僵尸網(wǎng)絡控制命令發(fā)掘與應用研究.pdf

1、僵尸網(wǎng)絡（Botnet）利用僵尸程序（Bots）傳播、感染并控制大量的終端計算機，可以獲取大量的信息資源和強大的分布式計算能力，因此逐漸成為攻擊者手中最有效的攻擊平臺之一。攻擊者和僵尸程序之間通過命令與控制信道形成一對多的控制關(guān)系，命令與控制機制使得僵尸網(wǎng)絡具有高度的可控性及更強的靈活性、私密性，僵尸程序的行為取決于從命令與控制信道獲取的控制命令信息，因此，掌握僵尸程序的控制命令及其控制機制對于僵尸網(wǎng)絡的分析與防治具有重要的意義。

2、>　　利用約束求解、路徑空間遍歷等技術(shù)提取僵尸網(wǎng)絡控制命令的方法存在復雜耗時、面臨路徑空間爆炸、無法處理混淆后的僵尸程序等缺點。本文在已有研究工作的基礎上，對如何從二進制僵尸程序中發(fā)掘出其所在僵尸網(wǎng)絡的控制命令這一課題進行了進一步研究，結(jié)合二進制動態(tài)分析技術(shù)，提出了一種利用污點傳播信息和代碼覆蓋率特征，從僵尸程序的執(zhí)行軌跡中識別出其命令控制邏輯，并基于命令控制邏輯信息提取僵尸網(wǎng)絡控制命令集合的新方法。與原有方法相比，該方法具有時間開銷小

3、、不依賴于API、需要的先驗知識少等優(yōu)點，而且可以有效地避免加殼、代碼混淆等技術(shù)對分析結(jié)果的干擾。本文選取了Zeus、Citadel、Agobot、Ice IX等六種典型的僵尸程序的樣本進行了實驗，實驗結(jié)果表明該方法能夠快速有效地提取出僵尸網(wǎng)絡的控制命令集合。
　　此外，本文還對提取出的控制命令的應用進行了探索，提出了將僵尸網(wǎng)絡的控制命令應用到僵尸程序行為分析中進行主動探測的新思路，指出了利用控制命令去主動觸發(fā)僵尸程序執(zhí)行以觀測其