僵尸程序網(wǎng)絡行為分析及檢測方法研究.pdf

1、僵尸網(wǎng)絡是由多個被植入僵尸程序的主機構成，它往往被用以發(fā)起大規(guī)模的網(wǎng)絡攻擊，同時被植入僵尸程序的主機，其信息也面臨被泄露的威脅。無論是網(wǎng)絡運行安全還是用戶數(shù)據(jù)安全，僵尸網(wǎng)絡都是巨大的安全隱患！因此，有效的檢測僵尸程序已經(jīng)成為當前網(wǎng)絡管理亟待解決的問題。
　　 目前僵尸程序的檢測主要有基于行為特征的檢測技術和基于流量特征的檢測技術。基于行為特征的檢測技術能夠比較精確的檢測僵尸程序的活動，但是處理數(shù)據(jù)的能力有限；而基于流量特征的檢測

2、技術能夠處理較大規(guī)模的數(shù)據(jù)量，但是存在較大的誤報?；诰W(wǎng)絡僵尸程序檢測方法能夠較好的結合這兩種檢測技術的優(yōu)點，有效地檢測在較大背景流量中活動的僵尸程序。
　　 由于目前在僵尸程序代碼的設計上存在結構化的特性，同一個僵尸網(wǎng)絡內(nèi)的僵尸主機行為和消息在時間和空間上都表現(xiàn)出了極大的關聯(lián)性和相似性。分析了僵尸程序的流特征，根據(jù)實驗結果，設計出了基于輕量級有效載荷協(xié)議匹配算法。然后利用序列假設檢驗算法對僵尸程序的網(wǎng)絡活動進行動態(tài)的判定。

3、r>　　 基于以上分析，設計并實現(xiàn)了一個原型系統(tǒng)，系統(tǒng)主要包含了三個模塊：網(wǎng)絡流預處理模塊、基于輕量級有效載荷協(xié)議匹配模塊、序列假設檢驗分析模塊。為了檢測網(wǎng)絡中的僵尸活動，首先，網(wǎng)絡流預處理模塊對網(wǎng)絡流量進行監(jiān)控分析，通過白名單技術過濾掉正常網(wǎng)絡流量；然后，使用基于輕量級有效載荷的識別方法檢測出疑似僵尸程序通訊的數(shù)據(jù)包；最后，通過序列假設檢驗分析模塊識別僵尸程序的活動。
　　 為了進行驗證，在局域網(wǎng)環(huán)境部署了多臺有僵尸程序活動