基于sinkhole的僵尸网络检测技术的研究和实现
僵尸网络检测研究

僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。
其中,僵尸网络成为网络安全的一大威胁。
僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。
因此,僵尸网络的检测研究具有重要意义。
1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。
首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。
其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。
此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。
2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。
其中,基于网络流量的检测方法是较为常见的一种。
通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。
此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。
3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。
它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。
具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。
其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。
最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。
4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。
具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。
其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。
最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。
基于关联分析的僵尸网络监测系统的研究与实现的开题报告

基于关联分析的僵尸网络监测系统的研究与实现的开题报告一、选题背景和意义:随着互联网技术的不断发展,网络攻击的形式和手段也越来越复杂和隐蔽,其中僵尸网络攻击被认为是一种较为普遍且危害较大的攻击方式。
僵尸网络攻击主要是通过将受害者电脑感染特定的恶意软件,使电脑成为攻击者的一部分,进而在攻击者的控制下进行网络攻击,例如扫描、DDos攻击等,严重危害了网络安全。
因此,针对僵尸网络的监测和防御是当前网络安全领域的重要研究方向。
传统的监测方法主要是基于事件或特征的检测,但这种方法容易受到攻击者的隐蔽等因素的影响,难以有效地检测僵尸网络活动。
而关联分析技术可以通过分析网络中的目标、通信行为和交互关系等多个因素,快速准确地探测僵尸网络活动。
目前国内外对于基于关联分析的僵尸网络监测系统研究较为成熟,但是有很多开源或商业的监测系统都需要付费或者配置复杂,因此,本文旨在研究和实现一款基于关联分析的僵尸网络监测系统,使其可以极大地提升网络安全。
二、研究内容和方法:本文的研究主要包括以下内容:1. 僵尸网络攻击类型的分类和特征的分析,为后续的关联分析提供支持;2. 关联分析算法的研究和比较,选出最优的算法;3. 基于关联分析的僵尸网络监测系统的设计和实现,包括数据采集、模型训练、网络流量分析和告警等模块;4. 对监测系统的性能进行测试和评估,包括准确率、召回率、误报率等。
本文的研究方法主要是理论分析与实践相结合。
首先进行理论分析,分析不同类型的僵尸网络攻击特征、关联分析算法的优劣,以及监测系统的设计方案。
然后在实践中进行系统的搭建和部署,同时通过实验对系统的性能进行测试和评估。
三、预期成果和创新点:通过本文的研究,将会实现一款基于关联分析的僵尸网络监测系统。
该系统具有以下预期成果和创新点:1. 实现一个准确率较高、误报率较低的僵尸网络监测系统,提高网络安全的保障能力;2. 利用关联分析技术快速准确地探测僵尸网络活动,提高监测的精度;3. 可以自动根据特定的设备环境和网络流量进行特征提取和建模,适应不同场景的使用;4. 新型的监测算法和监测思路,能够对现有防御系统进行补充和完善。
基于P2P僵尸网络检测系统的设计与实现

响下 阶段检 测的流 量 、 过滤 出来 的 S MT P流量 、 使用 固定 端
口的 P 2 P 流量 、 剩余流量 ;
4 .P 2 P 僵尸 网络检测方法
目前 , 针对 P 2 P僵 尸 网 络 的 检 测 方 法 主 要 有 两 种 : 一 是
( 3 ) 剩余流量通过应 用层特征检测和流 量特 征检测进 一 步识别出其中的 P 2 P 流 量; ( 4 ) 对所 有识别出来的 P 2 P流量进行 P 2 P流量特征聚类 ,
网络 。
基于主机行 为的检测方法跟传统 的恶 意代码 检测类似 ,
对 僵 尸 程 序 的 可 疑 行 为 进 行 检 测 。I R C僵 尸 网 络 和 H T T P僵 尸 网络 属 于 集 中 式 僵 尸 网 络 , 而P 2 P 僵 尸 网 络 属 于 分 布 式僵
尸 网络 , 在 规模 上后 者一般 比前者小 , 控制 时效性 不 高, 但 P 2 P僵尸 网络 没有固定 的中心服务器 , 可 以有 效克服集 中式 僵尸 网络单 点失效的致命弱点 , 在控制 、 传播 、 生存等方 面与
记 录 僵 尸 程 序 的可 疑 活 动 行 为 ; 后者是通过分 析P 2 P 僵 尸 网
络通信行 为在 网络层面表现 出来 的特征及 变化规律 , 并利用
这 些 特 征 来 判 断 网络 流 量 中是 否 存 在 P 2 P僵 尸 流 量 。 4 . 1 基 于 主 机 行 为 的检 测 方 法
集 中式 僵 尸 网 络 相 比都 存 在 较 大 的 优 势 。 在 僵 尸 程 序 潜 伏 时期 , P 2 P 僵 尸 网络 融入 在 某 个 普 通 的 P 2 P网 络 中 , 使 僵 尸程 序 之 间 的通 信 隐 藏 于 正 常 的 P 2 P流 量 中 , 从 而 降低 了僵 尸 程 序被发现的概率 , 增 强 了 隐蔽 能力 。
僵尸网络检测技术的研究

文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德
僵尸网络检测技术研究

的 、实时 的 特点 已 经成 为 当前 网络 中最 为普 遍使 用
的通信 方 式 。 由于具 有 广大 的用 户群 体 ,在僵 尸 网
络 发展 过程 中 ,I 议 业 已成为构 建 一对 多命 令 R C协
与 控 制 信 道 的 主 流 协 议 。 然 而 ,鉴 于 对 基 于 I C R
WA G Z og e , I Xn hn, U N Qu u N hn -m i YN i -cu Y A i -y
f D r } f O p  ̄ ,la Y# ag ce sSho 醯帅 喻 豫 . ad #2 20 # Ci . i } o Cl Ue g B # i uG # mahr colL ? # # n s 2 0 ,h m,
2 co lo Ifr #o E 2250 , h} S h o / n oma n er Y n h u u ie  ̄ ,Yn h u d gs j a 0g C /a:  ̄
5 T I # n# fL nuGn,L nu a# dns 2 0 6C/) h TGh/ mm o z Y e e # e n d zyn n,/gu2 2 0 .ha a g a n
tc n l i h hg er r eo t 、 lc o pe iu f rc s a d x esv d t poesn o te e hoo gy s e ih ro rp rs a k f rvo s oea t n e csie a a rc si t g f h Zo i nt r d tc in e h o g o mbe ewo k e e t t cn l y f s o o d n mi f a ue ; ls ,u y a c e tr s At a t s mmaie h t te WO meh d mut e o i d rz t a h t c os s b cmbn whc c n b te rd c te rc sig d t a d i r v te e ih a e tr e ue h p oesn a a n mpo e h
基于增强学习的僵尸网络检测系统

基于增强学习的僵尸网络检测系统近年来,随着互联网的迅猛发展,僵尸网络对网络安全带来了巨大威胁。
为了有效应对僵尸网络的威胁,研究人员提出了许多网络检测系统。
本文将介绍一种基于增强学习的僵尸网络检测系统,并探讨其优势和问题。
一、引言随着互联网的广泛应用,人们越来越依赖于网络进行各种活动,网络安全问题也日益凸显。
僵尸网络是网络安全的头号威胁之一。
它利用潜在受害者计算机的安全漏洞,将其控制为一个被攻击者操纵的“僵尸”节点。
这些僵尸节点可以被用作发送恶意垃圾邮件、发起分布式拒绝服务攻击(DDoS)等非法活动。
为了及时检测和阻止僵尸网络的攻击,研究人员提出了各种僵尸网络检测系统。
二、基于增强学习的僵尸网络检测系统原理基于增强学习的僵尸网络检测系统是一种利用机器学习算法对网络流量进行分析和判定的系统。
它利用已知的正常行为和僵尸网络攻击行为的特征作为训练数据,通过训练模型来识别异常流量。
增强学习是一种通过智能体与环境的交互来学习最佳行为策略的机器学习方法。
在基于增强学习的僵尸网络检测系统中,智能体通过观察网络流量数据来了解环境,并采取相应的行动。
每次行动结束后,系统会给出一个奖励或惩罚,智能体通过这个反馈来调整策略,以达到最优的检测效果。
具体而言,基于增强学习的僵尸网络检测系统可以分为以下几个步骤:1. 数据采集:系统需要收集网络流量数据作为训练样本。
这些数据可以来自于现有的网络数据包捕获工具,如Wireshark等。
2. 特征提取:系统从采集到的网络流量数据中提取出各种特征,用于描述正常行为和僵尸网络攻击行为。
这些特征可以包括数据包大小、传输协议、源IP地址、目的IP地址等。
3. 模型训练:系统使用增强学习算法,如Q-learning、Deep Q Network等,对提取到的特征进行训练,以建立一个检测模型。
4. 流量检测:当新的流量进来时,系统将根据训练好的模型对其进行检测。
如果流量被判定为僵尸网络攻击,则采取相应措施进行拦截或隔离。
僵尸网络(botnet)检测技术研究

( 2 ) 通过聚类计算 , 很容 易将这 些具有相似特征 的流量记录聚 合成为 一类 ,且这个聚类 中包含的流量记录相对其它聚类来说明显 多很 多 。 ( 3 )这个 最大的聚类中所 有的源 I P地址,就是疑似参 与攻击
的地 址 。
( 4 )由于这些疑似参与攻击的 I P分别属于不 同区域甚 至是不 同运营商的网络, 需要将分布 在网络 各处的疑似参与攻击 的 I P地址 的流量记录在一起,再次对 目的 1 P地址进行聚合计算。计算 结果可 以得 到 一 组 同 时 与 这 些 疑 似 I P有 联 系 的 I P地 址 。 这组 I P地 址 就 是 高度疑似的控制主机地址 。 ( 5 )通过分 析,某些疑似控制主机可能是一些非常受欢 迎的网 站,排除掉这些合法的 I P地 址 , 剩 下 的 就 很 可 能 是控 制主 机 的 I P 地址 了。 ( 6 )对于步骤 4 ,还可 以疑似参与攻击的 I P作为 目的 I P , 对源 I P进 行 聚 合 计 算 ,也 可 以得 到 一 组 疑 似 控 制 主 机 I P地 址 。 1 . 2 基于 D N S流量 分 析 的检 测 方 法 无 论 是 哪 种 僵 尸 网 络 活 动 ,都 伴 随 着 大 量 的 D N S通 讯 异 常 。例 如 ,对 于 基 于 I R C的 僵 尸 网 络 , 会 伴 随 大 量 陌 生 怪 异 的 D N S查 询 。 在D N S日志中,可 以发现同一个 A 记录 ,在短时 间内有大量的重复 查 询 请 求 。僵 尸 网络 为 了逃 避 追 查 ,通 常 还 会 利 用 一 种 称 为 F a s t — F l u x网络的机制 。这种机制通过快速轮换 I P的方式,逃避对 控 制主机 的追查 。在 D N S通讯特 征上 ,就表现为 : ( 1 )一个域名,对应过 多的 I P地址 。 ( 2 )域 名记录 的 T T L极短 ,通常在 3 O分钟以内,远远低 于 4 8 小 时 的 通 常 情况 ,通 过 追 查 与 异 常 D N S通 讯 相 关 的 I P地 址 , 就 可 以 初步定位 僵尸主机。总之,对 D N S流量进行分析,也是僵 尸网络检 测的一个发力点 。 1 . 3 基 于诱 骗 系 统 和 流 量 检 测 系 统 的 僵 尸 网 络检 测 方 案 前人做 的工作 中,大部分 只针对 某一类僵尸网络有效,适用范 围较窄 。以往 的采用诱骗技术僵 尸网络 检测 方案,只单独 采用了蜜 罐或蜜 网系统 ,效果不 甚理想 。原因是这类攻击 诱骗系统 是被动检
僵尸网络的检测与对策

僵尸网络的检测与对策院系:软件学院专业:网络工程0901 郭鹏飞学号:2009923891.关于僵尸网络僵尸网络(botnet)是指通过各种传播手段,在大量计算机中植入特定的恶意程序,将大量主机感染僵尸程序病毒,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。
攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。
起名为僵尸,很形象地揭示了这类危害的特点:众多的计算机在不知不觉中如同僵尸一般驱赶和指挥着,成为被人利用的一种工具。
◆僵尸网络中涉及到的概念:bot程序:rebot的缩写,指实现恶意控制功能的程序。
僵尸计算机:指被植入bot的计算机。
控制服务器(Control Server):指控制和通信的中心服务器,在基于IRC 协议进行控制的僵尸网络中,就是指提供IRC聊天服务的服务器。
DDoS 攻击:利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
◆僵尸网络特点:首先,是一个可控制的网络,这个网络并不是具有拓扑结构的网络,它具有一定的分布性,新的计算机会随着bot程序的传播,不断被加入到这个网络中。
其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行僵尸网络的传播。
最后,僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行DDos攻击,同时发送大量的垃圾邮件等,这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。
◆Bot程序的传播途径:主动攻击漏洞。
邮件病毒。
即时通信软件。
恶意网站脚本。
特洛依木马。
僵尸网络的工作过程包括传播、加入和控制三个阶段。
在传播阶段之后,将进入加入阶段。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到僵尸网络中去。
在IRC协议的僵尸网络中,感染bot程序的主机会登录到指定的服务器和频道中,登录后,该主机会在在频道中等待控制者发来的指令。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
非中心结构类型的僵尸网络的优点是具有较高的安全 性和健壮性。通过 P2P 协议连接起来的 C&C 服务器群比 单独的一个 C&C 服务器的要健壮的多,部分 C&C 服务器 的损坏不会影响整个僵尸网络的运行。 3)混合结构类型的僵尸网络 混合结构类型的僵尸网络兼具中心的和非中心的结构 类型的结构特点。混合结构类型的僵尸网络中的每个服务 僵尸主机都有自己对应的客户僵尸主机,不同的服务僵尸 主机之间对应的客户主机都不一样,同时每个客户僵尸主 机都只连接到一个服务僵尸主机上。混合结构类型的僵尸 网络的结构如图 3 所示。 混合结构类型的僵尸网络兼具中心的和非中心的结构 类型的结构优点,服务僵尸主机之间通过 P2P 协议通联, 保证了僵尸网络的安全性和健壮性 ; 同时每个服务僵尸主
摘 要 : 僵尸网络是由众多的被恶意软件感染了的僵尸主机(或肉机)组成的,僵尸网络 控制者通过命令和控制通道向僵尸主机下达命令在网络中执行种类繁多的恶意行为。僵尸网络 已成为当前网络中最严重的安全问题,它造成的破坏性远大于蠕虫、木马和病毒。全球的安全 组织投入了大量的时间和精力来研究对抗和检测僵尸网络的有效方法,但是就目前形势来看, 主流的检测方法都有着比较严重的缺陷。文章在分析了当前主流僵尸网络检测方法的优势与不 足的基础上,总结出基于特征的检测方法最为准确和高效,如果能够完善该方法的特征库,在 特征库中加入未知类型僵尸网络的特征,则该方法的检测效果将大大提高并将得到广泛的应用。 文章给出了 4 种 sinkhole 的检测方法,并设计了综合评估的方法对上述四种方法的检测结果统 一进行分析评估,提高了对 sinkhole 检测的准确性。 关键词 : 僵尸网络检测 ; 污水渠 ; 特征提取 中图分类号 : TP309 文献标识码 : A
图1 中心结构类型的僵尸网络
收稿日期 : 2016-08-25 作者简介 : 刘莹(1973—) ,女,山东,高级工程师,硕士,主要研究方向为信息安全 ; 王勇 (1974—) ,男,山东,高级工程师,本科,主要研 究方向为数据安全、新技术安全 ; 孙强 (1985—) ,男,山东,工程师,本科,主要研究方向为网络安全 ; 王小亮 (1985—) ,男,山东,工程师, 主要研究方向为云计算、云安全。 通信作者 : 陈广勇 chen.guangyong@
48
201 6 年 增 刊
信息安全等级保护技术大会优秀论文
作为 C&C 服务器的中心节点连接,通常采用 IRC 协议和 HTTP 协议来构建命令和控制通道。 2)非中心结构类型的僵尸网络 非中心结构类型的僵尸网络设计的核心思想是基于点 对点 (peer-to-peer)的通信连接协议的。非中心结构类型 的僵尸网络设计了多个 C&C 服务器,这些 C&C 服务器之 间通过 P2P 协议进行通联,每台僵尸主机则随机的连接 到一个或多个这些 C&C 服务器上,僵尸网络控制者不需 要同时与这些 C&C 服务器建立通联,仅需要控制其中的 一台或多台 C&C 服务器 [6,7]。非中心结构类型的僵尸网络 结构如图 2 所示。
0 引言
僵尸网络是由众多的被恶意软件感染了的僵尸主机组成的,僵尸网络控制者通过命令和控制通道向僵尸主机下达命令在 网络中执行的恶意行为对当前的网络安全造成无法估量的危害。为保持自身较高的健壮性、安全性以及稳定性,僵尸网络的 构建通常采用较为复杂的网络结构,本文首先从技术上分析了僵尸网络的几种组成结构,并总结了现有的僵尸网络的检测方 法,在此基础上提出了基于 Sinkhole 的僵尸网络检测技术的研究思路,以及如何进行系统的设计和实现的具体方法 [1-3]。
图2 非中心结构类型的僵尸网络
些主机表面上被僵尸网络控制者控制着,他们的行为一直 被僵尸网络研究者监视与控制着,蜜罐通常被用来收集特 定类型的僵尸主机的信息,僵尸网络研究者通过分析僵尸 主机接收和发送的信息来获取该类型僵尸网络采用的技 术、命令和控制消息结构、僵尸网络控制者发出的恶意行 为指令等重要信息 [8-10]。 基于蜜罐的检测方法的优点是检测的准确率较高。由 于该检测方法使用的僵尸网络特征的获取都是从真实的僵 尸网络数据中分析出来的,特征的提取与检验一般都有非 常高的人为参与度,所以对特征的准确性有很大的保证。 基于蜜罐的检测方法的不足之处主要有以下三点 : 部 署规模有限、风险性较高、检测周期长。 2)基于入侵检测系统的方法 入侵检测系统被用来检测网络中的恶意行为和协议违 规等危害性行为,并对这些危害性行为及时进行处理 , 同
图3 混合结构类型的僵尸网络
机都自身构成了一个中心结构的小的僵尸网络,对客户僵 尸主机的操作更加简单便捷,整个僵尸网络的网络的检测方法
僵尸网络检测方法主要有两大类 : 基于蜜罐的方法和 基于入侵检测系统的方法,其中基于入侵检测系统的方法 又分为基于异常和基于特征的两种方法。 1)基于蜜罐的监测方法 僵尸网络研究者们故意在互联网上设置很多安全性 低、漏洞百出的计算机来诱使僵尸网络控制者对这些计算 机进行感染使其变为僵尸主机,这些计算机就是蜜罐,这
信息安全等级保护技术大会优秀论文
201 6 年 增 刊
基于 sinkhole 的僵尸网络检测技术的 研究和实现
刘莹 1,王勇 2,孙强 3,王小亮 4
(1. 国家电网公司,北京 100000 ; 2. 国网山东省电力公司,山东济南 250100 ; 3. 国网威海供电公司,山东威海 264200 ; 4. 国网潍坊供电公司,山东潍坊 261000)
1 僵尸网络结构和检测方法的现状分析
根据僵尸网络 C&C 通道与僵尸主机和僵尸网络 C&C 服务器之间的解析可以把僵尸网络的结构分为三种不同类型 : 中 心、非中心和混合的结构类型。
1.1 僵尸网络的结构
1)中心结构类型的僵尸网络 中心结构类型是最古老的结构类型,最早出现的基于 IRC 协议的僵尸网络就是中心结构类型的 [4]。中心结构类型 的僵尸网络的结构如图 1 所示。 在该结构类型的僵尸网络中,仅仅通过控制一个单独的 中心节点,僵尸网络控制者就能控制僵尸网络中所有的僵尸 主机来发起恶意行为,同时对僵尸网络进行维护和升级 [5]。 中心结构类型的僵尸网络中所有的僵尸主机都连与同一个