僵尸网络检测技术的研究
僵尸网络检测研究
僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。
其中,僵尸网络成为网络安全的一大威胁。
僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。
因此,僵尸网络的检测研究具有重要意义。
1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。
首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。
其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。
此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。
2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。
其中,基于网络流量的检测方法是较为常见的一种。
通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。
此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。
3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。
它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。
具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。
其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。
最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。
4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。
具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。
其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。
最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。
僵尸网络检测和防范研究
因此 , 识 和 研 究 僵 尸 网 络 是 当 前 网 络 与 信 息 安 全 保 认 本 文 讨 论 的 基 于 I C 协 议 的 僵 尸 网 络 中 , 尸 主 机 和 R 僵 障 工 作 的 一 个 重 要 课 题 , 必 要 建 立 长 效 机 制 , 其 进 行 长 控 制 端 的会 话 与 正 常 的 I C数 据 流 相 比 , 显 著 的差 异 , 有 对 R 有 僵 期 、 效 的处置 。 有 尸 主 机 的行 为 具 有 规 律 性 和 一 定 的持 续 性 。
1 僵 尸 网 络 的 结 构 和 工 作 原 理
特 征 1控 制 端 在 频 道 内对 所 有 的 僵 尸 主 机 发 送 广 播 命
2 0 年 网络 与信 息安 全技术 研讨 会上 , Nc R 05 c E T对 僵 令 , 要求 僵尸 主 机 执 行 同 一 条命 令 , 令 长度 短 于普 通 的 命 尸网络 的定 义为 : 尸 网络 是 指 攻击 者 利用 互 联 网秘 密 建 I C数 据 包 的 平 均 长 度 。 僵 R
件 , 起 了社 会 各 界 的 广 泛 关 注 。 据 国 家 计 算 机 网 络 应 急 引 交 易 的 一 部 分 。这 样 , 鱼 攻 击 者 、 客 、 圾 邮 件 制 造 者 钓 黑 垃
技术处理 协调 中心( 简称 c E Nc RT) 样 监测 统计 , 0 8年 和 病 毒 作 者 就 能 够 利 用 僵 尸 网络 销 售 信 息 和 服 务 。 抽 20 我 国境 内 感 染 僵 尸 网 络 控 制 端 的 I 址 为 1 8 5个 , 染 2 僵尸 网络 的追 踪和 防范 P地 ,2 感
立 的 可 以控 制 的 计 算 机 群 。其 组 成 通 常 包 括 被 植 入 “ 尸 ” 僵
中心式结构僵尸网络的检测方法研究
中心式结构僵尸网络的检测方法研究近年来,在网络安全领域,中心式结构(centralized architecture)僵尸网络演化越来越快,给网络安全带来了严重威胁,同时也为中心式结构僵尸网络的检测提出了挑战。
因此,为了防范网络威胁,研究人员提出了识别和消灭中心式结构僵尸网络的方法,并在实际应用中取得了良好的效果。
一、中心式结构僵尸网络的基本特点中心式结构僵尸网络是一种典型的多层次组织结构,由命令控制中心(C&C)和大量受感染的僵尸主机组成。
在网络安全中,僵尸主机相当于受感染的计算机,攻击者可以通过C&C的控制,将这些主机组合成大规模的攻击工具,对目标系统进行攻击。
因此,中心式结构僵尸网络的基本特点在于其分布式机制更加复杂、隐藏性更高,为攻击者提供了更大的灵活性和可持续性。
二、中心式结构僵尸网络的检测方法在网络安全领域,中心式结构僵尸网络的检测方法主要分为三类,即基于端口、基于内容和基于行为的方式。
1、基于端口的检测方法:此类方法主要是基于端口扫描来检测中心式结构僵尸网络。
具体来说,通过检测网络上的特定端口来确定是否存在与C&C服务器进行连接的正常数据包。
如果发现网络上存在这些特定的数据包,就可以判断是否存在中心式结构的僵尸网络。
2、基于内容的检测方法:此类方法是基于网络数据包的内容来检测中心式结构僵尸网络。
具体来说,通过对数据包进行深度分析,检测数据包中的特征(如流量、协议、数据包大小等),来识别中心式结构的僵尸网络。
3、基于行为的检测方法:此类方法是基于网络上的行为特征来检测中心式结构僵尸网络。
具体来说,通过分析网络的流量、端口开放情况、访问频率等,来确定是否存在中心式结构的僵尸网络。
三、中心式结构僵尸网络的防御措施针对中心式结构僵尸网络,防御措施主要包括以下几个方面:1、加强网络安全防护:提高系统用户的安全意识,加强网络的安全性管理,尽可能降低网络受到攻击的风险。
2、尽早发现中心式结构僵尸网络:对网络中存在的中心式结构僵尸网络进行早期发现和拦截,防止其对网络进行大规模攻击。
基于网络流量分析的僵尸网络在线检测技术的研究的开题报告
基于网络流量分析的僵尸网络在线检测技术的研究的开题报告一、选题背景和意义随着互联网技术的不断发展,网络安全问题也越来越受到重视。
其中,僵尸网络成为当前互联网中流行的一种安全威胁,它通过控制大量的“僵尸主机”(即受到攻击者控制的合法主机),对其他主机进行攻击或传播病毒、木马等恶意软件,对网络安全形成了较大威胁。
因此,如何快速、准确地检测僵尸网络成为当前亟待解决的问题。
通过对网络流量进行分析,可以精确地识别出存在的僵尸网络节点,进而快速采取防御措施,提升网络安全水平。
二、研究内容和目标本研究的主要内容是基于网络流量分析的僵尸网络在线检测技术研究。
具体包括以下几个方面:1. 僵尸网络的特征提取通过对网络流量进行分析,确定僵尸网络的行为特征,如通信模式、数据包大小、传输协议等。
2. 构建算法模型结合机器学习技术,设计合适的算法模型,对提取的特征进行分类处理,确定僵尸网络节点。
3. 实现在线检测系统在研究基础上,实现一个基于网络流量分析的僵尸网络在线检测系统,完成节点的实时识别和防御措施的应用。
三、研究方法和步骤本研究将采用以下步骤进行研究:1. 文献调查:回顾近年来关于网络流量分析和僵尸网络检测方面的相关文献和技术报告,对研究方向进行熟悉和理解。
2. 数据采集与预处理:通过网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。
3. 特征提取:根据分析网络流量数据中的特征,采用时间序列等算法技术,提取网络流量中的行为特征,如通信模式、数据包大小、传输协议等。
4. 数据分类:结合机器学习技术,将提取的特征交给算法模型进行分类处理,确定僵尸网络节点。
5. 系统实现:在确定的算法模型基础上,实现一个基于流量分析的僵尸网络在线检测系统,实现实时检测和防御功能。
四、研究进度安排1. 前期准备(1个月):熟悉相关文献和技术报告,确定研究方向和目标。
2. 数据采集和预处理(2个月):采用网络数据采集器获取数据流,进行基本预处理和简单分析,获取特定的网络流量数据。
僵尸程序网络行为分析及检测方法研究
华中科技大学硕士学位论文僵尸程序网络行为分析及检测方法研究姓名:冉俊秀申请学位级别:硕士专业:信息安全指导教师:李汉菊20090526华中科技大学硕士学位论文摘要僵尸网络是由多个被植入僵尸程序的主机构成,它往往被用以发起大规模的网络攻击,同时被植入僵尸程序的主机,其信息也面临被泄露的威胁。
无论是网络运行安全还是用户数据安全,僵尸网络都是巨大的安全隐患!因此,有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。
目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。
基于行为特征的检测技术能够比较精确的检测僵尸程序的活动,但是处理数据的能力有限;而基于流量特征的检测技术能够处理较大规模的数据量,但是存在较大的误报。
基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点,有效地检测在较大背景流量中活动的僵尸程序。
由于目前在僵尸程序代码的设计上存在结构化的特性,同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。
分析了僵尸程序的流特征,根据实验结果,设计出了基于轻量级有效载荷协议匹配算法。
然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。
基于以上分析,设计并实现了一个原型系统,系统主要包含了三个模块:网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。
为了检测网络中的僵尸活动,首先,网络流预处理模块对网络流量进行监控分析,通过白名单技术过滤掉正常网络流量;然后,使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包;最后,通过序列假设检验分析模块识别僵尸程序的活动。
为了进行验证,在局域网环境部署了多台有僵尸程序活动的主机,然后利用原型系统对获取的网络流量进行分析处理,分析结果表明能够对局域网内的僵尸活动进行有效检测。
关键词:僵尸程序,网络行为,基于轻量级有效载荷协议匹配算法,序贯概率比检验算法华中科技大学硕士学位论文AbstractBotnets are constituted by many hosts which are infected by bots. Botnets are always used for launching large scale network attack. Meanwhile, the infected hosts encounter the thread of information revelation. Botnets are serious hidden danger for both network running security and user data security. Thus, detecting botnets effectively is urgent for nowadays network management.Currently, research of botnet detecting is mainly focus on behavioral characteristics and flow characteristics. Behavioral characteristics based detecting technology can detect bots accurately, but its data processing ability is limited. Flow characteristics based detecting technology can process large scale data, but its false alarm rate is a little high. The method discussed in this paper combine the advantages of these two methods and can effectively detect botnet activities in large background trafic.Analyzing flow characteristics of Botnet, within the same botnet will likely demonstrate patial-temporal correlation and similarity because of the structured nature of Botnet. Design a protocol matching algorithm based on light-weight payload according to the experimental results. And then determine network behavior of bots using the sequential probability ratio test algorithm.Due to above research, A prototype system is designed and implemented, which contains three main modules: network flow preprocessing module, protocol matching module based on light-weight payload, and analysis module based on sequence probability ratio test algorithm. First of all, filter out known flow which can not be botnets flow through whitelist technology; Secondly, identify suspicious botnets C&C flow in the remaining flow by using the light-weight payload technology; Finally, identify bots activities by using sequential probability ration testing algorithms.In order to test and verify the method discussed in this paper, arrange several hosts containing bot activities, then analysis and process the captured network flow by using the prototype system. The result shows that the method can detect bot activities in LAN effectively.Keywords: bots, network behavior, protocol matching algothrim based on light weightpayload, sequential probability ratio tesing algorithm独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。
如何通过网络追踪追踪网络僵尸网络(六)
如何通过网络追踪网络僵尸网络网络僵尸网络(botnet)是指由大量受感染的计算机组成,被黑客操控用于发起有害网络行为的网络。
网络僵尸网络的存在对互联网的安全构成了巨大的威胁,因此,追踪和摧毁网络僵尸网络成为了网络安全专家们的重要任务之一。
本文将从技术手段和合作机制两个方面,探讨如何通过网络追踪和摧毁网络僵尸网络。
第一部分:技术手段一、主动追踪技术主动追踪技术是关键的网络僵尸网络追踪手段之一。
其中,监视网络数据流量是最常见的一种方式。
网络安全专家利用混合网络监测系统(Honeynet)和混合网络入侵检测系统(HIDS)等技术,对网络流量进行实时监测和分析,以发现和定位僵尸网络。
二、蜜罐技术蜜罐是一种为黑客提供的虚假系统或网络,它可以诱使黑客进行攻击,并将攻击行为记录下来以便分析。
网络僵尸网络追踪中,合理构建和部署蜜罐系统可以引诱黑客攻击,并获得与网络僵尸网络相关的重要信息,为进一步的追踪提供有力的依据。
第二部分:合作机制一、国际合作网络没有国界,网络安全更是一个全球性的问题。
只有通过国际合作,加强信息共享和技术交流,才能更有效地追踪和打击网络僵尸网络。
各国网络安全机构和企业应建立合作机制,共同开展网络僵尸网络追踪和防范工作,共同维护全球网络安全。
二、跨部门合作僵尸网络追踪和摧毁工作需要多个部门的协同配合。
网络安全机构、执法部门、通信运营商等各个部门之间应建立起有效的信息交流和合作机制。
只有各个环节的无缝衔接,才能确保网络僵尸网络的追踪工作顺利进行。
第三部分:挑战与展望网络僵尸网络具有隐蔽性和复杂性,追踪工作充满挑战。
首先,黑客对网络僵尸网络进行高度隐匿化处理,使得追踪工作更加困难。
其次,网络僵尸网络利用分布式技术,使得探测和追踪成为一项相当繁琐的工作。
最后,网络技术的不断发展,使得黑客手段日益先进,压力加大。
然而,面对这些挑战,我们仍然有理由对网络僵尸网络的追踪工作充满信心。
随着科技的进步,我们为确保网络安全所创造的技术手段也在不断发展完善。
僵尸网络检测方法研究
2 僵 尸 网络 的 结 构
僵尸网络主要由攻击者(o a e)僵尸主机(0) bt s r、 m t bt以
利益的驱动 , 僵尸网络得到迅速发展, 根据国家计算机网
络应急技术处理协调中心(N E T C 提交的 20 CCR/ ) C 06年度 报告, 研究人员在中国大陆发现大约 1 0 万台主机被安 0 0 装了僵尸软件【 可见僵尸网络已经成为互联网一个新的 1 】 ,
点 专 项 科 研 基 金 资 助 课 题 (0 4 5 8 3 20050 ) 4
安装恶意软件、 窃取用户机密信息等 , 一般而言, 僵尸主机 的行为不容易被主机用户所察觉。 命令与控制信道是攻击
维普资讯
硕 博 沦 文
者和僵尸主机的通信渠道 , 对整个僵尸网络的运作非常重 要,因此攻击者往往对命令和控制信道进行隐藏和保护,
论文
僵 尸 网络 检 测 方 法 研 究
陆伟 宙 。 顺 争 余
( 山大 学 电子 与通 信 工程 系 广 州 5 0 7 ) 中 1 2 5
僵 尸 网 络 是 指 由 黑 客 通 过 多 种 传 播 手 段 入 侵 并 控 制 的 主 机 组 成 的 网络 。僵 尸 网 络 是 各 种 恶 意 软 件 传 播 和 控 制 的 主要 来源 , 测 僵 尸 网络 对 于 网 络 安 全 非 常 重 要 。 本 文 首 先 介 绍 了 僵 尸 网络 检 的结 构 , 重 对 僵 尸 网 络 的命 令 与 控 制 信 道 进 行 了 讨 论 , 着 详 细 介 绍 了 基 于 主 机 信 息 的 、 着 接 基 于流量监 测的和基于对 等网络的僵尸 网络检测方法 , 进行 了比较和讨论 。 并
信息或者命令僵尸主机发动拒绝服务攻击等。 僵尸主机昕 命于攻击者, 平常处于空闲状态 , 单纯监听命令与控制信 道, 只有在接收到攻击者的命令才进行相应的操作。僵尸
基于关联分析的僵尸网络监测系统的研究与实现的开题报告
基于关联分析的僵尸网络监测系统的研究与实现的开题报告一、选题背景和意义:随着互联网技术的不断发展,网络攻击的形式和手段也越来越复杂和隐蔽,其中僵尸网络攻击被认为是一种较为普遍且危害较大的攻击方式。
僵尸网络攻击主要是通过将受害者电脑感染特定的恶意软件,使电脑成为攻击者的一部分,进而在攻击者的控制下进行网络攻击,例如扫描、DDos攻击等,严重危害了网络安全。
因此,针对僵尸网络的监测和防御是当前网络安全领域的重要研究方向。
传统的监测方法主要是基于事件或特征的检测,但这种方法容易受到攻击者的隐蔽等因素的影响,难以有效地检测僵尸网络活动。
而关联分析技术可以通过分析网络中的目标、通信行为和交互关系等多个因素,快速准确地探测僵尸网络活动。
目前国内外对于基于关联分析的僵尸网络监测系统研究较为成熟,但是有很多开源或商业的监测系统都需要付费或者配置复杂,因此,本文旨在研究和实现一款基于关联分析的僵尸网络监测系统,使其可以极大地提升网络安全。
二、研究内容和方法:本文的研究主要包括以下内容:1. 僵尸网络攻击类型的分类和特征的分析,为后续的关联分析提供支持;2. 关联分析算法的研究和比较,选出最优的算法;3. 基于关联分析的僵尸网络监测系统的设计和实现,包括数据采集、模型训练、网络流量分析和告警等模块;4. 对监测系统的性能进行测试和评估,包括准确率、召回率、误报率等。
本文的研究方法主要是理论分析与实践相结合。
首先进行理论分析,分析不同类型的僵尸网络攻击特征、关联分析算法的优劣,以及监测系统的设计方案。
然后在实践中进行系统的搭建和部署,同时通过实验对系统的性能进行测试和评估。
三、预期成果和创新点:通过本文的研究,将会实现一款基于关联分析的僵尸网络监测系统。
该系统具有以下预期成果和创新点:1. 实现一个准确率较高、误报率较低的僵尸网络监测系统,提高网络安全的保障能力;2. 利用关联分析技术快速准确地探测僵尸网络活动,提高监测的精度;3. 可以自动根据特定的设备环境和网络流量进行特征提取和建模,适应不同场景的使用;4. 新型的监测算法和监测思路,能够对现有防御系统进行补充和完善。
僵尸网络检测技术研究
的 、实时 的 特点 已 经成 为 当前 网络 中最 为普 遍使 用
的通信 方 式 。 由于具 有 广大 的用 户群 体 ,在僵 尸 网
络 发展 过程 中 ,I 议 业 已成为构 建 一对 多命 令 R C协
与 控 制 信 道 的 主 流 协 议 。 然 而 ,鉴 于 对 基 于 I C R
WA G Z og e , I Xn hn, U N Qu u N hn -m i YN i -cu Y A i -y
f D r } f O p  ̄ ,la Y# ag ce sSho 醯帅 喻 豫 . ad #2 20 # Ci . i } o Cl Ue g B # i uG # mahr colL ? # # n s 2 0 ,h m,
2 co lo Ifr #o E 2250 , h} S h o / n oma n er Y n h u u ie  ̄ ,Yn h u d gs j a 0g C /a:  ̄
5 T I # n# fL nuGn,L nu a# dns 2 0 6C/) h TGh/ mm o z Y e e # e n d zyn n,/gu2 2 0 .ha a g a n
tc n l i h hg er r eo t 、 lc o pe iu f rc s a d x esv d t poesn o te e hoo gy s e ih ro rp rs a k f rvo s oea t n e csie a a rc si t g f h Zo i nt r d tc in e h o g o mbe ewo k e e t t cn l y f s o o d n mi f a ue ; ls ,u y a c e tr s At a t s mmaie h t te WO meh d mut e o i d rz t a h t c os s b cmbn whc c n b te rd c te rc sig d t a d i r v te e ih a e tr e ue h p oesn a a n mpo e h
僵尸网络检测研究
的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国
基于异常行为特征的僵尸网络检测方法研究
关键词 僵 尸 网络 ;僵 尸 频 道 ;响 应 集 群 T 33 P9 文献标识码 A 文章编号 10 7 2 2 1 ) 1 0 o 0 7— 80(0 0 1 —19一 4
网络非 常重要 。比较有 特 点 的有 美 国哈佛 大 学 Ma n l a 等人提 出的基 于对 端 的快 速检 测算 法 和 英 国诺 丁汉
主机对控制命令的响应信息 ,进而分析一个频道是否
为僵 尸频 道 ,该方 法 的优 点是 不需要 先 验知识 。
1 基于异常行 为特征 的僵尸频道检测模型
口
强
2 U 年 弟 zj 罨 弟 UJ
期
E e t n c S i & T c . o . 5. 2 1 lc r i c. o e h /N v 1 00
基 于异 常行 为 特 征 的僵 尸 网络 检 测 方 法 研 究
杨
摘 要
奇 ,何聚厚
( 陕西师范大学 计算机科学学院 ,陕西 西安 7 0 6 ) 10 2 基 于僵 尸网络通信及 网络流量的异常行为 ,可 以有效检测 出僵尸频道。介绍 了通过 对主机响应信 息的异 常分析 ,进 而判断 出当前 I C频道 是否为一个僵 尸频 道的检 测算 法。由此 引入 了基 于异 常行 为的僵尸频道检 测模 型, R
现有 的僵 尸 网络 检测算 法 主要针 对 IC协议 ,且 R 绝 大多数 是根据 网络流量 的相关 属性 分析 判 断 ,这 样 存在 较大 的局 限性 。
络 检测 方法 ,该方 法基 于 网络流检 测 ,提取 I C终端 R
件 。但由于被控制 计算机 的覆盖面广 、类 型复杂多
僵尸网络(botnet)检测技术研究
( 2 ) 通过聚类计算 , 很容 易将这 些具有相似特征 的流量记录聚 合成为 一类 ,且这个聚类 中包含的流量记录相对其它聚类来说明显 多很 多 。 ( 3 )这个 最大的聚类中所 有的源 I P地址,就是疑似参 与攻击
的地 址 。
( 4 )由于这些疑似参与攻击的 I P分别属于不 同区域甚 至是不 同运营商的网络, 需要将分布 在网络 各处的疑似参与攻击 的 I P地址 的流量记录在一起,再次对 目的 1 P地址进行聚合计算。计算 结果可 以得 到 一 组 同 时 与 这 些 疑 似 I P有 联 系 的 I P地 址 。 这组 I P地 址 就 是 高度疑似的控制主机地址 。 ( 5 )通过分 析,某些疑似控制主机可能是一些非常受欢 迎的网 站,排除掉这些合法的 I P地 址 , 剩 下 的 就 很 可 能 是控 制主 机 的 I P 地址 了。 ( 6 )对于步骤 4 ,还可 以疑似参与攻击的 I P作为 目的 I P , 对源 I P进 行 聚 合 计 算 ,也 可 以得 到 一 组 疑 似 控 制 主 机 I P地 址 。 1 . 2 基于 D N S流量 分 析 的检 测 方 法 无 论 是 哪 种 僵 尸 网 络 活 动 ,都 伴 随 着 大 量 的 D N S通 讯 异 常 。例 如 ,对 于 基 于 I R C的 僵 尸 网 络 , 会 伴 随 大 量 陌 生 怪 异 的 D N S查 询 。 在D N S日志中,可 以发现同一个 A 记录 ,在短时 间内有大量的重复 查 询 请 求 。僵 尸 网络 为 了逃 避 追 查 ,通 常 还 会 利 用 一 种 称 为 F a s t — F l u x网络的机制 。这种机制通过快速轮换 I P的方式,逃避对 控 制主机 的追查 。在 D N S通讯特 征上 ,就表现为 : ( 1 )一个域名,对应过 多的 I P地址 。 ( 2 )域 名记录 的 T T L极短 ,通常在 3 O分钟以内,远远低 于 4 8 小 时 的 通 常 情况 ,通 过 追 查 与 异 常 D N S通 讯 相 关 的 I P地 址 , 就 可 以 初步定位 僵尸主机。总之,对 D N S流量进行分析,也是僵 尸网络检 测的一个发力点 。 1 . 3 基 于诱 骗 系 统 和 流 量 检 测 系 统 的 僵 尸 网 络检 测 方 案 前人做 的工作 中,大部分 只针对 某一类僵尸网络有效,适用范 围较窄 。以往 的采用诱骗技术僵 尸网络 检测 方案,只单独 采用了蜜 罐或蜜 网系统 ,效果不 甚理想 。原因是这类攻击 诱骗系统 是被动检
计算机网络中的Botnet及其检测技术研究
计算机网络中的Botnet及其检测技术研究在当今信息化时代,计算机网络成为了人们日常生活中不可或缺的一部分。
然而,随着互联网的普及和技术的发展,网络攻击的风险日益增加,其中的一种重要威胁就是Botnet。
因此,对于Botnet攻击进行检测和防范已成为了每一个网络安全工作者的必备技能。
本文将从Botnet的概念入手,详细探讨它的工作原理、特点及其检测技术。
1. Botnet的概念Botnet(僵尸网络),指由一组被黑客控制的计算机组成的网络。
这些计算机被恶意软件控制,悄然无声地执行指令,与此同时,控制它们的黑客可以通过Botnet进行远程操作,以攻击其他计算机、盗取重要数据等行为。
据统计,全球有数百万台计算机受到不同程度的Botnet攻击。
2. Botnet的工作原理Botnet采用的是分布式架构。
黑客通常会利用各种漏洞和弱口令等手段入侵用户计算机,下载并安装恶意软件。
被感染的计算机在得到黑客控制后,通过P2P协议或者C&C(命令控制)服务器与第三方服务器建立连接,使黑客可以通过Internet远程控制它们。
Botnet可以执行各种操作,例如发动分布式拒绝服务攻击、发送垃圾邮件、进行DDoS攻击、窃取用户账号和密码、在用户计算机中植入广告等。
3. Botnet的特点Botnet是一种隐秘的攻击方式,不仅对单个计算机造成威胁,还可能对整个网络造成影响。
它可以利用多种技术手段来隐藏自己的行踪,从而不被用户和防病毒软件所察觉。
具体来说,Botnet有以下特点:(1)难以察觉:很多用户并不知道自己的计算机已被Botnet感染,也不知道自己的计算机正在参与Botnet攻击。
(2)分散性:Botnet采用分布式结构,使得其资源分散,攻击的威力更加致命。
(3)难以清除:对于Botnet感染计算机的防护策略和清除工作,可能会面临一些挑战,因为其分散性和隐蔽性使得卸载和清除工作变得更加困难。
(4)可定制化:对于黑客来说,他们可以根据自己的需要对Botnet进行修改和改进,从而使其呈现出不同的攻击形态。
僵尸网络分析与攻防技术研究
僵尸网络分析与攻防技术研究随着互联网的快速发展,网络攻击成为一种常见的威胁,而僵尸网络作为其中一种恶意软件的形式,给网络安全带来了巨大的挑战。
僵尸网络是指由大量受感染的计算机组成的网络,这些计算机被控制,用于进行恶意活动,如分布式拒绝服务攻击(DDoS)、垃圾邮件发送等。
本文将对僵尸网络的分析和攻防技术展开研究。
首先,僵尸网络的分析是对已受控制的计算机进行追踪和分析,识别网络威胁的来源和类型。
分析僵尸网络的过程中,需要使用专业的工具和技术。
其中,一项重要的技术是网络流量分析。
通过对网络流量进行监控和分析,可以发现可疑的活动和异常的行为。
例如,当某个计算机向外发送大量的数据包时,有可能是参与了DDoS攻击。
此外,还需要使用反向工程技术来解析僵尸网络的控制服务器和通信协议,以便获取关键信息,如攻击者的IP地址、攻击指令等。
通过将这些信息进行整合和分析,可以对僵尸网络进行深入了解,并制定相应的防御策略。
针对僵尸网络的攻防技术也是至关重要的。
攻击者通过控制大量的僵尸主机来实施网络攻击,因此,我们需要采取措施来预防和应对此类攻击。
一项常见的防御技术是入侵检测系统(IDS)和入侵防御系统(IPS)。
IDS和IPS能够监测和识别网络中的异常流量和行为,一旦发现威胁,就可以及时采取措施进行阻止。
此外,网络安全培训和教育也是防御僵尸网络攻击的重要手段。
通过向企业和用户提供关于网络安全的培训,可以提高其对威胁的认识和应对能力,减少受控制计算机的数量。
在对僵尸网络进行分析和防御的同时,我们也需要掌握一些攻击技术。
这是因为只有深入了解攻击者的行为和方式,才能更好地进行防御。
例如,我们可以通过搭建实验环境,在其中模拟和研究僵尸网络的攻击过程。
通过分析攻击者控制和操纵僵尸网络的方法,我们可以更好地了解威胁的本质和特征,从而制定更加有效的防御策略。
在研究攻击技术的同时,我们还应该遵守道德规范和法律法规,不能将研究用于非法目的。
僵尸网络检测和防范研究
僵尸网络检测和防范研究僵尸网络正处于发展的时期,对网络安全的威胁日益严重。
深入研究僵尸网络的结构、工作原理和传播机制,是对其进行检测和预防的前提。
对不同种类的僵尸网络,需要运用不同的技术。
最后,介绍了僵尸网络的发展趋势。
标签:僵尸网络;入侵检测;网络安全;蜜网2009年4月13日,工业和信息化部发布关于印发《木马和僵尸网络监测与处置机制》的通知,这是工业和信息化部成立以来,首次发布专门针对互联网网络安全的部门文件,引起了社会各界的广泛关注。
据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计,2008年我国境内感染僵尸网络控制端的IP 地址为1,825个,感染僵尸网络被控制端的IP地址为1,237,043个。
2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。
可见我国感染僵尸网络恶意代码的数量之大,面临的网络安全问题之严重。
因此,认识和研究僵尸网络是当前网络与信息安全保障工作的一个重要课题,有必要建立长效机制,对其进行长期、有效的处置。
1 僵尸网络的结构和工作原理2005年网络与信息安全技术研讨会上,CNCERT对僵尸网络的定义为:僵尸网络是指攻击者利用互联网秘密建立的可以控制的计算机群。
其组成通常包括被植入“僵尸”程序的计算机群,一个或多个控制服务器,控制者的控制终端等。
僵尸网络的种类很多,主要有IRC Botnet、AOL Botnet、P2P Botnet等,本文主要讨论的教主僵尸网络属于目前最常见的IRC Botnet。
IRC协议采用客户端/服务器,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。
频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。
僵尸网络的工作过程一般包括四个阶段:传播、感染、指挥与控制和攻击。
僵尸网络攻击的检测和防范研究
僵尸网络攻击的检测和防范研究第一章僵尸网络攻击概述在互联网时代,网络安全问题已经成为了各行各业都必须面对的问题,因为网络攻击随着网络化的发展而日益猖獗,其中最为常见的攻击方式是僵尸网络攻击。
僵尸网络攻击指的是利用大量被感染的计算机,自动化发起攻击,从而影响受害者的机器或者网络资源的正常使用,以达到攻击者的目的。
传统的反病毒软件需要及时升级才能发现新型病毒,而僵尸网络攻击在策略和技术上都具有灵活性和隐蔽性,因此,如何检测和防范僵尸网络攻击是一个亟待解决的问题。
第二章僵尸网络攻击的类型僵尸网络攻击主要分为以下几种类型:1.拒绝服务攻击(DoS)拒绝服务攻击旨在使受害者的网络或系统资源不可用,以达到攻击者的目的。
攻击者通过发送大量的请求,消耗网络或系统的资源,从而导致其崩溃。
该类型的攻击最常见的形式是分布式拒绝服务攻击(DDoS),攻击者会利用大量感染机器同时向一个目标发起攻击,因而更加有威力和难以抵御。
2.数据窃取攻击攻击者通过感染用户计算机,获取其敏感信息等。
数据窃取攻击可以利用用户误操作、漏洞等多种方式进行攻击。
3.恶意软件攻击攻击者通过在计算机中植入病毒、木马等恶意软件,实现获取计算机信息、窃取敏感信息等目的。
常用的攻击手段包括邮件附件、下载网站等。
4.网络钓鱼攻击网络钓鱼攻击是攻击者通过伪装成合法机构的方式,欺骗受害者的账号密码、信用卡等敏感信息,造成财产损失等危害。
第三章僵尸网络攻击的检测技术1.数据分析技术数据分析技术可以根据僵尸网络攻击活动对用户网络流量、网络行为等进行分析,以便发现僵尸网络攻击的痕迹。
该技术主要应用于实时监控和日志分析等方面。
2.特征分析技术特征分析技术可以根据已知的僵尸网络攻击特征,对用户网络行为、攻击流量等进行比对和分析。
该技术除了能够提前识别攻击外,还能够为网络管理者提供针对性防护手段。
3.机器学习技术机器学习技术主要包括监督学习、无监督学习和半监督学习等。
通过统计数据分析、聚类、分类等方法,学习识别僵尸网络攻击行为和攻击特征,提高检测的准确率和发现率。
僵尸网络检测方法研究——十四所201102007陈辰
如何定量度量?
内容相似性
组成相似性
结构相似性
相似性度量属性
a.公共子串比率:
——反应内容的相似性
正常昵称<0.2
僵尸昵称>0.4
相似性度量属性
b.组成距离: ——反应组成相似性
将呢称表示为四元向量: 字符串X的总长度记为LT(X) 字母长度记为LL(X) 数字长度记为LN(X) 特殊字符长度记为LS(X)
1 0.6 2 0.3 3 0.1
1 1 / i i 1 (Y ) 1 , Yi 1 0 (Y i ) (Y i 1 ) 1 , Y 0 i / 0 i
基于动态聚类算法的检测技术
僵尸呢称的RN_Dice系数大 多为1,可见僵尸昵称普遍 具备相同的结构
RN_Dice系数仅仅是衡量僵尸呢 称的充分条件,属性强度最弱 例如正常昵称为纯数字纯字母
昵称相似性算法流程
H0假定频道C是一个正常频道 H1假定频道C是一个僵尸频道
Pr [Yi 0 | H 0 0] 0 , Pr [Yi 1| H 0 0] 1 0 , Pr [Yi 0 | H 0 1] 1 , Pr [Yi 1| H 0 1] 1 1 , 其中 0 1,表示如果是正常频道, 那么昵称具备低相似性的概率较高
——每个频道的主机IP数、频道内的突发式链接主机数增 多、IRC服务器所发送的IRC消息、每个频道内的 PING/DONG命令计数
可采用TCP扫描权重的异常检测算法: 在同一IRC频道中链接大量僵尸主机,并接受C2 信息,随之进行大规模的TCP SYN扫描
w (Ss Fs Rr ) / Tsr
在Bot中都已经把这些信 息编译设置好,因此,这 些特征不会在检测的过程 中发生变化。 ——所谓静态特征的形式
僵尸网络(Botnet)的检测方法
僵尸网络在传播和准备发起攻击之前,都会有一些异常的行为,如发送大量的DNS查询(Botnet倾向于使用动态DNS定位C&C服务器,提高系统的健壮性和可用性)、发送大量的连接请求等等。
综上所述,可供统计的一些异常行为包括:IRC服务器隐藏信息、长时间发呆(平均回话时长3.5小时)、昵称的规律性、扫描、频繁发送大量数据包(每个客户端每秒至少发生 5~10个包)、大量陌生的DNS查询、发送攻击流量、发送垃圾邮件、同时打开大量端口、传输层流特征(flows-per-address(fpa), packets-per-flow(ppf) and bytes-per-packet(bpp) )、包大小(包大小的中值≤100Bytes)、特定的端口号(6667, 6668, 6669, 7000, 7514)
这方面的研究有很多,其中一个主要的理论分支称为 “告警焊接”, 例如把类似的告警事件放在同一个标签下。最基本的目标就是减少日志,在大多数系统中,要么是基于多事件归因于一个单一的威胁,要么是提供一个针对一个单一的目标的经过整理的通用事件集的视图,我们引入了“证据追踪”的方法通过分析感染过程的通信序列来识别成功的Bot 感染,称为会话关联策略。在这个策略中, Bot 感染过程可以建模成感染主机与外部实体间一个松散顺序的通讯流。特别是所有Bot都共享同样的发生在感染周期的活动集:目标扫描、感染漏洞、二进制文件下载并执行、C&C频道建立、向外地扫描。不必假设所有这些事件都是必须的,也没有要求这些每个事件都被检测到。系统收集每个内部主机的事件踪迹找到一个满足我们对bot 检测要求的合并序列的门限。
Binkley等人提出了一个基于TCP扫描权重(TCP work weight)的启发式异常检测算法以检测IRC僵尸网络控制通信, w=(Ss+Fs+Rr)/Tsr
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德
息。 资料 表 明我 国 已成 为感 染僵 尸程 序 计 算机 数 量 最 多 的 国 家 ,且 这 些 计 算 机 多 数 是被 其 他 国 家 或 地 区 的 攻 击 者 所 控 制 , 究 僵 尸 网络 的识 别和 检 测 方法 进 而 降低 或 消 除僵 尸 网 研 络 的 威 胁 意 义 重 大 。 文 首 先 分 析 了僵 尸 网络 的 结 构和 工 作 本 原 理 , 后 着 重 对 僵 尸 网络 的检 测 从 机 理 、 法 、 在 问题 、 然 方 存
僵尸控制者( omat ) B t s r、僵尸主机( o) e B t、命令与控制服
务 器 ( &C S o C ,C mmad o t l ev r 同组 成 了僵 尸 网 n &C n o re) r S 共 络( on t B te 。僵 尸控制者是控 制整 个僵尸 网络 的攻击 者;僵 )
析,掌握 了它的相关特性。得 出应用快速通 量技术 的僵 尸网 络活动通常关联到多个域名 ,可 以在 I P地 址和 域名 的映射 关 系 的 基 础 上 ,使 用 集 合 论 的 方法 识别 这 种 僵 尸 网络 , 能 且 够根据攻击类 别进行分类 。
2 2 . P P僵 尸 网络 的 检 测 分 析 4 早 期 对僵 尸 网络 的研 究 主 要 集 中在 如 何 检 测 和 跟 踪 到 单 个 的僵 尸主 机 , 是 随 着 僵 尸 网 络采 用 协 议和 结构 的 复 杂 但 性 ,特 别 是采 用 P P协 议 之 后 ,僵 尸 网络 的隐 藏 性 和 破 坏 2 性 大 大 增 加 ,需要 对 僵 尸 网络 的行 为 、传 播 、 扑 结 构 等 方 拓 面 进 行 综 合研 究 , 僵 尸 网络 也 逐 渐 从 基 于 主机 特 征 的检 测 对 转 到 行 为 特 征 分 析 和 网 络流 量 监 测 等 方 面 。 数据 挖掘 技术 和
的关 系 , 得 出第 三 方 侦 查 , 自我 侦 查 以及 分 布 式侦 查三 种 并 方式 的查询特征。实验结果表明,该技术对早期的僵 尸程序
检测很有帮助 , 而且能够进行实时检测,有力支持了对僵 尸
网络 的反 制 ,但 在 误 报 率 方 面 需 要 改 进 。 Co h i等 人 提 出 了一 个 基 于 异 常 的僵 尸 网络 检测 机 制 , 通 过 监 控 DNS流 量 中 的组 群 行 为 进 行 检 测 。该 检 测 机 制 中 包 括 两 个 主 要 算 法 是 : 僵 尸 网络 D NS请 求 检 测 算 法 和僵 尸 网络 迁 移 检 测 算 法 , 是 对 D 都 NS流 量 中 的域 名 和 I 址进 P地 行 统 计 分 析 。 校 园 网上 进 行 的实 验 结 果 表 明当 僵 尸 程 序 连 在 接 命 令 与 控 制 服 务 器 或 者迁 移 到 其他 服 务 器 上 时 , 机 制 都 该
・
2 ・ 5
Mircmp tr p l ai s o 2 , o22 1 coo ue A pi t n 1 8N .,0 2 c o V .
研究 与设 计
微 型 电脑 应 用
21 年第 2 02 8卷 第 2期
制 信道 。这类 方 法通 常 的步 骤 是 过 滤 掉 不 必 要 的流 , 后 对 然 剩 余 的 可疑 流 进 行 分 析 , 找 可 能属 于 同一 个 僵 尸 网络 的 主 寻 机 ,最 后 确 定 中心 服 务 器 和 攻 击 者 。 中 比较 典 型 的 检 测 方 其 法有以下几种。 美 国研 究 员 Bi l 等人 提 出 了一 种 基 于 T P 扫 描 权 n e ky C
地 遏制僵尸网络。
关 键 词 :B te;B t on t o ;检 测 技 术 :遏 制 中 图分 类号 :T 3 1 Pl 文献 标 志 码 :A
0 引言
僵 尸网络是互 联 网上 受黑客集 中控制 的一群被僵 尸程 序感染 的计算机 , 攻击者可 以控制这些主机实现分布式拒绝 服务 、发送垃圾 邮件 、监 听网络流量 、记 录键 盘、扩散新的 恶意软件 、点击欺诈 、操控在线投票和游戏、从受控主机上 随意窃 取如银行账 户 的密码 、社会 保险号码 等所保存 的信
信息熵理论的引入 为网络流 量检测提供 了强有力 的分析工
具。
2. . 1基于 主机特征 的检测 4
基 于 主 机 特 征 的检 测 主 要 是 指 在 一 个 负 责 监 控 的主 机 内部 部 署 传 感 器用 来监 控 和 记 录 相 关 的系 统 事 件 , 僵 尸程 对
样 ,都是采用 【心服务器 的思想进行命令与控 制,但两者具 { 1 有 较 强 的个 性 化 差 异 。 Le e 等人依据恶意 H T T P僵尸程序是 以规律性的间隔反
僵 尸网络结构,如图 1 示: 所
④ 恶意 网站脚本 ,攻击者在提供 WE 服 务的网站 中 B 在 H ML 页 面 上 绑 定 恶 意 的脚 本 , 当访 问者 访 问这 些 网站 T
时 就 会 执 行 恶 意 脚本 ,使 得 B t 序 下 载 到 主 机 上 , 被 自 o程 并 动执行。
控 制 阶段 , 击 者 通 过 中 心 服 务器 发 送 预 先 定 义 好 的 控 攻
制指令 ,让被感染主机执行恶意行为 。
2 僵 尸 网络 的检 测
僵 尸 网 络 的检 测 技 术 按 其 检 测 信 息 的 来 源 可 分 为 蜜 罐 或 蜜 网 、网络 流 量 数 据 、 日志 以及 流 (t a 数 据 等 几 种 。 s em) r 按 检 测 针 对 生 命 周 期 的不 同阶 段 可 分 为 传 播 、感 染 、通 信 以
与控制服务器一般有一个或多个, 僵尸控制者通过控制这些 服务器来管理和控制僵尸主机 ; 僵尸主机随时可能被控 制者
利 用 发 动 各 种 各 样 的 网络 攻 击 。 l 僵 尸 网 络 的 工 作 机 理 _ 2 B te o t的 工 作 机 理 主 要 包 括 传 播 、 加 入 和 控 制 三 个 阶 n
传播 自身 ,从而使得接收者主机被感染成为僵尸主机 。 ③ 即时通信 软件 ,利 用即时通信软件 向好友列表发送 执行僵尸程序的链接,并通过社会 工程学技巧诱骗其点击,
从而进行感染。
发展方 向、新动 向等方面进行 了综述 。
1僵 尸 网络 的结构 及 内部工 作机 理
11僵 尸 网络 的 结 构 .
组也采用蜜 网等技术对僵尸程序进行捕获和追踪, 等人采 Gu 用 了 I 驱动的会话关联方法实现 了能够检测僵尸程序感 DS
染 的 B t ne 系 统 。 oHutr 22 T .HT P僵 尸 网络 的检 测 分 析 基 于 HT P 的僵 尸 网 络 虽 然 和 基 于 I C 的 僵 尸 网络 软件 ,在 网站、服 务器 、 FP 2 T 、P P网络中提供诱骗用户下载 并执行 。
加 入 阶段 , 一 个 被 感 染 主 机 都会 随着 隐藏 在 自身 上 的 每
Bt o 程序的发作而加入到 B te 中去, o t n 加入 的方式根据控制 方 式和 通 信 协 议 的不 同而 有 所 不 同 。
重的启发式异常检测算法 以检测 I C 僵尸 网络控制通信 , R 该方法能检测使用非标准端 口的 I C 流量 ,并 能确定僵尸 R 网 络 的 服 务器 , 并不 能 实 时检 测 , 只 能 检 测 使 用 明文 通 但 且
信 的 IC 流 量 , 其 权 重 也 是 依据 主机 是 否 进 行 扫 描 操 作 确 R 定 , 具 有一 定 的局 限性 。 Sryr 人 提 出 了一 种 基 于 机 器 学 习 的 I C 僵 尸 网络 t e等 a R 检 测 方 法 , 首先 通 过 贝叶 斯 等 方 法 对 I C流 量 和 非 I C 流 R R 量 进 行 区分 ,再 从 I C 流 量 中 区 分 正 常 的 I C 服 务 器 和 命 R R