基于數(shù)據(jù)包特征的僵尸木馬檢測(cè)技術(shù).pdf

1、近年來(lái)，隨著互聯(lián)網(wǎng)的不斷普及和我國(guó)網(wǎng)民數(shù)量的不斷增加，僵尸網(wǎng)絡(luò)（Botnet）問(wèn)題也越來(lái)越受到人們的關(guān)注。尤其是在2004年我國(guó)首例僵尸網(wǎng)絡(luò)攻擊事件發(fā)生之后，人們開(kāi)始清楚地意識(shí)到，僵尸網(wǎng)絡(luò)作為危害性極強(qiáng)的新型攻擊手段，已不是一個(gè)簡(jiǎn)單的病毒或者木馬，而是一個(gè)攻擊平臺(tái)。攻擊者不僅可以使用這個(gè)平臺(tái)來(lái)進(jìn)行多種攻擊，還可以利用它傳播其他病毒木馬等惡意程序。在這種情況下，傳統(tǒng)的基于主機(jī)的檢測(cè)手段（包括防病毒軟件、個(gè)人防火墻等）雖然可以有效地查殺木馬

2、、病毒等僵尸程序，可以抵擋一些網(wǎng)絡(luò)攻擊，但是近幾年出現(xiàn)的某些殺毒軟件的誤刪事件，證明基于主機(jī)的檢測(cè)手段在防范和檢測(cè)木馬、病毒等僵尸程序時(shí)已經(jīng)力不從心。安裝在僵尸主機(jī)上的僵尸客戶端為了隱藏自己，除了在文件、進(jìn)程等方面隱藏自己外，還會(huì)在數(shù)據(jù)包層面隱藏自己，將特征串縮短，并分散于多個(gè)數(shù)據(jù)包中。這使得傳統(tǒng)的通過(guò)數(shù)據(jù)包過(guò)濾來(lái)檢測(cè)僵尸主機(jī)的方法很難奏效，精確度也大幅下降。本文提出了一種基于組特征過(guò)濾器的檢測(cè)方法，使用多個(gè)成員特征對(duì)內(nèi)網(wǎng)主機(jī)數(shù)據(jù)包進(jìn)行

3、過(guò)濾，以O(shè)（t·mn）的空間開(kāi)銷(xiāo)為代價(jià)，應(yīng)對(duì)短特征串和特征串的包分散問(wèn)題，并能與傳統(tǒng)的特征匹配算法相兼容。
　　 本文闡述了組特征檢測(cè)算法和檢測(cè)系統(tǒng)的實(shí)現(xiàn)細(xì)節(jié)，并對(duì)仿真環(huán)境實(shí)驗(yàn)和天津市教育城域骨干網(wǎng)真實(shí)流量實(shí)驗(yàn)進(jìn)行了展示，同時(shí)對(duì)系統(tǒng)的檢測(cè)結(jié)果進(jìn)行了分析。實(shí)驗(yàn)證明本文提出的基于組特征過(guò)濾算法的僵尸網(wǎng)絡(luò)檢測(cè)方法是切實(shí)可行的，基于組特征過(guò)濾技術(shù)的僵尸主機(jī)檢測(cè)系統(tǒng)是有效的。此外，本文所實(shí)現(xiàn)的檢測(cè)系統(tǒng)解決了在高速網(wǎng)絡(luò)流量下的實(shí)時(shí)捕包問(wèn)題，