僵尸網(wǎng)絡(luò)研究畢業(yè)論文

1、<p><b>　　XXXXXXX</b></p><p>　　畢 業(yè) 論 文</p><p>　　課題名稱: 僵尸網(wǎng)絡(luò)研究 </p><p>　　學(xué)生姓名： </p><p>　　學(xué) 號(hào) ： </p>

2、<p>　　專 業(yè)： 網(wǎng)絡(luò)系統(tǒng)管理 </p><p>　　班 級(jí)： </p><p>　　指導(dǎo)教師： </p><p><b>　　2012年3 月</b></p><p><b>　　僵尸

3、網(wǎng)絡(luò)研究</b></p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)，作為當(dāng)代生活中不可缺少的一部分，與人類的日常生活聯(lián)系的愈發(fā)的緊密，也越來越多的涉及到人們的私密生活中。隨之誕生的網(wǎng)絡(luò)安全問題也成為了整個(gè)社會(huì)關(guān)注的公共問題。</p><p>　　垃圾郵件在網(wǎng)上盛行，DDOS （DDOS--Distributed

4、 Denial of service (分布式拒絕服務(wù)攻擊),是指很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器）攻擊成為當(dāng)前網(wǎng)絡(luò)安全上的主要問題，。那么何為僵尸網(wǎng)絡(luò)呢，僵尸網(wǎng)絡(luò)又會(huì)給人們帶來什么呢。本文中將會(huì)帶您了解僵尸網(wǎng)絡(luò)的演化過程和基本定義,深入剖析了僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)與工作機(jī)制,討論了僵尸網(wǎng)絡(luò)的命令與控制機(jī)制和傳播模型,并歸納總結(jié)了目前跟蹤、檢測和防御僵尸網(wǎng)絡(luò)的最新研究成果,最后探討了僵尸網(wǎng)絡(luò)的發(fā)展趨勢和進(jìn)一步的研究方向.。</p&g

5、t;<p>　　關(guān)鍵詞：僵尸網(wǎng)絡(luò) DDOS攻擊 網(wǎng)絡(luò)安全 bot程序</p><p>　　Zombie network of research</p><p><b>　　Abstract</b></p><p>　　Network, as a contemporary the indispensable part in l

6、ife, and the daily life of human contact more close together, also more and more related to people's private life. Then the birth of the network security has become the entire society public issues of concern.</p&

7、gt;<p>　　Spam in online popular, DDOS (DDOS--Distributed Denial of service (Distributed Denial of service attack), it is to point to a lot of DOS attack against a source with server) attack become the network secu

8、rity problems,. So what is a botnet? Botnet and will bring people? This article will show you know the botnet evolution process and the basic definition, analyzed the function of the botnet structure and working mechanis

9、m, and discussed the botnet command and control mechanism and propagation mo</p><p>　　Keywords: botnets DDOS attack network security bot program</p><p><b>　　目錄</b></p><

10、;p>　　第一章 僵尸網(wǎng)絡(luò)的介紹.5</p><p>　　1.1 僵尸網(wǎng)絡(luò)的定義.5</p><p>　　1.2 僵尸網(wǎng)絡(luò)的危害.5</p><p>　　1.3 僵尸網(wǎng)絡(luò)的特點(diǎn)和分類.5</p><p>　　第二章 僵尸網(wǎng)絡(luò)的起源與發(fā)展過程.7</p><p>　　2.1 僵尸網(wǎng)絡(luò)的起源.7</

11、p><p>　　2.2 發(fā)展過程.7</p><p>　　第三章 僵尸網(wǎng)絡(luò)的工作原理.7</p><p>　　3.1基于IRC控制方式的原理.7</p><p>　　3.2 基于HTTP協(xié)議的原理.9</p><p>　　3.3基于P2P通信方式原來.9</p><p>　　第四章 僵尸網(wǎng)

12、絡(luò)的檢測與防御.9</p><p>　　4.1 基于IRC控制方式的僵尸網(wǎng)絡(luò)檢測.9</p><p>　　4.2 基于HTTP控制方式的僵尸網(wǎng)絡(luò)檢測.10</p><p>　　4.3基于P2P控制方式的僵尸網(wǎng)絡(luò)檢測.10</p><p>　　4.4 應(yīng)對(duì)措施.10</p><p>　　第五章 總結(jié)與展望.1

13、3</p><p>　　5.1 僵尸網(wǎng)絡(luò)的研究現(xiàn)狀.13</p><p>　　5.2 發(fā)展前景與總結(jié) .13</p><p><b>　　致謝.14</b></p><p><b>　　參考文獻(xiàn).14</b></p><p>　　第一章 僵尸網(wǎng)絡(luò)的介紹</p&g

14、t;<p><b>　　1.1僵尸網(wǎng)絡(luò)定義</b></p><p>　　目前，僵尸網(wǎng)絡(luò)是近年來興起的危害互聯(lián)網(wǎng)的重大安全威脅之一。它是一種從傳統(tǒng)惡意代碼形態(tài)進(jìn)化而來的新型攻擊方式，為攻擊者提供了隱匿、靈活且高效的一對(duì)多命令與控制機(jī)制，可以控制大量僵尸主機(jī)實(shí)現(xiàn)信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意攻擊。</p><p>　　僵尸網(wǎng)絡(luò)是攻擊者出于惡

15、意目的，采用一種或多種傳播手段，將互聯(lián)網(wǎng)上的大量主機(jī)感染僵尸程序，從而在控制者和被感染主機(jī)之間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)與其他攻擊方式最大的區(qū)別在于攻擊者和僵尸主機(jī)之間存在著一對(duì)多的控制關(guān)系，而正是這種一對(duì)多的控制關(guān)系，使得攻擊者能夠以極低的代價(jià)高效地控制大量的資源并為其服務(wù)，這也是僵尸網(wǎng)絡(luò)攻擊模式近年來受到黑客青睞的根本原因。</p><p>　　1.2僵尸網(wǎng)絡(luò)的危害</p><p&

16、gt;　　網(wǎng)絡(luò)的危害主要分為以下幾個(gè)方面：</p><p><b>　　(1)二次本地感染</b></p><p>　　由于Bot植入被害主機(jī)后，會(huì)主動(dòng)能過控制節(jié)點(diǎn)和攻擊者取得聯(lián)系，執(zhí)行攻擊者的命令，攻擊者可利用此功能向被控主機(jī)傳送新的Bot程序或者其它的惡意軟件。</p><p><b>　　(2)竊取資源</b><

17、;/p><p>　　攻擊者可在被害主機(jī)植入專門的程序，不僅可以竊取被害主機(jī)的機(jī)密文件，還可以記錄用戶的各種帳號(hào)、密碼等身份數(shù)據(jù)資源，這就有可能給用戶造成直接的經(jīng)濟(jì)損失。</p><p>　　(3)發(fā)起新的蠕蟲攻擊</p><p>　　攻擊者可以預(yù)先在被害主機(jī)內(nèi)植入蠕蟲代碼，然后讓大量的被害主機(jī)同時(shí)運(yùn)行蠕蟲代碼，這樣不僅增強(qiáng)了蠕蟲攻擊的破壞性，而且攻擊速度明顯加快，更加難

18、以防范。</p><p>　　(4)分布式拒絕服務(wù)攻擊(DDoS)：</p><p>　　攻擊者通過控制大量的僵尸計(jì)算機(jī)，可以發(fā)起TCP、UDP、ICMP、SYN Flood等多種高強(qiáng)度的拒絕服務(wù)攻擊，并且源IP地址和數(shù)據(jù)包結(jié)構(gòu)隨機(jī)變化，更加加大了檢測的難度。</p><p>　　(5)發(fā)送垃圾郵件(spam)</p><p>　　用僵尸網(wǎng)絡(luò)

19、發(fā)送垃圾郵件，可以隱藏自身的真實(shí)IP，躲避法律的追究。據(jù)CERT和MessageLab統(tǒng)計(jì)，僵尸網(wǎng)絡(luò)已成為發(fā)送垃圾郵件主要手段之一。</p><p><b>　　(6)其他違法行為</b></p><p>　　比如利用僵尸主機(jī)騙取網(wǎng)站廣告點(diǎn)擊等其他違法操作。</p><p>　　1.3僵尸網(wǎng)絡(luò)的特點(diǎn)和分類</p><p>

20、;　　僵尸網(wǎng)絡(luò)是從傳統(tǒng)惡意代碼形態(tài)包括計(jì)算機(jī)病毒，網(wǎng)絡(luò)蠕蟲，特洛伊木馬和后門工具的基礎(chǔ)上進(jìn)化，并通過相互融合發(fā)展而成的目前最為復(fù)雜的攻擊方式之一。這就使得僵尸網(wǎng)絡(luò)具有以下特點(diǎn)：</p><p>　　首先，僵尸網(wǎng)絡(luò)是一個(gè)可控制的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播，找到那些在互聯(lián)網(wǎng)上沒有受到保護(hù)的電腦，而不斷有新位置的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來，通過數(shù)百

21、萬發(fā)送垃圾郵件的家庭電腦來不斷的擴(kuò)展。</p><p>　　其次，惡意程序（或者說bot程序）通常經(jīng)過應(yīng)用軟件，像游戲、文件共享程序、定制的工具欄等被自由的下載。有時(shí)，當(dāng)您訪問不良的網(wǎng)站時(shí)，它們也會(huì)被自動(dòng)的下載并安裝進(jìn)您的電腦中。或者通過垃圾郵件發(fā)送者發(fā)送給您有附件、鏈接或圖片的郵件，當(dāng)您點(diǎn)擊它們的時(shí)候，就會(huì)悄悄地安裝惡意軟件。這樣僵尸網(wǎng)絡(luò)有很多的傳播手段，來侵入到您的電腦中，不知不覺中您的電腦也成為其中的一員，

22、向您所知的用戶繼續(xù)傳播，所以僵尸網(wǎng)絡(luò)在出現(xiàn)后得到了急速的發(fā)展，威脅著網(wǎng)絡(luò)的安全。</p><p>　　Botnet最主要的特點(diǎn)可以說是可以一對(duì)多地執(zhí)行相同的惡意行為，比如可以同時(shí)對(duì)某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)（DDos）攻擊，同時(shí)發(fā)送大量的垃圾郵件等，而正是這種一對(duì)多的控制關(guān)系，使得攻擊者能夠以極低的代價(jià)高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時(shí)候，B

23、otnet充當(dāng)了一個(gè)攻擊平臺(tái)的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。</p><p>　　常見的僵尸網(wǎng)絡(luò)通信控制方式分類有如下3種：</p><p><b>　　IRC通信控制方式</b></p><p>　　即攻擊者在公共或者私密的IRC聊天服務(wù)器中開辟私有聊天頻道作為控制頻道，僵尸程序在運(yùn)行時(shí)會(huì)根據(jù)

24、預(yù)置的連接認(rèn)證信息自動(dòng)尋找和連接這些IRC控制頻道，收取頻道中的控制信息。攻擊者則通過控制頻道向所有連接的僵尸程序發(fā)送指令。</p><p>　　(2)HTTP協(xié)議的命令與控制</p><p>　　由于用IRC方式比較容易被發(fā)現(xiàn)，于是出現(xiàn)了另一種方式，就是HTTP基于的連接和共享數(shù)據(jù)方式。僵尸主機(jī)通過HTTP協(xié)議連接到服務(wù)器上，控制者也連接到服務(wù)器上發(fā)送控制命令。由于現(xiàn)在網(wǎng)路上有大量的HT

25、TP數(shù)據(jù)包，所以這種方式不容易被防火墻發(fā)現(xiàn)而截獲。</p><p>　　(3)P2P通信方式</p><p>　　以上兩種方式，如果中心服務(wù)器被發(fā)現(xiàn)而斷掉，整個(gè)僵尸網(wǎng)絡(luò)就垮掉了，所以出現(xiàn)了第三種僵尸網(wǎng)絡(luò)。該類僵尸網(wǎng)絡(luò)中使用的程序本身包含了P2P的客戶端，可以連入采用了Gnutella技術(shù)(一種開放源碼的文件共享技術(shù))的服務(wù)器，利用WASTE文件共享協(xié)議進(jìn)行相互通信。由于這種協(xié)議分布式地進(jìn)行

26、連接，就使得每一個(gè)僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信，而當(dāng)有一些僵尸主機(jī)被發(fā)現(xiàn)時(shí)，并不會(huì)影響到僵尸主機(jī)的生存，所以這類的僵尸網(wǎng)絡(luò)具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對(duì)復(fù)雜的特點(diǎn)。Agobot和Phatbot采用了P2P的方式。</p><p>　　第二章 僵尸網(wǎng)絡(luò)的起源與發(fā)展過程</p><p>　　2.1僵尸網(wǎng)絡(luò)的起源</p><p>　　Botnet是隨著自

27、動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來的。最初，bot是用于在UNIX環(huán)境中自動(dòng)執(zhí)行那些系統(tǒng)管理員要經(jīng)常執(zhí)行的無聊的任務(wù)。</p><p>　　在早期的IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年，在IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了Bot 工具——Eggdrop，這是第一個(gè)bot程序，能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡(luò)。這

28、種bot的功能是良性的，是出于服務(wù)的目的，然而這個(gè)設(shè)計(jì)思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對(duì)大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。</p><p>　　2.2僵尸網(wǎng)絡(luò)的發(fā)展過程</p><p>　　20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感

29、染主機(jī)，發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。 </p><p>　　1999 年，在第八屆DEFCON 年會(huì)上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道，也成為第一個(gè)真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。 </p>

30、<p>　　2003 年之后，隨著蠕蟲技術(shù)的不斷成熟，bot的傳播開始使用蠕蟲的主動(dòng)傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎(chǔ)上，開始獨(dú)立使用P2P 結(jié)構(gòu)構(gòu)建控制信道。</p><p>　　至于目前網(wǎng)絡(luò)上流傳的bot，更是各種情況傳播手段的混合體，如結(jié)合病毒、木馬、蠕

31、蟲、間諜軟件、搜索引擎等傳播手段。黑客對(duì)僵尸程序不斷進(jìn)行創(chuàng)新和發(fā)展，如使用加密控制信道、使用P2P網(wǎng)絡(luò)傳播、使用Http隧道加密、定期更新bot程序的免殺功能等，使得我們對(duì)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)、跟蹤和反制更加困難了。 </p><p>　　從良性bot的出現(xiàn)到惡意bot的實(shí)現(xiàn)，從被動(dòng)傳播到利用蠕蟲技術(shù)主動(dòng)傳播，從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣

32、、不易檢測的惡意網(wǎng)絡(luò)。</p><p>　　第三章 僵尸網(wǎng)絡(luò)的工作原理</p><p>　　3.1 基于IRC控制方式的僵尸網(wǎng)絡(luò)原理</p><p>　　IRC協(xié)議采用C/S模式，用戶可以通過客戶端連接到IRC服務(wù)器，建立、選擇并加入感興趣的頻道，每個(gè)用戶都可以將消息發(fā)送給頻道內(nèi)所有其他用戶，也可以單獨(dú)發(fā)給某個(gè)用戶。頻道的管理員可以設(shè)置頻道的屬性，例如：設(shè)置密碼、設(shè)

33、置頻道為隱藏模式。</p><p>　　如上圖所示，攻擊者首先通過各種傳播方式使得目標(biāo)主機(jī)感染僵尸程序。通常編寫自己的僵尸程序，它只支持部分IRC命令，并將收到的消息作為命令進(jìn)行解釋執(zhí)行。編寫好僵尸程序，建立起自己的IRC服務(wù)器后，攻擊者會(huì)采用不同的方式將僵尸程序植入用戶計(jì)算機(jī)，例如：通過蠕蟲進(jìn)行主動(dòng)傳播、利用系統(tǒng)漏洞直接侵入計(jì)算機(jī)、通過電子郵件或者即時(shí)聊天工具，欺騙用戶下載并執(zhí)行僵尸程序、利用IRC協(xié)議的DCC

34、命令，直接通過IRC服務(wù)器進(jìn)行傳播，還可以在網(wǎng)頁中嵌入惡意代碼等待用戶瀏覽等。</p><p>　　當(dāng)bot在被感染計(jì)算機(jī)上運(yùn)行后，以一個(gè)隨機(jī)的匿名和內(nèi)置密碼連接到特定的IRC服務(wù)器，并加入指定的頻道。</p><p>　　攻擊者普遍使用動(dòng)態(tài)域名服務(wù)將僵尸程序連接的域名映射到他所控制的多臺(tái)IRC服務(wù)器上，從而避免由于單一服務(wù)器被摧毀后導(dǎo)致整個(gè)僵尸網(wǎng)絡(luò)癱瘓的情況。</p>&l

35、t;p>　　僵尸程序加入到攻擊者私有的IRC命令與控制信道中。加入信道的大量僵尸程序監(jiān)聽控制指令。</p><p>　　攻擊者隨時(shí)登陸該頻道，并發(fā)送認(rèn)證消息，認(rèn)證通過后，隨即向活躍的僵尸程序(或者暫時(shí)非活躍的僵尸程序)發(fā)送控制指令。bot讀取所有發(fā)送到頻道的消息或者是頻道的標(biāo)題，如果是已通過認(rèn)證的攻擊者的可識(shí)別的指令，則立即執(zhí)行。通常這些指令涉及更新bot程序、傳輸或下載指定文件、遠(yuǎn)程控制連接、發(fā)起拒絕服務(wù)

36、攻擊、開啟代理服務(wù)器等等。</p><p>　　僵尸程序接受指令，并調(diào)用對(duì)應(yīng)模塊執(zhí)行指令，從而完成攻擊者的攻擊目標(biāo)。</p><p>　　通過上面的過程，攻擊者把原本不相關(guān)的很多主機(jī)關(guān)聯(lián)到一起，發(fā)起信息盜取，攻擊等操作。</p><p>　　3.2 基于HTTP協(xié)議的原理</p><p>　　由于IRC有特定端口和特定的特征，所以容易被跟蹤和

37、發(fā)現(xiàn)，這樣就出現(xiàn)了另外一種方式，基于HTTP的方式。這種方式和IRC方式差別不大，只是把IRC服務(wù)器換成了HTTP服務(wù)器。</p><p>　　3.3 基于P2P通信方式原理</p><p>　　如上圖所示p2p僵尸網(wǎng)絡(luò)沒有固定服務(wù)器做主機(jī)，分散式主機(jī)。P2P僵尸網(wǎng)絡(luò)或者使用已存在的P2P協(xié)議，或者使用自定義的 P2P協(xié)議。由于 P2P 網(wǎng)絡(luò)本身具有的對(duì)等節(jié)點(diǎn)特性，在 P2P僵尸網(wǎng)絡(luò)中不

38、存在只充當(dāng)服務(wù)器角色的僵尸網(wǎng)絡(luò)控制器 ,而是由僵尸程序同時(shí)承擔(dān)客戶端和服務(wù)器的雙重角色。每個(gè)僵尸主機(jī)(節(jié)點(diǎn))接受攻擊者的命令時(shí)扮演的是客戶端角色。同時(shí) ,它把接收到的命令傳播到其它節(jié)點(diǎn)，這時(shí)扮演的是服務(wù)端角色。僵尸主機(jī)中又分為兩種：一種是有公網(wǎng)IP，另一種沒有公網(wǎng)IP。沒有公網(wǎng)IP的主機(jī)只能做被控主機(jī)。</p><p>　　P2P僵尸網(wǎng)絡(luò)目前還沒有固定的形式，有多種形式，例如：分層構(gòu)建、分片構(gòu)建等</p&g

39、t;<p>　　第四章 僵尸網(wǎng)絡(luò)的檢測與防御</p><p>　　4.1基于IRC控制方式的僵尸網(wǎng)絡(luò)檢測</p><p>　　目前國內(nèi)外的IRC僵尸網(wǎng)絡(luò)監(jiān)控技術(shù)主要包括：基于蜜罐，蜜網(wǎng)的監(jiān)控方法、基于網(wǎng)絡(luò)流量特征分析的監(jiān)控方法和基于頻道特征分析的監(jiān)控方法。</p><p>　　國內(nèi)外有很多蜜罐研究機(jī)構(gòu)，蜜罐檢測是在互聯(lián)網(wǎng)上部署蜜罐引誘來自僵尸網(wǎng)絡(luò)的攻擊

40、、搜集僵尸程序樣本。通過監(jiān)控和分析蜜罐主機(jī)的詳細(xì)日志來發(fā)現(xiàn)和跟蹤僵尸網(wǎng)絡(luò)。但無法發(fā)現(xiàn)已有的并不再傳播的僵尸網(wǎng)絡(luò)</p><p>　　基于網(wǎng)絡(luò)流量特征分析的僵尸網(wǎng)絡(luò)主要利用分布部署的互聯(lián)網(wǎng)監(jiān)測平臺(tái)收集僵尸網(wǎng)絡(luò)的通信流量。通過特征匹配（IRC僵尸網(wǎng)絡(luò)有很鮮明的特征）和關(guān)聯(lián)分析技術(shù)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)。影響較大的包括國外的Ddos。Vax組織、CAIDA組織和FORNET項(xiàng)目組織，以及國內(nèi)的CNCERT／CC組織。基于網(wǎng)絡(luò)流量

41、特征分析的方法不僅可以發(fā)現(xiàn)和跟蹤正在傳播的僵尸網(wǎng)絡(luò)，還可以發(fā)現(xiàn)和跟蹤不再傳播的僵尸網(wǎng)絡(luò)。但對(duì)網(wǎng)絡(luò)流量采集器的部署要求較高。一般研究組織無法具備這個(gè)條件。</p><p>　　基于IRC頻道特征分析的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)和跟蹤方法是的主要原理是收集（包括主動(dòng)和被動(dòng)收集）某些IRC頻道的特征屬性，并通過先前建立的知識(shí)庫信息來判別該IRC頻道是否為僵尸網(wǎng)絡(luò)。J.R.Binkey采用被動(dòng)方式對(duì)波特蘭州立大學(xué)校園網(wǎng)絡(luò)進(jìn)行監(jiān)控。統(tǒng)計(jì)

42、IRC服務(wù)器頻道內(nèi)各客戶端的消息發(fā)送行為和網(wǎng)絡(luò)掃描行為，最后根據(jù)網(wǎng)絡(luò)掃描數(shù)量比例對(duì)這些IRC頻道進(jìn)行排序，將那些包含多數(shù)掃描節(jié)點(diǎn)的頻道判定為僵尸頻道。</p><p>　　數(shù)據(jù)挖掘的僵尸網(wǎng)絡(luò)測量，利用大量數(shù)據(jù)提取僵尸程序的特征。</p><p>　　4.2基于HTTP控制方式的僵尸網(wǎng)絡(luò)檢測</p><p>　　因?yàn)樵摲绞胶虸RC的通信和管理相似，可以用IRC的一些技

43、術(shù)實(shí)現(xiàn)檢測。</p><p>　　4.3基于P2P控制方式的僵尸網(wǎng)絡(luò)檢測</p><p>　　對(duì)于P2P的檢測，不同的研究者提出了不同的測量方式。</p><p>　　基于簽名的檢測，用DPI技術(shù)檢測僵尸網(wǎng)絡(luò)。但是不能檢測未知僵尸</p><p>　　基于反常情況的檢測，該方法同樣需要在主干網(wǎng)上進(jìn)行流量統(tǒng)計(jì)與分析，此方法可以檢測未知僵尸程序，

44、但是該方法也有缺陷，不能檢測沒有發(fā)起攻擊的僵尸網(wǎng)絡(luò)。</p><p><b>　　4.4 應(yīng)對(duì)措施</b></p><p><b>　　采用Web過濾服務(wù)</b></p><p>　　Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點(diǎn)發(fā)出的不正常的行為，或者掃描已知的惡意活動(dòng)，并且阻止這些站點(diǎn)與用戶接觸。 &

45、lt;/p><p><b>　　轉(zhuǎn)換瀏覽器</b></p><p>　　防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox.當(dāng)然這兩者確實(shí)是最流行的，不過正因?yàn)槿绱?，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)。據(jù)統(tǒng)計(jì)，Macs很少受到僵尸網(wǎng)絡(luò)的侵?jǐn)_，正如桌面Lin

46、ux操作系統(tǒng)，因?yàn)榇蠖鄶?shù)僵尸的罪魁禍?zhǔn)锥及涯繕?biāo)指向了流行的Windows. </p><p><b>　　禁用腳本</b></p><p>　　另一個(gè)更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時(shí)候這會(huì)不利于工作效率，特別是如果雇員們?cè)谄涔ぷ髦惺褂昧硕ㄖ频?、基于Web的應(yīng)用程序時(shí)，更是這樣。 </p><p>　　部署入侵檢測和入侵防御系

47、統(tǒng)</p><p>　　另一種方法是調(diào)整你的IDS(入侵檢測系統(tǒng))和IPS(入侵防御系統(tǒng))，使之查找有僵尸特征的活動(dòng)。 </p><p><b>　　保護(hù)用戶生成的內(nèi)容</b></p><p>　　還應(yīng)該保護(hù)你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒有朝著WEB 2.0社會(huì)網(wǎng)絡(luò)邁進(jìn)，你公司的公共博客和論壇就應(yīng)該

48、限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點(diǎn)，他是社會(huì)化網(wǎng)絡(luò)軟件和主機(jī)服務(wù)的創(chuàng)造者。 </p><p><b>　　使用補(bǔ)救工具</b></p><p>　　如果你發(fā)現(xiàn)了一臺(tái)被感染的計(jì)算機(jī)，那么一個(gè)臨時(shí)應(yīng)急的重要措施就是如何進(jìn)行補(bǔ)救。像Symantec等公司都宣稱，他們可以檢測并清除即使隱藏最深的rootkit感染。S

49、ymantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術(shù)的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統(tǒng)的API(API是被操作系統(tǒng)所控制的，因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護(hù)系統(tǒng)免受rootkit的危害，如McAfee 和FSecure等。 </p><p><b>　　第五章 總結(jié)與展望</b>

50、;</p><p>　　5.1 僵尸網(wǎng)絡(luò)的研究現(xiàn)狀</p><p>　　對(duì)于Botnet的研究是最近幾年才逐漸開始的，從反病毒公司到學(xué)術(shù)研究機(jī)構(gòu)都做了相關(guān)的研究工作。最先研究和應(yīng)對(duì)Botnet的是反病毒廠商。它們從bot程序的惡意性出發(fā)，將其視為一種由后后門工具、蠕蟲、Spyware 等技術(shù)結(jié)合的惡意軟件而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個(gè)重要的bot程序特征碼寫入到病毒庫

51、中。賽門鐵克從2004 年開始，在其每半年發(fā)布一次的安全趨勢分析報(bào)告中，以單獨(dú)的章節(jié)給出對(duì)Botnet活動(dòng)的觀測結(jié)果?？ò退够苍趷阂廛浖厔莘治鰣?bào)告中指出，僵尸程序的盛行是2004年病毒領(lǐng)域最重大的變化。</p><p>　　國內(nèi)在2005年時(shí)開始對(duì)Botnet有初步的研究工作。北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所在2005年1月開始實(shí)施用蜜網(wǎng)跟蹤Botnet的項(xiàng)目，對(duì)收集到的惡意軟件樣本，采用了沙箱、蜜網(wǎng)這兩種各有優(yōu)

52、勢的技術(shù)對(duì)其進(jìn)行分析，確認(rèn)其是否為僵尸程序，并對(duì)僵尸程序所要連接的Botnet控制信道的信息進(jìn)行提取，最終獲得了60,000 多個(gè)僵尸程序樣本分析報(bào)告，并對(duì)其中500多個(gè)仍然活躍的Botnet進(jìn)行跟蹤，統(tǒng)計(jì)出所屬國分布、規(guī)模分布等信息可以看出，從國內(nèi)到國外，自2004年以來對(duì)Botnet的研究越來越多地受到網(wǎng)絡(luò)安全研究人員的重視，研究工作已經(jīng)大大加強(qiáng)。但是這些工作還遠(yuǎn)遠(yuǎn)不夠，在檢測和處置Botnet方面還有許多工作要做。。</p&

53、gt;<p>　　5.2 發(fā)展前景與總結(jié)</p><p>　　種統(tǒng)計(jì)數(shù)字和安全事件都表明一個(gè)趨勢：僵尸網(wǎng)絡(luò)的數(shù)量、規(guī)模和危害級(jí)別正在迅速增長。面對(duì)日漸嚴(yán)重的網(wǎng)絡(luò)安全形勢，面向網(wǎng)絡(luò)安全的關(guān)于僵尸網(wǎng)絡(luò)的研究已經(jīng)成為一個(gè)具有重大應(yīng)用價(jià)值的熱點(diǎn)課題。</p><p>　　IRC僵尸網(wǎng)絡(luò)這兩年僵尸網(wǎng)絡(luò)中的占有率比較大，但是也可以看出，IRC僵尸網(wǎng)絡(luò)有很大的局限性：①單點(diǎn)失效，整個(gè)僵尸網(wǎng)

54、絡(luò)依賴于IRC服務(wù)器的中心控制,網(wǎng)絡(luò)健壯性很差；②規(guī)模受限，受到IRC服務(wù)器軟硬件資源限制，中心控制點(diǎn)無法承載大規(guī)模的并發(fā)網(wǎng)絡(luò)連接；③明文傳播:由于IRC協(xié)議通過明文傳輸,流量比較容易檢測,容易暴露中心控制服務(wù)器位置和網(wǎng)絡(luò)活動(dòng)信息。</p><p>　　P2P僵尸網(wǎng)絡(luò)在隱蔽性、 可控性和健壯性方面比 IRC僵尸網(wǎng)絡(luò)有明顯的優(yōu)勢,未來僵尸網(wǎng)絡(luò)是P2P占主導(dǎo)地位。</p><p>　　未來的

55、P2P僵尸網(wǎng)絡(luò)將在拓展方式、命令與控制機(jī)制、 通信機(jī)制等方面有更大的改進(jìn),對(duì)P2P僵尸網(wǎng)絡(luò)的檢測、跟蹤、分析將更加困難。</p><p>　　經(jīng)過在畢業(yè)實(shí)習(xí)中的學(xué)習(xí)和實(shí)踐，使我對(duì)三年大學(xué)的理論知識(shí)有了更系統(tǒng)更全面的掌握，對(duì)僵尸網(wǎng)絡(luò)知識(shí)有了更進(jìn)一步的認(rèn)識(shí)，讓我了解到理論聯(lián)系實(shí)際的重要性。 致謝</p><p>　　本論文是在我的導(dǎo)師XX老師的

56、親切關(guān)懷和細(xì)心指導(dǎo)下完成的，他嚴(yán)肅的指導(dǎo)態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神以及精益求精的工作作風(fēng)深深地感染和激勵(lì)著我。從課題選擇到論文的最終完成，孫老師都始終給予我悉心的指導(dǎo)和不懈的支持，在此謹(jǐn)向秦老師致以誠摯的謝意和崇高的敬意。</p><p>　　在此，我還要感謝一起愉悅度過大學(xué)生活的XXXX的老師和同學(xué)們，正是由于你們的支持我才能克服一個(gè)一個(gè)的困難和疑惑。</p><p><b>　　參

57、考文獻(xiàn)</b></p><p>　　[1]孔雪輝，王述洋，黎粵華等. 面向網(wǎng)絡(luò)安全的關(guān)于僵尸網(wǎng)絡(luò)的研究，中國安全科學(xué)學(xué)報(bào)2009（7）</p><p>　　[2]張 冰，杜躍進(jìn)，段海新，焦緒錄. 僵尸網(wǎng)絡(luò)(NOTNET)監(jiān)控技術(shù)研究，信息安全,2008</p><p>　　[3] Maryam Feily, Alireza Shahrestani . A

58、 Survey of Botnet and Botnet Detection. 2009 Third International Conference on Emerging Security Information, Systems and Technologies</p><p>　　[4]Chung-Huang Yang，Kuang-Li Ting. Fast Deployment of Botnet De

59、tection with Traffic Monitoring. 2009 Fifth International Conference on Intelligent Information Hiding and Multimedia Signal Processing</p><p>　　[5]蔡慧梅. 僵尸網(wǎng)絡(luò)的研究與發(fā)現(xiàn)，計(jì)算機(jī)安全,2008.4</p><p>　　[6]陸偉宙，余

60、順爭.僵尸網(wǎng)絡(luò)檢測方法研究，電信科學(xué),2007.12</p><p>　　[7] Dafan Dong, Ying Wu, Liang He etc.Deep Analysis of Intending Peer-to-Peer Botnet，2008 Seventh International Conference on Grid and Cooperative Computing</p><

61、;p>　　[8] Elizabeth Van Ruitenbeek and William H. Sanders. Modeling Peer-to-Peer Botnets，Quantitative Evaluation of SysTems，2008</p><p>　　[9] Su Chang, Linfeng Zhang, Yong Guan, Thomas E. Daniels. A Framew

62、ork for P2P Botnets，2009 International Conference on Communications and Mobile Computin</p><p>　　[10]黃萍，譚良.半分布式P2P Botnet控制服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn). 計(jì)算機(jī)應(yīng)用,2009（9）</p><p>　　[11]應(yīng)凌云,馮登國,蘇璞睿. 基于P2P的僵尸網(wǎng)絡(luò)及其防御. 電子學(xué)報(bào)