基于主動方式的僵尸網(wǎng)絡(luò)檢測系統(tǒng)設(shè)計與實現(xiàn).pdf

1、僵尸網(wǎng)絡(luò)是指控制者通過僵尸程序控制大量被感染的主機而形成的一種攻擊網(wǎng)絡(luò)，控制者可以利用僵尸網(wǎng)絡(luò)進行DDOS攻擊、發(fā)送垃圾郵件等多種形式的惡意活動，僵尸網(wǎng)絡(luò)給互聯(lián)網(wǎng)安全帶來了嚴(yán)重的威脅。
　　目前僵尸網(wǎng)絡(luò)檢測已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的熱點研究問題，僵尸網(wǎng)絡(luò)檢測技術(shù)已經(jīng)得到了廣泛重視。蜜罐技術(shù)是網(wǎng)絡(luò)安全檢測與分析的重要途徑，但是蜜罐被動地等待惡意代碼的入侵，不能捕獲通過網(wǎng)絡(luò)下載和瀏覽器漏洞傳播的惡意代碼，而且消耗資源大、檢測周期長。惡

2、意代碼捕獲技術(shù)能夠捕獲大量的惡意代碼，但缺少從惡意代碼中提取僵尸程序的有效方法。僵尸網(wǎng)絡(luò)通信信息的內(nèi)在特性提取是僵尸網(wǎng)絡(luò)檢測的關(guān)鍵，目前工作缺乏對僵尸程序的主動研究，同時也缺少對大規(guī)模的僵尸網(wǎng)絡(luò)內(nèi)在特性的分析和研究。
　　針對目前僵尸網(wǎng)絡(luò)檢測存在的問題與不足，本文對惡意代碼樣本獲取、僵尸程序的提取與分析和僵尸網(wǎng)絡(luò)通信特征進行了深入的分析和研究，在此基礎(chǔ)上設(shè)計并實現(xiàn)了一種基于主動方式的僵尸網(wǎng)絡(luò)檢測系統(tǒng)。本文的主要工作有:(1)基于主

3、動技術(shù)的惡意代碼捕獲方法結(jié)合了網(wǎng)絡(luò)爬蟲和客戶端蜜罐思想，主動地獲取惡意代碼，并且能捕獲通過網(wǎng)絡(luò)下載和瀏覽器漏洞傳播的惡意代碼?；赩irusShare下載的惡意代碼獲取方法能夠在短時間內(nèi)高效地獲得大量惡意代碼，這兩種方法為僵尸網(wǎng)絡(luò)研究提供了重要數(shù)據(jù)來源。(2)提出了基于反病毒引擎的自動化提取僵尸程序的方法，該方法能夠有效的從惡意代碼中提取僵尸程序;基于虛擬機的僵尸程序分析方法能夠獲得大量的僵尸程序通信數(shù)據(jù)。(3)僵尸網(wǎng)絡(luò)通信特征研究的主