当前位置:文档之家 › 僵尸网络检测研究

僵尸网络检测研究

  • 格式:pdf
  • 大小:1.19 MB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

僵尸网络检测研究

僵尸网络检测研究

僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。

其中,僵尸网络成为网络安全的一大威胁。

僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。

因此,僵尸网络的检测研究具有重要意义。

1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。

首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。

其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。

此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。

2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。

其中,基于网络流量的检测方法是较为常见的一种。

通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。

此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。

3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。

它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。

具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。

其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。

最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。

4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。

具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。

其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。

最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。

僵尸网络检测和防范研究

僵尸网络检测和防范研究
2 1 根 据 流 量 和 行 为 特 征 检 测 .
因此 , 识 和 研 究 僵 尸 网 络 是 当 前 网 络 与 信 息 安 全 保 认 本 文 讨 论 的 基 于 I C 协 议 的 僵 尸 网 络 中 , 尸 主 机 和 R 僵 障 工 作 的 一 个 重 要 课 题 , 必 要 建 立 长 效 机 制 , 其 进 行 长 控 制 端 的会 话 与 正 常 的 I C数 据 流 相 比 , 显 著 的差 异 , 有 对 R 有 僵 期 、 效 的处置 。 有 尸 主 机 的行 为 具 有 规 律 性 和 一 定 的持 续 性 。
1 僵 尸 网 络 的 结 构 和 工 作 原 理
特 征 1控 制 端 在 频 道 内对 所 有 的 僵 尸 主 机 发 送 广 播 命
2 0 年 网络 与信 息安 全技术 研讨 会上 , Nc R 05 c E T对 僵 令 , 要求 僵尸 主 机 执 行 同 一 条命 令 , 令 长度 短 于普 通 的 命 尸网络 的定 义为 : 尸 网络 是 指 攻击 者 利用 互 联 网秘 密 建 I C数 据 包 的 平 均 长 度 。 僵 R
件 , 起 了社 会 各 界 的 广 泛 关 注 。 据 国 家 计 算 机 网 络 应 急 引 交 易 的 一 部 分 。这 样 , 鱼 攻 击 者 、 客 、 圾 邮 件 制 造 者 钓 黑 垃
技术处理 协调 中心( 简称 c E Nc RT) 样 监测 统计 , 0 8年 和 病 毒 作 者 就 能 够 利 用 僵 尸 网络 销 售 信 息 和 服 务 。 抽 20 我 国境 内 感 染 僵 尸 网 络 控 制 端 的 I 址 为 1 8 5个 , 染 2 僵尸 网络 的追 踪和 防范 P地 ,2 感
立 的 可 以控 制 的 计 算 机 群 。其 组 成 通 常 包 括 被 植 入 “ 尸 ” 僵

中心式结构僵尸网络的检测方法研究

中心式结构僵尸网络的检测方法研究

中心式结构僵尸网络的检测方法研究近年来,在网络安全领域,中心式结构(centralized architecture)僵尸网络演化越来越快,给网络安全带来了严重威胁,同时也为中心式结构僵尸网络的检测提出了挑战。

因此,为了防范网络威胁,研究人员提出了识别和消灭中心式结构僵尸网络的方法,并在实际应用中取得了良好的效果。

一、中心式结构僵尸网络的基本特点中心式结构僵尸网络是一种典型的多层次组织结构,由命令控制中心(C&C)和大量受感染的僵尸主机组成。

在网络安全中,僵尸主机相当于受感染的计算机,攻击者可以通过C&C的控制,将这些主机组合成大规模的攻击工具,对目标系统进行攻击。

因此,中心式结构僵尸网络的基本特点在于其分布式机制更加复杂、隐藏性更高,为攻击者提供了更大的灵活性和可持续性。

二、中心式结构僵尸网络的检测方法在网络安全领域,中心式结构僵尸网络的检测方法主要分为三类,即基于端口、基于内容和基于行为的方式。

1、基于端口的检测方法:此类方法主要是基于端口扫描来检测中心式结构僵尸网络。

具体来说,通过检测网络上的特定端口来确定是否存在与C&C服务器进行连接的正常数据包。

如果发现网络上存在这些特定的数据包,就可以判断是否存在中心式结构的僵尸网络。

2、基于内容的检测方法:此类方法是基于网络数据包的内容来检测中心式结构僵尸网络。

具体来说,通过对数据包进行深度分析,检测数据包中的特征(如流量、协议、数据包大小等),来识别中心式结构的僵尸网络。

3、基于行为的检测方法:此类方法是基于网络上的行为特征来检测中心式结构僵尸网络。

具体来说,通过分析网络的流量、端口开放情况、访问频率等,来确定是否存在中心式结构的僵尸网络。

三、中心式结构僵尸网络的防御措施针对中心式结构僵尸网络,防御措施主要包括以下几个方面:1、加强网络安全防护:提高系统用户的安全意识,加强网络的安全性管理,尽可能降低网络受到攻击的风险。

2、尽早发现中心式结构僵尸网络:对网络中存在的中心式结构僵尸网络进行早期发现和拦截,防止其对网络进行大规模攻击。

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告

基于网络流量分析的僵尸网络在线检测技术的研究的开题报告一、选题背景和意义随着互联网技术的不断发展,网络安全问题也越来越受到重视。

其中,僵尸网络成为当前互联网中流行的一种安全威胁,它通过控制大量的“僵尸主机”(即受到攻击者控制的合法主机),对其他主机进行攻击或传播病毒、木马等恶意软件,对网络安全形成了较大威胁。

因此,如何快速、准确地检测僵尸网络成为当前亟待解决的问题。

通过对网络流量进行分析,可以精确地识别出存在的僵尸网络节点,进而快速采取防御措施,提升网络安全水平。

二、研究内容和目标本研究的主要内容是基于网络流量分析的僵尸网络在线检测技术研究。

具体包括以下几个方面:1. 僵尸网络的特征提取通过对网络流量进行分析,确定僵尸网络的行为特征,如通信模式、数据包大小、传输协议等。

2. 构建算法模型结合机器学习技术,设计合适的算法模型,对提取的特征进行分类处理,确定僵尸网络节点。

3. 实现在线检测系统在研究基础上,实现一个基于网络流量分析的僵尸网络在线检测系统,完成节点的实时识别和防御措施的应用。

三、研究方法和步骤本研究将采用以下步骤进行研究:1. 文献调查:回顾近年来关于网络流量分析和僵尸网络检测方面的相关文献和技术报告,对研究方向进行熟悉和理解。

2. 数据采集与预处理:通过网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。

3. 特征提取:根据分析网络流量数据中的特征,采用时间序列等算法技术,提取网络流量中的行为特征,如通信模式、数据包大小、传输协议等。

4. 数据分类:结合机器学习技术,将提取的特征交给算法模型进行分类处理,确定僵尸网络节点。

5. 系统实现:在确定的算法模型基础上,实现一个基于流量分析的僵尸网络在线检测系统,实现实时检测和防御功能。

四、研究进度安排1. 前期准备(1个月):熟悉相关文献和技术报告,确定研究方向和目标。

2. 数据采集和预处理(2个月):采用网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。

僵尸网络检测方法研究

僵尸网络检测方法研究
究尚处于起步阶段。
2 僵 尸 网络 的 结 构
僵尸网络主要由攻击者(o a e)僵尸主机(0) bt s r、 m t bt以
利益的驱动 , 僵尸网络得到迅速发展, 根据国家计算机网
络应急技术处理协调中心(N E T C 提交的 20 CCR/ ) C 06年度 报告, 研究人员在中国大陆发现大约 1 0 万台主机被安 0 0 装了僵尸软件【 可见僵尸网络已经成为互联网一个新的 1 】 ,
点 专 项 科 研 基 金 资 助 课 题 (0 4 5 8 3 20050 ) 4
安装恶意软件、 窃取用户机密信息等 , 一般而言, 僵尸主机 的行为不容易被主机用户所察觉。 命令与控制信道是攻击
维普资讯
硕 博 沦 文
者和僵尸主机的通信渠道 , 对整个僵尸网络的运作非常重 要,因此攻击者往往对命令和控制信道进行隐藏和保护,
论文
僵 尸 网络 检 测 方 法 研 究
陆伟 宙 。 顺 争 余
( 山大 学 电子 与通 信 工程 系 广 州 5 0 7 ) 中 1 2 5
僵 尸 网 络 是 指 由 黑 客 通 过 多 种 传 播 手 段 入 侵 并 控 制 的 主 机 组 成 的 网络 。僵 尸 网 络 是 各 种 恶 意 软 件 传 播 和 控 制 的 主要 来源 , 测 僵 尸 网络 对 于 网 络 安 全 非 常 重 要 。 本 文 首 先 介 绍 了 僵 尸 网络 检 的结 构 , 重 对 僵 尸 网 络 的命 令 与 控 制 信 道 进 行 了 讨 论 , 着 详 细 介 绍 了 基 于 主 机 信 息 的 、 着 接 基 于流量监 测的和基于对 等网络的僵尸 网络检测方法 , 进行 了比较和讨论 。 并
信息或者命令僵尸主机发动拒绝服务攻击等。 僵尸主机昕 命于攻击者, 平常处于空闲状态 , 单纯监听命令与控制信 道, 只有在接收到攻击者的命令才进行相应的操作。僵尸

僵尸网络检测技术的研究

僵尸网络检测技术的研究
M i oo ue A pi t n o. 8N . 2 1 c c mp tr p lai s 1 , o ,0 2 r c o V 2 2
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德

僵尸网络检测技术研究


的 、实时 的 特点 已 经成 为 当前 网络 中最 为普 遍使 用
的通信 方 式 。 由于具 有 广大 的用 户群 体 ,在僵 尸 网
络 发展 过程 中 ,I 议 业 已成为构 建 一对 多命 令 R C协
与 控 制 信 道 的 主 流 协 议 。 然 而 ,鉴 于 对 基 于 I C R
WA G Z og e , I Xn hn, U N Qu u N hn -m i YN i -cu Y A i -y
f D r } f O p  ̄ ,la Y# ag ce sSho 醯帅 喻 豫 . ad #2 20 # Ci . i } o Cl Ue g B # i uG # mahr colL ? # # n s 2 0 ,h m,
2 co lo Ifr #o E 2250 , h} S h o / n oma n er Y n h u u ie  ̄ ,Yn h u d gs j a 0g C /a:  ̄
5 T I # n# fL nuGn,L nu a# dns 2 0 6C/) h TGh/ mm o z Y e e # e n d zyn n,/gu2 2 0 .ha a g a n
tc n l i h hg er r eo t 、 lc o pe iu f rc s a d x esv d t poesn o te e hoo gy s e ih ro rp rs a k f rvo s oea t n e csie a a rc si t g f h Zo i nt r d tc in e h o g o mbe ewo k e e t t cn l y f s o o d n mi f a ue ; ls ,u y a c e tr s At a t s mmaie h t te WO meh d mut e o i d rz t a h t c os s b cmbn whc c n b te rd c te rc sig d t a d i r v te e ih a e tr e ue h p oesn a a n mpo e h

基于异常行为特征的僵尸网络检测方法研究

该模型分类提取 I C频道的主机响应信 息 ,结合检 测算法分析得 出结论 。实验 结果验证 了该模 型的有效性 。 R
关键词 僵 尸 网络 ;僵 尸 频 道 ;响 应 集 群 T 33 P9 文献标识码 A 文章编号 10 7 2 2 1 ) 1 0 o 0 7— 80(0 0 1 —19一 4
网络非 常重要 。比较有 特 点 的有 美 国哈佛 大 学 Ma n l a 等人提 出的基 于对 端 的快 速检 测算 法 和 英 国诺 丁汉
主机对控制命令的响应信息 ,进而分析一个频道是否
为僵 尸频 道 ,该方 法 的优 点是 不需要 先 验知识 。
1 基于异常行 为特征 的僵尸频道检测模型


2 U 年 弟 zj 罨 弟 UJ

E e t n c S i & T c . o . 5. 2 1 lc r i c. o e h /N v 1 00
基 于异 常行 为 特 征 的僵 尸 网络 检 测 方 法 研 究

摘 要
奇 ,何聚厚
( 陕西师范大学 计算机科学学院 ,陕西 西安 7 0 6 ) 10 2 基 于僵 尸网络通信及 网络流量的异常行为 ,可 以有效检测 出僵尸频道。介绍 了通过 对主机响应信 息的异 常分析 ,进 而判断 出当前 I C频道 是否为一个僵 尸频 道的检 测算 法。由此 引入 了基 于异 常行 为的僵尸频道检 测模 型, R
现有 的僵 尸 网络 检测算 法 主要针 对 IC协议 ,且 R 绝 大多数 是根据 网络流量 的相关 属性 分析 判 断 ,这 样 存在 较大 的局 限性 。
络 检测 方法 ,该方 法基 于 网络流检 测 ,提取 I C终端 R
件 。但由于被控制 计算机 的覆盖面广 、类 型复杂多

僵尸网络(botnet)检测技术研究


( 2 ) 通过聚类计算 , 很容 易将这 些具有相似特征 的流量记录聚 合成为 一类 ,且这个聚类 中包含的流量记录相对其它聚类来说明显 多很 多 。 ( 3 )这个 最大的聚类中所 有的源 I P地址,就是疑似参 与攻击
的地 址 。
( 4 )由于这些疑似参与攻击的 I P分别属于不 同区域甚 至是不 同运营商的网络, 需要将分布 在网络 各处的疑似参与攻击 的 I P地址 的流量记录在一起,再次对 目的 1 P地址进行聚合计算。计算 结果可 以得 到 一 组 同 时 与 这 些 疑 似 I P有 联 系 的 I P地 址 。 这组 I P地 址 就 是 高度疑似的控制主机地址 。 ( 5 )通过分 析,某些疑似控制主机可能是一些非常受欢 迎的网 站,排除掉这些合法的 I P地 址 , 剩 下 的 就 很 可 能 是控 制主 机 的 I P 地址 了。 ( 6 )对于步骤 4 ,还可 以疑似参与攻击的 I P作为 目的 I P , 对源 I P进 行 聚 合 计 算 ,也 可 以得 到 一 组 疑 似 控 制 主 机 I P地 址 。 1 . 2 基于 D N S流量 分 析 的检 测 方 法 无 论 是 哪 种 僵 尸 网 络 活 动 ,都 伴 随 着 大 量 的 D N S通 讯 异 常 。例 如 ,对 于 基 于 I R C的 僵 尸 网 络 , 会 伴 随 大 量 陌 生 怪 异 的 D N S查 询 。 在D N S日志中,可 以发现同一个 A 记录 ,在短时 间内有大量的重复 查 询 请 求 。僵 尸 网络 为 了逃 避 追 查 ,通 常 还 会 利 用 一 种 称 为 F a s t — F l u x网络的机制 。这种机制通过快速轮换 I P的方式,逃避对 控 制主机 的追查 。在 D N S通讯特 征上 ,就表现为 : ( 1 )一个域名,对应过 多的 I P地址 。 ( 2 )域 名记录 的 T T L极短 ,通常在 3 O分钟以内,远远低 于 4 8 小 时 的 通 常 情况 ,通 过 追 查 与 异 常 D N S通 讯 相 关 的 I P地 址 , 就 可 以 初步定位 僵尸主机。总之,对 D N S流量进行分析,也是僵 尸网络检 测的一个发力点 。 1 . 3 基 于诱 骗 系 统 和 流 量 检 测 系 统 的 僵 尸 网 络检 测 方 案 前人做 的工作 中,大部分 只针对 某一类僵尸网络有效,适用范 围较窄 。以往 的采用诱骗技术僵 尸网络 检测 方案,只单独 采用了蜜 罐或蜜 网系统 ,效果不 甚理想 。原因是这类攻击 诱骗系统 是被动检

基于异常行为监控的僵尸网络发现技术研究

专家新论本栏目由网御神州科技有限公司协办44赵佐,蔡皖东,田广利(西北工业大学计算机学院,陕西 西安 710072)【摘 要】僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。

论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。

【关键词】僵尸网络;异常行为特征;发现机制;监控规则【中图分类号】TP391 【文献标识码】A 【文章编号】1009-8054(2007) 09-0044-03Research on technology for Botnet Detection Based on Abnormal Behavior M onitoringZ H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i(S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i Õa n S h a n x i 710072, C h i n a )【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s基于异常行为监控的 僵尸网络发现技术研究*0 引言僵尸网络(Botnet)是指控制者和大量感染僵尸程序(Bot)主机之间形成一对多控制的网络,是近年来危害互联网的重大安全威胁之一。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国
本课题 获得 国家 自然科学基金 ( o o 7 0 7 与重庆市 自然科 学重 N . 839 ) 6 点基金( o S C 0 9 A O 9 资助。 N . T 20B 2 8 ) C
首先 , 攻击者通过在 网上散播蠕虫 、 木马等方式 来攻 陷多台普通的计算机( 即肉鸡 )并且建立一个 , 能够被其完全控制的命令发布节点 ,即图 l 所示的
道, 以便 对感 染 了僵 尸 程 序 (o 的计 算 机 由该 频 道 1t o)
其定义为 :僵尸程序是攻击者 为了链接 IC信道 R
络, 以发 动各 式各 样 的 网络攻 击行 为 。 由于僵 尸 网络 具 有 攻 击 节 点数 量 大 、 组 协 作 攻击 , 群 以及 控 制 者 隐 藏 度 较 高 的特 点 , 受到 了众 多黑 客 的青 睐 。僵 尸 网络 已经是 当今威
胁 互联 网安 全 的一个 严重 问题 。

。 。二 … … 一 - : t
僵 尸 网络检测研 究
龙人 杰 重 庆 邮电大 学移 动互联 网技术研 究所 研 究生 赵 国峰 重 庆 邮电大 学移 动互联 网技术研 究所 教授 李亚 兵 重庆 邮电大 学移 动互联 网技术研 究所 研 究生
僵尸网络 (o e) 由传统恶意代码形态 , bt t n 是 如计算机 病毒 、木马以及后门工具等发展而来的新型攻击方式 , 它 为攻击者提供了一个全新的攻击平 台。 攻击者通过一对多 的命令与控制信息 , 控制其所攻 占的计算机并组成僵尸网
等人在参考文献【 5 J 出一个较有通用性 的定义 : 中提
僵 尸 网络 是 能 够 被 攻 击 者 远 程 控 制 的 、被 攻 陷 计
算机所组成的网络 。 葛建伟等人在参考文献『 诸 6 1 中
提 出 了 一 个 相 对 于 上 述 描 述 更 加 完 备 的定 义 : 僵 尸 网络 是 攻 击 者 出 于 恶 意 目的 ,传 播 僵 尸 程 序 来
2 僵尸 网络 的工作机制
在 明 白了僵尸 网络 的定 义 之后 ,那 么僵尸 网络
到底是如何工作呢?有无什么规律可循呢?B r r ao fd 等人在参考文献【 7 J 中将僵尸网络 的工作机制分为七
3 僵尸 网络命令与控制机制
对于所有的僵尸网络而言 ,都具有命令与控制 信道即 c 信道( m ad n n ocan1 2 c m n d otl hne 。通过 o a c r ) 该信道 , 控制者能够对被他所控制的计算机发送 c 2 信息 , 即对僵尸主机进行实时控制 , 而僵尸主机的各 种信息( 所在地 、 在线与否 、 主机型号和所用操作系 统版 本 等)都将 通 过该 c 2信 道传 送 给控 制 者 。 S ae 在参考文献 t yr r 中提出通过寻找网络流量中的 命令与控制信息来查找僵尸 网络 , 该方法的主要思 想是 :由于 c 信息不 同于一般 的 I C聊天信息 , 2 R
由 僵 尸 程 序 通 过 IC协 议 所 组 成 的 网 络 ; ahr R B ce
并且能被远程控制 的客户端程序 ,而僵 尸网络是 I C服 务 器 中对 应 的 由黑 客所 建 立 的 特 定 I C频 R R 发布命令与控制信令(2 c 信息) 。
然 后 ,被感染 的计 算 机会 受僵 尸程 序所控 制 而
所 以可 以根 据 某 种 特征 来 识 别 它 们 ,比如 信 息 长
个方面 : 僵尸 网络的控制机制 、 主机控制机制 、 传播
机 制 、 肉鸡发 现机 制 、 播 机制 、 淆和欺 骗机 制 。 新 散 混 WeL i u等人 则在 参考 文 献【 8 】 出 了 I C僵 尸 网络 中给 R 的工 作机 制 。 文在 综合 前人 的基 础 上 , 出 了一个 本 给 更 通用 的 IC僵 尸 网络工 作 机制 的描述 , 为三 个 R 分
L  ̄
M STT
Oቤተ መጻሕፍቲ ባይዱ
.-....
_ . . . . . . —
Cb t 0 0 t e21. . … 一  ̄ …… …… …一 .











眦 洲
棚。 N
同时也在对其进 行着相应 的研 究 ,但是对僵尸 网
络 的 定 义则 各 自不 同 。 Mc ay在 参 考 文 献 【中将 C ̄ 1