基于數(shù)據(jù)包特征的僵尸木馬檢測技術(shù).pdf

1、近年來，隨著互聯(lián)網(wǎng)的不斷普及和我國網(wǎng)民數(shù)量的不斷增加，僵尸網(wǎng)絡(luò)（Botnet）問題也越來越受到人們的關(guān)注。尤其是在2004年我國首例僵尸網(wǎng)絡(luò)攻擊事件發(fā)生之后，人們開始清楚地意識到，僵尸網(wǎng)絡(luò)作為危害性極強(qiáng)的新型攻擊手段，已不是一個簡單的病毒或者木馬，而是一個攻擊平臺。攻擊者不僅可以使用這個平臺來進(jìn)行多種攻擊，還可以利用它傳播其他病毒木馬等惡意程序。在這種情況下，傳統(tǒng)的基于主機(jī)的檢測手段（包括防病毒軟件、個人防火墻等）雖然可以有效地查殺木馬

2、、病毒等僵尸程序，可以抵擋一些網(wǎng)絡(luò)攻擊，但是近幾年出現(xiàn)的某些殺毒軟件的誤刪事件，證明基于主機(jī)的檢測手段在防范和檢測木馬、病毒等僵尸程序時已經(jīng)力不從心。安裝在僵尸主機(jī)上的僵尸客戶端為了隱藏自己，除了在文件、進(jìn)程等方面隱藏自己外，還會在數(shù)據(jù)包層面隱藏自己，將特征串縮短，并分散于多個數(shù)據(jù)包中。這使得傳統(tǒng)的通過數(shù)據(jù)包過濾來檢測僵尸主機(jī)的方法很難奏效，精確度也大幅下降。本文提出了一種基于組特征過濾器的檢測方法，使用多個成員特征對內(nèi)網(wǎng)主機(jī)數(shù)據(jù)包進(jìn)行

3、過濾，以O(shè)（t·mn）的空間開銷為代價，應(yīng)對短特征串和特征串的包分散問題，并能與傳統(tǒng)的特征匹配算法相兼容。
　　 本文闡述了組特征檢測算法和檢測系統(tǒng)的實現(xiàn)細(xì)節(jié)，并對仿真環(huán)境實驗和天津市教育城域骨干網(wǎng)真實流量實驗進(jìn)行了展示，同時對系統(tǒng)的檢測結(jié)果進(jìn)行了分析。實驗證明本文提出的基于組特征過濾算法的僵尸網(wǎng)絡(luò)檢測方法是切實可行的，基于組特征過濾技術(shù)的僵尸主機(jī)檢測系統(tǒng)是有效的。此外，本文所實現(xiàn)的檢測系統(tǒng)解決了在高速網(wǎng)絡(luò)流量下的實時捕包問題，