基于P2P協(xié)議的僵尸網(wǎng)絡(luò)的檢測.pdf

1、僵尸網(wǎng)絡(luò)是指攻擊者通過傳播僵尸程序感染大量主機(jī)，使用命令與控制機(jī)制遠(yuǎn)程控制這些被感染的主機(jī)而組成的網(wǎng)絡(luò)?；赑2P協(xié)議的僵尸網(wǎng)絡(luò)是指使用P2P技術(shù)來構(gòu)建命令與控制機(jī)制的僵尸網(wǎng)絡(luò)，由于繼承P2P網(wǎng)絡(luò)良好的可擴(kuò)展性，魯棒性等特征，相比于其他類型的僵尸網(wǎng)絡(luò)而言對網(wǎng)絡(luò)安全造成了更大的威脅，同時(shí)由于可隱藏于正常的P2P流量中，基于P2P協(xié)議的僵尸網(wǎng)絡(luò)也更難檢測和防范。目前雖有不少組織和研究者對僵尸網(wǎng)絡(luò)進(jìn)行研究，但多是針對基于IRC協(xié)議的僵尸網(wǎng)絡(luò)，

2、而針對P2P協(xié)議的僵尸網(wǎng)絡(luò)檢測技術(shù)仍處在初級階段，如何提高基于P2P協(xié)議的僵尸網(wǎng)絡(luò)檢測的效率和準(zhǔn)確率，提出實(shí)際可行的檢測方案仍然是一個(gè)值得深入探討的研究方向。
　　本文在上述背景以及在863項(xiàng)目“主動(dòng)發(fā)現(xiàn)的惡意代碼應(yīng)急響應(yīng)系統(tǒng)”的研究和實(shí)施過程中對僵尸病毒型惡意代碼從入侵檢測及數(shù)據(jù)挖掘展開研究。首先介紹僵尸網(wǎng)絡(luò)的相關(guān)知識以及基于P2P協(xié)議的僵尸網(wǎng)絡(luò)的技術(shù)背景，分別論述了僵尸網(wǎng)絡(luò)的定義、發(fā)展、命令與控制機(jī)制及生命周期、P2P技術(shù)的概

3、況、拓?fù)浣Y(jié)構(gòu)劃分。在此基礎(chǔ)上，針對5種具有代表性的基于P2P協(xié)議的僵尸網(wǎng)絡(luò)(Slapper,Sinit,PhatBot,Peacomm,Waledac)從感染過程、主機(jī)行為、P2P機(jī)制等方面進(jìn)行了詳細(xì)分析，隨后從宏觀上對P2P僵尸網(wǎng)絡(luò)進(jìn)行了總結(jié)，包括P2P技術(shù)在僵尸網(wǎng)絡(luò)中的應(yīng)用以及P2P僵尸網(wǎng)絡(luò)在生命周期中的行為特征分析。
　　在此基礎(chǔ)上，提出了從P2P僵尸網(wǎng)絡(luò)在不同階段表現(xiàn)出的異常行為切入點(diǎn)實(shí)施檢測的方法，設(shè)計(jì)并實(shí)現(xiàn)了一種基于信

4、息融合的檢測模型，該模型根據(jù)主機(jī)行為，網(wǎng)絡(luò)行為及P2P特征判斷P2P Bot疑似主機(jī)的存在，隨后根據(jù)Bot主機(jī)狀態(tài)轉(zhuǎn)移的相似性來進(jìn)行全局的Botnet分類分析，通過全局分析準(zhǔn)確檢測P2P僵尸網(wǎng)絡(luò)并發(fā)送二次告警；利用隱馬爾科夫鏈建模，利用貝葉斯分類法進(jìn)行狀態(tài)的識別。在有效地檢測到基于P2P僵尸網(wǎng)絡(luò)的同時(shí)，挖掘出屬于同一個(gè)僵尸網(wǎng)絡(luò)中的節(jié)點(diǎn)，并可以根據(jù)時(shí)序地域等信息預(yù)測僵尸網(wǎng)絡(luò)的擴(kuò)散。通過對原型系統(tǒng)測試，系統(tǒng)檢測的漏報(bào)率為5.4％、誤報(bào)率為4