您的位置:360文档中心› 一种基于僵尸机状态转换的僵尸网络监测方法

一种基于僵尸机状态转换的僵尸网络监测方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

致该 w n 0 s 统终 端产 生 了 R C缓 冲区溢 出 。 一旦 目 idw 系 P . 标被 感染 . 被感 染 的机 器会被 立 刻上 载一 个脚 本 代码 , 则 该脚 本代 码 同其他 僵尸 机 或者 黑客 建立 一条 网络 通道 并
提 出一 种基 于僵 尸 网络 中僵 尸机 状态 迁 移转 换 的僵 尸网
中图分 类号 : P 9 T 3
1 目前 僵 尸 网 络 研 究 介 绍
文献 标识 码 : A
文章编 号 :6 4 5 8 (0 1 0 — 12 0 1 7 — 7 7 2 1 )3 0 6 — 3
僵 尸 网络 对互 联 网 的巨 大危 害促 使 各科 研 机 构 、 高 校、 网络安 全厂 商等 都投 入 巨大 精力 对其 进行 研究 , 目前
对 僵尸 网络 的研究 方法 主要 有 于以下 几种 :
势 . 意 软件 往 往 通 过 电子 邮 件 附 件 、2 媒 体 、 载 感 恶 PP 下 染 等方式 传 播病 毒而 不被 防火 墙拦 截 检 测 中通过 受害
计 算机 与 其僵 尸 机 之 间 的 网络通 信 与 数据 交 换 序列 . 对 P ao 病 毒 的传播 扩散 过程 进行 分 析 .以此 获得 僵 尸 网 hbt 络 的传 播过 程 在 图 1中描述 了典 型的僵 尸 病 毒 P ao hbt
() 尸 网络源 码研 究 : 过对 典 型僵 尸 网络源码 的 1僵 通
分 析 ( P AB T) 可 以很 透 彻 地 理 解僵 尸 网络 的 内部 如 H O . 工 作原 理 。 由于僵 尸 网络 的多样 性 . 即便 是 同其变 种也 有 很多 种 .研 究 其所 有 的源码 是非 常 困难 和
同其 他僵 尸 病 毒 的扩散 传 播 相 同 .h b t 是通 过 P ao 也
远 程感染 注入 中 . 一个状 态 P a o 通 过对 一个 地址 图 第 h bt
范 围进 行扫 描探 测 .如果 在此 步骤 僵 尸病 毒发 现有 可 利
用 的后 门与 相应 的服 务应 用 程序 的漏 洞 .则进 入第 二个 状 态对 目标 计算 机进 行病 毒 植入 。在 实验 过程 中 其 中一 台 wn o s id w 系统 在端 口 1 5 T P对 僵尸 病 毒 的扫描 进 行 3一 C
第2 0卷 第 3期
21 0 1年 5 月
重庆电子工程职业 学院学报
o m a fCho g i g Colg fElcr n cEn n e ig u lo n q n l e o e to i e rn e
Vo .0 1 N o. 2 3
M a. 2 1 y 01
其 内容进 行分 析 ( ) 尸 网络 行 为研 究 闭 该 方法 主 要 通 过 观察 僵 尸 3僵 :
图 1 h b t 播 过 程 P a o 传
网络 的行 为 来对 其进 行研 究 例 如 , 僵尸 网 络扫 描行 为 、
基 于僵 尸 网络 的 D S攻 击行 为 、 于 僵尸 网络 的垃圾 邮 O 基 件 、 于僵 尸 网络 的 网络广 告点 击 . 等 该方 法 能捕 获 基 等 僵 尸 网络 的动态 特征 并且 比前 面两种 方法 实现 起来 相对
络监测方 法 2 基 于僵 尸机 状态转 换 的僵尸 网络 监测 方法 原理
通过 该通 道下 载僵 尸病 毒代 码 接下 来 新被 感染 的对 象

种 基 于僵 尸机 状 态转换 的僵 尸 网络 监 测 方 法
蒋 丽华 . 万 刚 王
( 庆 城 市管理 职 业 学 院 信 息 工 程 学 院 , 庆 4 13 ) 重 重 0 3 1
摘 要: 目前 互联 网上发 生 的大规模 网络攻 击事件 . 多都 与僵 尸 网络 攻 击有 关。僵 尸病毒 的 感染 开始 于 大
不 现实 的 : 同时该 方法 还有 另外 一个 问题 . 即通 过研 究 源
码 只能得 到其静 态 特征 . 法 了解 其动 态特 点 ( 僵尸 网 无 如 络 的规 模 。 尸机 的地理 分布 情况 等 ) 僵 。 () 2 僵尸 网络 的命 令 与控制 研 究 : 该方 法 主要 针对 基
『 .应答 . 并且 与僵 尸机之 间建 立 了链 接 这 个链接 很快 导 .
容 易 . 弱 点是 很难 区别 一个 类 似 的行为 是来 自一个 单 其
独 的 网络攻 击行 为还 是来 自于一 个僵 尸 网络成 员 通 过对 上述 方法 的 比较 与总 结 以及 对 目前 较 为流 行 的僵尸 网络 如 s r om 以及 P a o 源码 的分析与 研究 . t mw r o h bt
于 I C方式 的僵 尸 网络 , R 但随着 僵 尸 网络 的发展 . 攻击 者
逐 渐转 向使 用 私有 I C服 务器 :同时通信 协 议也 逐渐 多 R 样化 如 WE p p 。攻 击者 越 来越 趋 向于 对通 信 内容 进 B、2 m 行加 密 . 这样 导致 即使能 捕获 僵尸 网 络通信 包 . 无法 对 但
计 出检 测 系统 。 实验 证 明检 测 系统具 有较 好 的扩展 性 .能 对 P ao 传播 扩散 过程 中的各 个状 态进 行有 效捕 hb t 获 . 网络 中主 要 网络节 点布 置该 系统 完全 可以监 测僵 尸病毒 的传播 。 在
关键 词 : 网络 安 全 ; 态 转 换 ; 尸 网络 : 尸 机 状 僵 僵

个外部 网络 与 内部 网络 的通信过 程 。通过 对 通信过 程研 究分析 . 于 系统 开发 平 台 W id w 和 V sa c+ 基 no i l + u
(c . , v60 对一 个潜 在 的用 户从被 感 染到 成 为僵 尸机 . 一步 扩散 支点 形成 僵 尸 网络全部 变化过 程进 行模 拟 , ) 进 设
相关文档
最新文档