
论文
僵 尸 网络 检 测 方 法 研 究
陆伟 宙 。 顺 争 余
( 山大 学 电子 与通 信 工程 系 广 州 5 0 7 ) 中 1 2 5
僵 尸 网 络 是 指 由 黑 客 通 过 多 种 传 播 手 段 入 侵 并 控 制 的 主 机 组 成 的 网络 。僵 尸 网 络 是 各 种 恶 意 软 件 传 播 和 控 制 的 主要 来源 , 测 僵 尸 网络 对 于 网 络 安 全 非 常 重 要 。 本 文 首 先 介 绍 了 僵 尸 网络 检 的结 构 , 重 对 僵 尸 网 络 的命 令 与 控 制 信 道 进 行 了 讨 论 , 着 详 细 介 绍 了 基 于 主 机 信 息 的 、 着 接 基 于流量监 测的和基于对 等网络的僵尸 网络检测方法 , 进行 了比较和讨论 。 并
信息或者命令僵尸主机发动拒绝服务攻击等。 僵尸主机昕 命于攻击者, 平常处于空闲状态 , 单纯监听命令与控制信 道, 只有在接收到攻击者的命令才进行相应的操作。僵尸

基于关联分析的僵尸网络监测系统的研究与实现的开题报告

基于关联分析的僵尸网络监测系统的研究与实现的开题报告一、选题背景和意义:随着互联网技术的不断发展,网络攻击的形式和手段也越来越复杂和隐蔽,其中僵尸网络攻击被认为是一种较为普遍且危害较大的攻击方式。

僵尸网络攻击主要是通过将受害者电脑感染特定的恶意软件,使电脑成为攻击者的一部分,进而在攻击者的控制下进行网络攻击,例如扫描、DDos攻击等,严重危害了网络安全。

因此,针对僵尸网络的监测和防御是当前网络安全领域的重要研究方向。

传统的监测方法主要是基于事件或特征的检测,但这种方法容易受到攻击者的隐蔽等因素的影响,难以有效地检测僵尸网络活动。

而关联分析技术可以通过分析网络中的目标、通信行为和交互关系等多个因素,快速准确地探测僵尸网络活动。

目前国内外对于基于关联分析的僵尸网络监测系统研究较为成熟,但是有很多开源或商业的监测系统都需要付费或者配置复杂,因此,本文旨在研究和实现一款基于关联分析的僵尸网络监测系统,使其可以极大地提升网络安全。

二、研究内容和方法:本文的研究主要包括以下内容:1. 僵尸网络攻击类型的分类和特征的分析,为后续的关联分析提供支持;2. 关联分析算法的研究和比较,选出最优的算法;3. 基于关联分析的僵尸网络监测系统的设计和实现,包括数据采集、模型训练、网络流量分析和告警等模块;4. 对监测系统的性能进行测试和评估,包括准确率、召回率、误报率等。

本文的研究方法主要是理论分析与实践相结合。

首先进行理论分析,分析不同类型的僵尸网络攻击特征、关联分析算法的优劣,以及监测系统的设计方案。

然后在实践中进行系统的搭建和部署,同时通过实验对系统的性能进行测试和评估。

三、预期成果和创新点:通过本文的研究,将会实现一款基于关联分析的僵尸网络监测系统。

该系统具有以下预期成果和创新点:1. 实现一个准确率较高、误报率较低的僵尸网络监测系统,提高网络安全的保障能力;2. 利用关联分析技术快速准确地探测僵尸网络活动,提高监测的精度;3. 可以自动根据特定的设备环境和网络流量进行特征提取和建模,适应不同场景的使用;4. 新型的监测算法和监测思路,能够对现有防御系统进行补充和完善。

僵尸网络检测技术研究


的 、实时 的 特点 已 经成 为 当前 网络 中最 为普 遍使 用
的通信 方 式 。 由于具 有 广大 的用 户群 体 ,在僵 尸 网
络 发展 过程 中 ,I 议 业 已成为构 建 一对 多命 令 R C协
与 控 制 信 道 的 主 流 协 议 。 然 而 ,鉴 于 对 基 于 I C R
WA G Z og e , I Xn hn, U N Qu u N hn -m i YN i -cu Y A i -y
f D r } f O p  ̄ ,la Y# ag ce sSho 醯帅 喻 豫 . ad #2 20 # Ci . i } o Cl Ue g B # i uG # mahr colL ? # # n s 2 0 ,h m,
2 co lo Ifr #o E 2250 , h} S h o / n oma n er Y n h u u ie  ̄ ,Yn h u d gs j a 0g C /a:  ̄
5 T I # n# fL nuGn,L nu a# dns 2 0 6C/) h TGh/ mm o z Y e e # e n d zyn n,/gu2 2 0 .ha a g a n
tc n l i h hg er r eo t 、 lc o pe iu f rc s a d x esv d t poesn o te e hoo gy s e ih ro rp rs a k f rvo s oea t n e csie a a rc si t g f h Zo i nt r d tc in e h o g o mbe ewo k e e t t cn l y f s o o d n mi f a ue ; ls ,u y a c e tr s At a t s mmaie h t te WO meh d mut e o i d rz t a h t c os s b cmbn whc c n b te rd c te rc sig d t a d i r v te e ih a e tr e ue h p oesn a a n mpo e h

僵尸网络检测研究


的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
M i oo ue A pi t n o. 8N . 2 1 c c mp tr p lai s 1 , o ,0 2 r c o V 2 2
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德
息。 资料 表 明我 国 已成 为感 染僵 尸程 序 计 算机 数 量 最 多 的 国 家 ,且 这 些 计 算 机 多 数 是被 其 他 国 家 或 地 区 的 攻 击 者 所 控 制 , 究 僵 尸 网络 的识 别和 检 测 方法 进 而 降低 或 消 除僵 尸 网 研 络 的 威 胁 意 义 重 大 。 文 首 先 分 析 了僵 尸 网络 的 结 构和 工 作 本 原 理 , 后 着 重 对 僵 尸 网络 的检 测 从 机 理 、 法 、 在 问题 、 然 方 存
僵尸控制者( omat ) B t s r、僵尸主机( o) e B t、命令与控制服
务 器 ( &C S o C ,C mmad o t l ev r 同组 成 了僵 尸 网 n &C n o re) r S 共 络( on t B te 。僵 尸控制者是控 制整 个僵尸 网络 的攻击 者;僵 )
析,掌握 了它的相关特性。得 出应用快速通 量技术 的僵 尸网 络活动通常关联到多个域名 ,可 以在 I P地 址和 域名 的映射 关 系 的 基 础 上 ,使 用 集 合 论 的 方法 识别 这 种 僵 尸 网络 , 能 且 够根据攻击类 别进行分类 。
2 2 . P P僵 尸 网络 的 检 测 分 析 4 早 期 对僵 尸 网络 的研 究 主 要 集 中在 如 何 检 测 和 跟 踪 到 单 个 的僵 尸主 机 , 是 随 着 僵 尸 网 络采 用 协 议和 结构 的 复 杂 但 性 ,特 别 是采 用 P P协 议 之 后 ,僵 尸 网络 的隐 藏 性 和 破 坏 2 性 大 大 增 加 ,需要 对 僵 尸 网络 的行 为 、传 播 、 扑 结 构 等 方 拓 面 进 行 综 合研 究 , 僵 尸 网络 也 逐 渐 从 基 于 主机 特 征 的检 测 对 转 到 行 为 特 征 分 析 和 网 络流 量 监 测 等 方 面 。 数据 挖掘 技术 和
的关 系 , 得 出第 三 方 侦 查 , 自我 侦 查 以及 分 布 式侦 查三 种 并 方式 的查询特征。实验结果表明,该技术对早期的僵 尸程序
检测很有帮助 , 而且能够进行实时检测,有力支持了对僵 尸
网络 的反 制 ,但 在 误 报 率 方 面 需 要 改 进 。 Co h i等 人 提 出 了一 个 基 于 异 常 的僵 尸 网络 检测 机 制 , 通 过 监 控 DNS流 量 中 的组 群 行 为 进 行 检 测 。该 检 测 机 制 中 包 括 两 个 主 要 算 法 是 : 僵 尸 网络 D NS请 求 检 测 算 法 和僵 尸 网络 迁 移 检 测 算 法 , 是 对 D 都 NS流 量 中 的域 名 和 I 址进 P地 行 统 计 分 析 。 校 园 网上 进 行 的实 验 结 果 表 明当 僵 尸 程 序 连 在 接 命 令 与 控 制 服 务 器 或 者迁 移 到 其他 服 务 器 上 时 , 机 制 都 该

2 ・ 5
Mircmp tr p l ai s o 2 , o22 1 coo ue A pi t n 1 8N .,0 2 c o V .
研究 与设 计
微 型 电脑 应 用
21 年第 2 02 8卷 第 2期
制 信道 。这类 方 法通 常 的步 骤 是 过 滤 掉 不 必 要 的流 , 后 对 然 剩 余 的 可疑 流 进 行 分 析 , 找 可 能属 于 同一 个 僵 尸 网络 的 主 寻 机 ,最 后 确 定 中心 服 务 器 和 攻 击 者 。 中 比较 典 型 的 检 测 方 其 法有以下几种。 美 国研 究 员 Bi l 等人 提 出 了一 种 基 于 T P 扫 描 权 n e ky C
地 遏制僵尸网络。
关 键 词 :B te;B t on t o ;检 测 技 术 :遏 制 中 图分 类号 :T 3 1 Pl 文献 标 志 码 :A
0 引言
僵 尸网络是互 联 网上 受黑客集 中控制 的一群被僵 尸程 序感染 的计算机 , 攻击者可 以控制这些主机实现分布式拒绝 服务 、发送垃圾 邮件 、监 听网络流量 、记 录键 盘、扩散新的 恶意软件 、点击欺诈 、操控在线投票和游戏、从受控主机上 随意窃 取如银行账 户 的密码 、社会 保险号码 等所保存 的信
信息熵理论的引入 为网络流 量检测提供 了强有力 的分析工
具。
2. . 1基于 主机特征 的检测 4
基 于 主 机 特 征 的检 测 主 要 是 指 在 一 个 负 责 监 控 的主 机 内部 部 署 传 感 器用 来监 控 和 记 录 相 关 的系 统 事 件 , 僵 尸程 对
样 ,都是采用 【心服务器 的思想进行命令与控 制,但两者具 { 1 有 较 强 的个 性 化 差 异 。 Le e 等人依据恶意 H T T P僵尸程序是 以规律性的间隔反
僵 尸网络结构,如图 1 示: 所
④ 恶意 网站脚本 ,攻击者在提供 WE 服 务的网站 中 B 在 H ML 页 面 上 绑 定 恶 意 的脚 本 , 当访 问者 访 问这 些 网站 T
时 就 会 执 行 恶 意 脚本 ,使 得 B t 序 下 载 到 主 机 上 , 被 自 o程 并 动执行。
控 制 阶段 , 击 者 通 过 中 心 服 务器 发 送 预 先 定 义 好 的 控 攻
制指令 ,让被感染主机执行恶意行为 。
2 僵 尸 网络 的检 测
僵 尸 网 络 的检 测 技 术 按 其 检 测 信 息 的 来 源 可 分 为 蜜 罐 或 蜜 网 、网络 流 量 数 据 、 日志 以及 流 (t a 数 据 等 几 种 。 s em) r 按 检 测 针 对 生 命 周 期 的不 同阶 段 可 分 为 传 播 、感 染 、通 信 以
与控制服务器一般有一个或多个, 僵尸控制者通过控制这些 服务器来管理和控制僵尸主机 ; 僵尸主机随时可能被控 制者
利 用 发 动 各 种 各 样 的 网络 攻 击 。 l 僵 尸 网 络 的 工 作 机 理 _ 2 B te o t的 工 作 机 理 主 要 包 括 传 播 、 加 入 和 控 制 三 个 阶 n
传播 自身 ,从而使得接收者主机被感染成为僵尸主机 。 ③ 即时通信 软件 ,利 用即时通信软件 向好友列表发送 执行僵尸程序的链接,并通过社会 工程学技巧诱骗其点击,
从而进行感染。
发展方 向、新动 向等方面进行 了综述 。
1僵 尸 网络 的结构 及 内部工 作机 理
11僵 尸 网络 的 结 构 .
组也采用蜜 网等技术对僵尸程序进行捕获和追踪, 等人采 Gu 用 了 I 驱动的会话关联方法实现 了能够检测僵尸程序感 DS
染 的 B t ne 系 统 。 oHutr 22 T .HT P僵 尸 网络 的检 测 分 析 基 于 HT P 的僵 尸 网 络 虽 然 和 基 于 I C 的 僵 尸 网络 软件 ,在 网站、服 务器 、 FP 2 T 、P P网络中提供诱骗用户下载 并执行 。
加 入 阶段 , 一 个 被 感 染 主 机 都会 随着 隐藏 在 自身 上 的 每
Bt o 程序的发作而加入到 B te 中去, o t n 加入 的方式根据控制 方 式和 通 信 协 议 的不 同而 有 所 不 同 。
重的启发式异常检测算法 以检测 I C 僵尸 网络控制通信 , R 该方法能检测使用非标准端 口的 I C 流量 ,并 能确定僵尸 R 网 络 的 服 务器 , 并不 能 实 时检 测 , 只 能 检 测 使 用 明文 通 但 且
信 的 IC 流 量 , 其 权 重 也 是 依据 主机 是 否 进 行 扫 描 操 作 确 R 定 , 具 有一 定 的局 限性 。 Sryr 人 提 出 了一 种 基 于 机 器 学 习 的 I C 僵 尸 网络 t e等 a R 检 测 方 法 , 首先 通 过 贝叶 斯 等 方 法 对 I C流 量 和 非 I C 流 R R 量 进 行 区分 ,再 从 I C 流 量 中 区 分 正 常 的 I C 服 务 器 和 命 R R