基于主機(jī)的P2P僵尸病毒檢測(cè)技術(shù)研究.pdf

1、僵尸網(wǎng)絡(luò)作為一種日趨嚴(yán)重的互聯(lián)網(wǎng)安全威脅，已成為安全領(lǐng)域研究者所共同關(guān)注的熱點(diǎn)。由于目前IRC協(xié)議仍是僵尸網(wǎng)絡(luò)的主流控制協(xié)議，所以幾乎所有的相關(guān)研究都是關(guān)注IRC僵尸網(wǎng)絡(luò)控制信道的檢測(cè)和刻畫?；贗RC協(xié)議的命令與控制機(jī)制具有集中控制點(diǎn)，使得這種基于客戶端/服務(wù)器架構(gòu)的僵尸網(wǎng)絡(luò)容易被跟蹤、檢測(cè)和反制。而基于P2P技術(shù)的僵尸網(wǎng)絡(luò)在健壯性、安全性和隱蔽性等方面都有很大的提高，這給僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)和監(jiān)測(cè)帶來了挑戰(zhàn)。P2P僵尸網(wǎng)絡(luò)由于具有較強(qiáng)的個(gè)

2、性化差異，目前還沒有一種通用的檢測(cè)方法。但隨著這類僵尸網(wǎng)絡(luò)近年來的不斷發(fā)展，構(gòu)建對(duì)P2P僵尸網(wǎng)絡(luò)的有效檢測(cè)方法將是一個(gè)重要的研究課題。 本文將數(shù)據(jù)挖掘技術(shù)引入互聯(lián)網(wǎng)信息安全領(lǐng)域，選取P2P僵尸病毒作為研究對(duì)象，對(duì)其進(jìn)行有害內(nèi)容提取、主機(jī)行為分析及網(wǎng)絡(luò)通信分析，析取出其內(nèi)在活動(dòng)規(guī)律與傳播機(jī)制，挖掘出主機(jī)上的非法行為與非法鏈接，在此基礎(chǔ)上，提出了一種通用且高效的P2P僵尸病毒檢測(cè)方法，從惡意行為分析與P2P流量識(shí)別兩個(gè)方面來對(duì)P2P

3、僵尸病毒進(jìn)行檢測(cè)。這一課題在僵尸病毒的研究上具有較大的創(chuàng)新性，同時(shí)也具有較高的應(yīng)用價(jià)值。 本文首先收集了大量僵尸病毒樣本，選取幾種典型的P2P僵尸病毒進(jìn)行深入分析，抽象出其功能結(jié)構(gòu)模塊，研究其在主機(jī)上的惡意行為、傳播方式、攻擊手段以及對(duì)等端之間的連接特性等，在此基礎(chǔ)上完成了詳細(xì)的病毒分析報(bào)告。接著本文將N-gram算法應(yīng)用于惡意行為的動(dòng)態(tài)分析，通過提取并量化可執(zhí)行程序的API函數(shù)調(diào)用序列，得出API子串的頻率分布特征，據(jù)此判斷該

4、程序是否發(fā)生了惡意行為。然后，本文在現(xiàn)有流量檢測(cè)技術(shù)的基礎(chǔ)上做出改進(jìn)，提出了一種基于連接行為特征的P2P協(xié)議識(shí)別方法。通過對(duì)各種P2P應(yīng)用協(xié)議進(jìn)行系統(tǒng)的分析，找出P2P流量存在的特性及共性，從而構(gòu)建P2P行為特征模型，用于檢測(cè)可執(zhí)行程序是否發(fā)生了P2P通信。最后，將惡意行為分析和P2P協(xié)議識(shí)別進(jìn)行有效結(jié)合，設(shè)置一個(gè)合理的時(shí)間窗口，動(dòng)態(tài)監(jiān)測(cè)可執(zhí)行程序的主機(jī)行為及網(wǎng)絡(luò)通信，從而實(shí)現(xiàn)對(duì)P2P僵尸病毒的實(shí)時(shí)檢測(cè)。實(shí)驗(yàn)表明，本文提出的基于行為特征