基于機(jī)網(wǎng)聯(lián)合的P2P Bot檢測方法的研究與實(shí)現(xiàn).pdf

1、隨著信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)的應(yīng)用已深入到社會各個行業(yè)，人們在感受互聯(lián)網(wǎng)所帶來眾多優(yōu)勢的同時(shí)，也越來越重視網(wǎng)絡(luò)安全問題。僵尸網(wǎng)絡(luò)（Botnet）已經(jīng)成為現(xiàn)代社會中最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一，尤其是利用P2P技術(shù)的僵尸網(wǎng)絡(luò)，更是網(wǎng)絡(luò)安全界共同關(guān)心的熱點(diǎn)，如何有效地檢測和防御P2P僵尸網(wǎng)絡(luò)已經(jīng)成為當(dāng)前安全研究機(jī)構(gòu)緊迫的研究課題。目前，僵尸網(wǎng)絡(luò)的檢測方法大部分集中在對IRC協(xié)議僵尸網(wǎng)絡(luò)的檢測，而對P2P協(xié)議的僵尸網(wǎng)絡(luò)的檢測還處于研究階段，尚未

2、有相對完善的檢測方法，所以探討對P2P僵尸網(wǎng)絡(luò)的檢測具有重要的實(shí)際意義。為了應(yīng)對P2P僵尸網(wǎng)絡(luò)的威脅，提高主機(jī)的防護(hù)能力，保證局域網(wǎng)絡(luò)的安全，需要不斷研究新的、更加有效的檢測方法。
　　針對P2P僵尸網(wǎng)絡(luò)的檢測問題，本文在借鑒一些已有的P2P僵尸程序檢測方法的基礎(chǔ)上，提出了一種基于主機(jī)與網(wǎng)絡(luò)聯(lián)合的P2P僵尸程序檢測方法。該方法由主機(jī)端檢測和服務(wù)器端檢測兩部分構(gòu)成，可以根據(jù)P2P僵尸程序在不同狀態(tài)下所呈現(xiàn)出的行為特點(diǎn)進(jìn)行檢測，既能夠

3、在主機(jī)端對活躍態(tài)的僵尸程序進(jìn)行快速檢測，又可以在服務(wù)器端對處于穩(wěn)定態(tài)的P2P僵尸程序進(jìn)行檢測，解決了一些方法中對處于穩(wěn)定態(tài)的僵尸程序檢測效率低的問題。本文首先在基于主機(jī)端的檢測方法中，分析了P2P應(yīng)用程序通信的流量特點(diǎn)，提出了識別P2P流量的算法;研究了利用Detours技術(shù)監(jiān)視進(jìn)程API函數(shù)調(diào)用的過程，設(shè)計(jì)了依據(jù)N-gram模型提取指定進(jìn)程API函數(shù)序列特征子串的算法;運(yùn)用LDA分析，設(shè)計(jì)了通過進(jìn)程特征子串的概率區(qū)分正常程序和P2P僵

4、尸程序的方法。然后，在基于服務(wù)器端的檢測方法中，研究了穩(wěn)定態(tài)下P2P僵尸程序的通信特點(diǎn)，提出了依據(jù)自相關(guān)性原理檢測周期性流量的方法，以及通過聚類分析和結(jié)構(gòu)檢驗(yàn)判斷P2P僵尸主機(jī)的方法。最后，聯(lián)合這兩種方法，提出了基于主機(jī)與網(wǎng)絡(luò)聯(lián)合的P2P僵尸程序檢測方法，并在進(jìn)行了需求分析的基礎(chǔ)上，實(shí)現(xiàn)了依據(jù)這種方法設(shè)計(jì)的P2P Bot Detector原型系統(tǒng)，該檢測系統(tǒng)可以對局域網(wǎng)內(nèi)部主機(jī)進(jìn)行監(jiān)視，及時(shí)檢測P2P僵尸程序的存在，以實(shí)現(xiàn)保護(hù)局域網(wǎng)絡(luò)內(nèi)