僵尸網(wǎng)絡(luò)論文

1、P2P僵尸網(wǎng)絡(luò)的檢測摘要：點對點(P2P)分布式架構(gòu)的提出為惡意代碼提供了更具隱蔽性和彈性的命令分配機制，使得P2P僵尸 網(wǎng)絡(luò)成為互聯(lián)網(wǎng)上最嚴重的威脅之一。研究這種僵尸網(wǎng)絡(luò)的檢測技術(shù)非常具有現(xiàn)實意義，由于它具有較強 的個性化差異，目前還沒有通用的檢測方法，現(xiàn)有的檢測方法主要是通過分析其惡意行為及網(wǎng)絡(luò)通信流量， 析取其內(nèi)在活動規(guī)律和傳播機制等。討論7P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)和機制，分析相關(guān)的幾種主要的檢測技術(shù)并 對未來可能的研究重點作出了預(yù)測。關(guān)鍵字：僵尸網(wǎng)絡(luò)；點對點；檢測技術(shù)；網(wǎng)絡(luò)安全Abstract: The distributed architecture of Peer-to-Peer(P2

2、P)has provided malwares (malicious softwares)the command distribution mechanism with increased resilence and obfuscation. P2P Botnet has become one of the most serious threats to Internet At present， there is no general detection approach because of the strong differences between individuals, and mo

3、st researches focus on analyzing their malicious behaviors on the host and communication SO as to understand the rules of their activities and transmission mechanismThis paper discussed the structure and mechanism of P2P Botnet. analyzed the major several related detecting research methods， and pred

4、icted the future detecting technology an d developmentKey words: Botnet； Peer一to一Peer(P2P)； detecting technology； network security1引言僵尸網(wǎng)絡(luò)(Botnet)是指采用一種或多種傳播手段，將大量主機感染僵尸(Bot)程序，從而在控制者和被 感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的實質(zhì)就是在惡意代碼控制下的主機構(gòu)成的網(wǎng) 絡(luò)。近年來，僵尸網(wǎng)絡(luò)已經(jīng)成為了當前進行Internet攻擊的主要平臺，攻擊者可以通過該平臺發(fā)起垃圾郵 件、分布式拒絕服務(wù)攻擊(DDoS)

5、、身份竊取、釣魚等各種網(wǎng)絡(luò)攻擊，其隱蔽性、破壞性和威脅程度都遠大 于單一的網(wǎng)絡(luò)攻擊模式。目前，黑客們從傳統(tǒng)的集中型的命令與控制僵尸網(wǎng)絡(luò)遷移到更加對等的以分布式 結(jié)構(gòu)為基礎(chǔ)的P2P體系架構(gòu)(如Storm僵尸網(wǎng)絡(luò))。安全廠商Palo Alto Networks-2最近發(fā)布的2009年度春季 應(yīng)用軟件使用和風險報告分析了超過60個大型企業(yè)的企業(yè)級應(yīng)用軟件的使用和流量后指出，P2P結(jié)構(gòu)所占比 例為92%。這種趨勢對于僵尸網(wǎng)絡(luò)的檢測來說是很不幸的，因為對于集中型的結(jié)構(gòu)，至少還有一個大的目 標可以重點監(jiān)測；而P2P的方式意味著檢測目標變得更加細化而很難被逐一消滅。因此，需要有新的檢測方 法來有效檢測P2P

6、僵尸網(wǎng)絡(luò)以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境。1僵尸網(wǎng)絡(luò)概述1. 1僵尸網(wǎng)絡(luò)及其結(jié)構(gòu)僵尸網(wǎng)絡(luò)(Botnet)的組成包括：僵尸主控者(Botmaster)、僵尸主機(Bot)、命令與控制(Command and Control，C&C)網(wǎng)絡(luò)。僵尸主控者是僵尸網(wǎng)絡(luò)的控制者；僵尸主機是被攻擊者控制的主機；僵尸主機從命令 與控制網(wǎng)絡(luò)獲得命令，協(xié)調(diào)攻擊和欺騙活動。命令與控制網(wǎng)絡(luò)一般有一個或多個命令與控制(C&C)服務(wù)器， 僵尸主控者通過控制這些服務(wù)器來管理和控制僵尸網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)的結(jié)構(gòu)圖1所示。圖1僵尸網(wǎng)絡(luò)的結(jié)構(gòu)僵尸網(wǎng)絡(luò)根據(jù)其僵尸網(wǎng)絡(luò)規(guī)模的大小、被檢測和破壞的難易程度以及指令（命令和控制）的控制方式大 體可以分

7、為3種結(jié)構(gòu)。1）中心化的僵尸網(wǎng)絡(luò)：這種架構(gòu)的僵尸網(wǎng)絡(luò)依賴于一個中心服務(wù)器，攻擊者和僵尸主機通過該中心服 務(wù)器進行通信，配置簡單，但很容易被檢測和破壞。例如IRC僵尸網(wǎng)絡(luò)。2）分布式的僵尸網(wǎng)絡(luò)：一個P2P系統(tǒng)是等同的、自治的實體構(gòu)成的一個自組織的系統(tǒng)，在一個聯(lián)網(wǎng)的環(huán) 境中共享分布式的資源，避免了中心化的服務(wù)。P2P僵尸網(wǎng)絡(luò)就是將P2P協(xié)議嵌入到特定僵尸程序中并使用 該協(xié)議來構(gòu)建其命令與控制信道的僵尸網(wǎng)絡(luò)?；贗RC和HTTP的僵尸網(wǎng)絡(luò)都需要僵尸主機與中心服務(wù)器通 信，但是由于中心服務(wù)器方式存在單點失效的威脅，基于該方式的僵尸網(wǎng)絡(luò)比較容易被檢測到，所以，P2P 協(xié)議成為一種好的選擇，P2P網(wǎng)絡(luò)中的

8、每個節(jié)點既可以是客戶端也可以是服務(wù)器，從而不存在關(guān)閉某個節(jié)點 就可以關(guān)閉整個僵尸網(wǎng)絡(luò)的風險。3）混合型的僵尸網(wǎng)絡(luò)：綜合了上面兩種僵尸網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點而改進的新型的僵尸網(wǎng)絡(luò)結(jié)構(gòu)，它既擁有 同時作為客戶端和服務(wù)器的P2P僵尸網(wǎng)絡(luò)節(jié)點，也有專門作為客戶端的僵尸網(wǎng)絡(luò)節(jié)點，這種結(jié)構(gòu)的P2P僵尸 網(wǎng)絡(luò)既避免了單點失效又簡化了僵尸網(wǎng)絡(luò)的通信機制。目前的P2P僵尸網(wǎng)絡(luò)大多采用的是分布式及混合型的 僵尸網(wǎng)絡(luò)結(jié)構(gòu)，其中混合型的僵尸網(wǎng)絡(luò)由于可控性強更受攻擊者的青睞。2 P2P僵尸網(wǎng)絡(luò)的命令與控制機制P2P僵尸網(wǎng)絡(luò)使用ls2p協(xié)議來構(gòu)建其命令與控制信道，僵尸網(wǎng)絡(luò)中的僵尸主機能夠同時作為服務(wù)器和客戶 端，不依賴于中心化的

9、協(xié)調(diào)，僵尸主機可以直接連接其他僵尸主機并交換信息，網(wǎng)絡(luò)攻擊的控制中心無處 可尋，僵尸主控者可以使用P2P僵尸網(wǎng)絡(luò)中的任意僵尸主機，只要將命令在網(wǎng)絡(luò)中廣。播就可以實現(xiàn)攻擊。P2P僵尸網(wǎng)絡(luò)的命令與控制機制可以被分為推模式機制和拉模式機制兩類。推模式機制也被稱為命令發(fā)布機制：Botmaster或者C&C服務(wù)器知道所有的Bot地址或可以通知到它們的 方法，這種方式容易暴露Bot；拉模式機制是指Bot向C&C服務(wù)器請求命令，可以是交互式的也可以是非交互 式的：交互式的需要Bot連接到C&C服務(wù)器；非交互式則不需要Bot連接到C&C服務(wù)器，而是Bot按照約定去某 個地方取命令，例如Web網(wǎng)頁、FIIL服務(wù)

10、器上的文件等。拉模式機制使得P2P Botnet的傳播更加隱蔽，網(wǎng)絡(luò)組織結(jié)構(gòu)更加魯棒，使得網(wǎng)絡(luò)安全人員對P2P僵尸網(wǎng) 絡(luò)的檢測和定位更加困難，但同時它也能揭示P2P僵尸網(wǎng)絡(luò)行為的一些特征，正確識別P2P僵尸網(wǎng)絡(luò)的命令 與控制機制的行為活動特征是檢測P2P僵尸網(wǎng)絡(luò)的重要依據(jù)。2 P2P僵尸網(wǎng)絡(luò)的檢測技術(shù)早期對僵尸網(wǎng)絡(luò)的研究主要集中在如何檢測和跟蹤到單個的僵尸主機，但是隨著僵尸網(wǎng)絡(luò)采用協(xié)議和 結(jié)構(gòu)的復(fù)雜性，特別是采用P2P協(xié)議之后，僵尸網(wǎng)絡(luò)的隱藏性和破壞性大大增加，需要對僵尸網(wǎng)絡(luò)的行為、 傳播、拓撲結(jié)構(gòu)等方面進行綜合研究，對僵尸網(wǎng)絡(luò)也逐漸從基于主機特征的檢測轉(zhuǎn)到行為特征分析和網(wǎng)絡(luò) 流量監(jiān)測等方面。

11、目前研究P2P僵尸網(wǎng)絡(luò)行檢測的主要手段是對其進行行為分析，同時通過網(wǎng)絡(luò)流量分析來研究P2P僵尸 網(wǎng)絡(luò)的檢測方法也逐漸增多，由于P2P僵尸網(wǎng)絡(luò)的規(guī)模越來越大，基于數(shù)據(jù)加密的通信也被應(yīng)用到P2P僵尸 網(wǎng)絡(luò)中去，通過對僵尸流量的分析來檢測僵尸網(wǎng)絡(luò)具有更大的優(yōu)勢，而且數(shù)據(jù)挖掘技術(shù)和信息熵理論的引 入為網(wǎng)絡(luò)流量檢測提供了強有力的分析工具。以下是幾種主流的P2P僵尸網(wǎng)絡(luò)檢測技術(shù)。2. 1基于主機特征的檢測基于主機特征的檢測主要是指在一個負責監(jiān)控的主機內(nèi)部部署傳感器用來監(jiān)控和記錄相關(guān)的系統(tǒng)事 件，對僵尸程序的可疑活動行為進行監(jiān)測。當存在僵尸網(wǎng)絡(luò)時攻擊時，監(jiān)控主機就會產(chǎn)生一些典型的異常 行為，主要表現(xiàn)為添加注

12、冊表自啟動項、篡改重要文件、竊取敏感信息以及遠程訪問等，這類似于惡意代圖2僵尸網(wǎng)絡(luò)的感染過程目前基于主機特征的僵尸網(wǎng)絡(luò)監(jiān)測技術(shù)主要采用是“蜜罐”技術(shù)和虛擬機技術(shù)?！懊酃蕖笔且环N特殊 構(gòu)造的計算機或網(wǎng)絡(luò)陷阱，被設(shè)計用來吸引和檢測惡意代碼，這種檢測方法利用主動式和被動式蜜罐系統(tǒng) 獲取Bot程序的二進制代碼，監(jiān)控Bot主機的傳播方式和通信方式，從而得到僵尸網(wǎng)絡(luò)的行為特征，這些行 為包括感染行為（如駐留系統(tǒng)的模式（用戶模式或內(nèi)核模式）、安裝文件、修改文件、修改注冊表、對系統(tǒng)進 程和函數(shù)的調(diào)用、鍵盤操作記錄、對系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)的控制）、傳播行為（如掃描、漏洞的利用）和通信 行為（如IP地址、端口號、協(xié)

13、議特征）等。這些惡意的主機行為特征可用于對P2P僵尸網(wǎng)絡(luò)的檢測。Holz等人通過對病毒的二進制代碼進行反匯編來剖析僵尸病毒的傳播機制、惡意行為、控制信道加密 方式等特點，從而實現(xiàn)了對P2P僵尸網(wǎng)絡(luò)的跟蹤、檢測和反制。該方法的優(yōu)點在于通過偽裝成受控主機加入 到僵尸網(wǎng)絡(luò)、接受和回復(fù)攻擊者的命令，從而發(fā)現(xiàn)并阻斷其通信信道以便削弱僵尸網(wǎng)絡(luò)的危害能力；但是 它只能檢測一類特定的僵尸網(wǎng)絡(luò)，不具有通用性，并且只適用于分析加密方式簡單的僵尸程序，對于未知 的或是經(jīng)過變形處理的病毒很難發(fā)揮效用。此外，采用反匯編技術(shù)需要對計算機底層工作原理如CPU架構(gòu)、 指令集、匯編語言等有很深的認識且難度較高，而且如果在僵尸程

14、序中加入大量的花指令，連續(xù)不斷地跳 轉(zhuǎn)，定時器設(shè)置陷阱等，那么對僵尸程序的二進制進行反匯編將十分耗時且低效，難以應(yīng)對僵尸程序的推 陳出新。ZhouL提出了一個基于虛擬機的VMMBotsViewer系統(tǒng)，它是基于主機異常的僵尸網(wǎng)絡(luò)檢測系統(tǒng)，通過 在虛擬機中捕獲系統(tǒng)中內(nèi)核級以及用戶級中僵尸網(wǎng)絡(luò)控制和命令活動產(chǎn)生的異常事件來判斷是否被僵尸網(wǎng) 絡(luò)入侵。同時還提出一個行為模型來區(qū)分僵尸網(wǎng)絡(luò)與非僵尸網(wǎng)絡(luò)，并運用證據(jù)追蹤的方法識別P2P僵尸網(wǎng)絡(luò) 在感染過程中的感染通信序列和操作系統(tǒng)層的過程依賴以及系統(tǒng)調(diào)用函數(shù)等異常信息，并根據(jù)這些信息建 立一個有關(guān)P2P僵尸網(wǎng)絡(luò)攻擊事件的攻擊圖訓練集，通過其在運行期間的事件

15、依賴關(guān)系圖與攻擊圖訓練集的 相似度比較來判別是否有P2P僵尸網(wǎng)絡(luò)的攻擊?；谥鳈C的檢測方法的優(yōu)點是能夠有效地捕獲比較活躍的P2P僵尸網(wǎng)絡(luò)，但當僵尸網(wǎng)絡(luò)停止活動時就不 容易檢測到是否有僵尸網(wǎng)絡(luò)，而且隨著蜜罐和虛擬機的大量應(yīng)用，這些技術(shù)很容易被僵尸主控者掌握并進 行反制。2基于行為特征的檢測行為特征包括主機行為特征和網(wǎng)絡(luò)行為特征，不同于獲取僵尸程序的二進制代碼，它主要從感染主機 和網(wǎng)絡(luò)流量兩個角度來分析P2P僵尸網(wǎng)絡(luò)的行為。僵尸網(wǎng)絡(luò)的本質(zhì)屬性就是具有相似網(wǎng)絡(luò)通信行為并且有相 似的惡意活動，本文根據(jù)這些行為活動來檢測是否存在P2P僵尸網(wǎng)絡(luò)。一個比較出名的基于行為特征分析的僵尸網(wǎng)絡(luò)檢測方法是BotHu

16、nter，Gu等人將僵尸網(wǎng)絡(luò)的感染和傳播 進行了建模，把僵尸網(wǎng)絡(luò)的感染過程分成了inbound scan，inbound infection， egg download， Outbound Scan C&Ccommunication，采用Snort入侵檢測系統(tǒng)的特征檢測方法以及兩個關(guān)注僵尸程序的異常檢測插件 SLADE和SCADE，以對僵尸程序感染的各個步驟進行檢測。SLADE插件實現(xiàn)了對流入連接有損性N. gram負載 分析方法，通過對執(zhí)行負載的字節(jié)分布異常檢測惡意代碼攻擊；SCADE插件進行針對惡意代碼的平行及垂直 端口掃描分析，可以檢測出流人連接和流出連接中的掃描事件。然后BotHunt

17、er關(guān)聯(lián)分析器將底層入侵檢測 系統(tǒng)(Intrusion Detection System，IDS)報告的流人掃描報警、破解攻擊報警和外出控制信道報警、對外 掃描報警等事件聯(lián)系在一起，從而給出一個詳細的包含所有相關(guān)事件的僵尸程序整個感染過程。BotMiner提出了一種檢測框架，用來聚類相似的通信流量和相似的惡意流量，并通過交叉聚類關(guān)聯(lián)確 定那些具有相似的通信模式和相似的惡意活動模式的主機，所有Botnet都具備協(xié)同工作和從事可疑活動兩 個本質(zhì)屬性，無論是IRC / HTYP或P2P結(jié)構(gòu)、還是TCP / UDP協(xié)議的僵尸網(wǎng)絡(luò)，在C&C過程中的通信都會顯示出 相似的模式；同樣，同一個僵尸主機不同僵尸

18、主機在從事掃描、Spare等可疑活動時，也都會顯示出相似的 模式；BotMiner被動監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，將數(shù)據(jù)以類似于NetFlow的格式保存；同時，運行Snort檢測可疑活動， 生成報警日志(Aplane monitor)；將Cplane monitor獲得的具有相同協(xié)議/源目的地IP /目的地Port 的How進行分組，然后提取特征映射到一個d維的向量空間，并對此進行聚類，比如兩個Netflow流的目的 不同，但可能是同一個僵尸網(wǎng)絡(luò)使用了不同的DNS，通過聚類就可以發(fā)現(xiàn)具有相似性的通信流(C. plane)； 類似的，將Aplane monitor獲得的數(shù)據(jù)也進行聚類，比如，對于Scan Ac

19、tivity根據(jù)目的端口來聚類等， 這樣就可以發(fā)現(xiàn)具有相似相似性的惡意行為(A-plane)，最后該檢測系統(tǒng)的Cross-plane Correlation模塊 利用C-plane聚類和A. plane聚類的結(jié)果計算每個Host為僵尸主機的分數(shù)，把同時具有通信流相關(guān)性和惡意 行為相關(guān)性的主機確定為僵尸主機?；谛袨榉治龅臋z測方法能夠揭示僵尸網(wǎng)絡(luò)的某些行為特征，比較細致，但是缺乏群體行為的刻畫， 無法分析整個僵尸網(wǎng)絡(luò)的位置信息和攻擊能力，對于基于分布式的P2P僵尸網(wǎng)絡(luò)來說，這種檢測方法有很大 的局限性，由于P2P僵尸網(wǎng)絡(luò)規(guī)模大，流量比較分散，且其特定的C&C通信行為往往會產(chǎn)生特定的流量模式， 目

20、前國內(nèi)外的研究也更多地根據(jù)網(wǎng)絡(luò)流量來檢測P2P僵尸網(wǎng)絡(luò)。2. 3基于網(wǎng)絡(luò)流量的檢測流：在一段時間內(nèi)，一個源IP地址和目的IP地址之間傳輸單項報文流，所有報文具有相同的傳輸層源、 目的端口號、協(xié)議號和源、目的地址，即五元組內(nèi)容相同。流量：眾多不同的流聚合成流量。網(wǎng)絡(luò)行為學認為網(wǎng)絡(luò)的流量行為具有長期的特征和短期特征。網(wǎng)絡(luò)長期特征表現(xiàn)在網(wǎng)絡(luò)行為具有一定 的規(guī)律性和穩(wěn)定性，能夠?qū)钟蚓W(wǎng)的流量或者某些關(guān)鍵主機的流量情況進行實時監(jiān)測，發(fā)現(xiàn)和識別網(wǎng)絡(luò)異 常的發(fā)生。網(wǎng)絡(luò)流層面的檢測方法就是通過分析P2P僵尸網(wǎng)絡(luò)通信行為在網(wǎng)絡(luò)流層面表現(xiàn)出來的特征及變化 規(guī)律并利用這些流特征來判斷網(wǎng)絡(luò)流量中是否存在P2P僵尸流量

21、，為檢測P2P僵尸網(wǎng)絡(luò)提供參考依據(jù)。2. 3. 1網(wǎng)絡(luò)流量模式識別機制Gianvecchio等人采用流量模式識別的方法對網(wǎng)絡(luò)中的正常流量和IRC僵尸流量進行分類；同樣的，在 一個parasite或lecchlnglY2P的僵尸網(wǎng)絡(luò)中也可以用流量模式識別方法把正常的網(wǎng)絡(luò)流量和僵尸流量區(qū)分 開來。為了構(gòu)建一個P2P僵尸網(wǎng)絡(luò)，僵尸主機作為單一的對等點需要盡可能多地連接遠程的僵尸主機，因此， 僵尸主機會周期性地向其他僵尸主機發(fā)布相同或相似的查詢消息且從其他僵尸主機那里下載最新的命令或 消息，這樣僵尸主機對等點發(fā)現(xiàn)的過程以及僵尸主機節(jié)點之間的信息交換就會產(chǎn)生較大的網(wǎng)絡(luò)流量，且在 特定時間戳內(nèi)這些流量往往

22、有相同或相似的特征，跟正常的流量有較大的區(qū)別；對于整個P2P僵尸網(wǎng)絡(luò)的生 命周期中的不同時間戳來說，同一個時間戳內(nèi)的流量都存在著相似性。這樣就可以對P2P僵尸網(wǎng)絡(luò)的初始形 成階段到構(gòu)建階段等不同的階段中表現(xiàn)出來的具有周期性的P2P僵尸流量分析其各項參數(shù)，提取具有統(tǒng)計特 征的參數(shù)，適當?shù)剡M行分組和聚類，找出一種合適的異常流量的特征化描述方法用于P2P僵尸網(wǎng)絡(luò)的檢測?；诙嘞虻腜2P僵尸網(wǎng)絡(luò)流量模型一種檢測方法，具體步驟如下：步驟1在網(wǎng)絡(luò)邊緣對一個局域網(wǎng)內(nèi)的進出流量進行監(jiān)控，局域網(wǎng)內(nèi)部的節(jié)點稱為內(nèi)部節(jié)點，局域網(wǎng)外 部的節(jié)點稱為外部節(jié)點，把該局域網(wǎng)產(chǎn)生的TCP和UDP流量分割成數(shù)據(jù)流，外部節(jié)點產(chǎn)生的

23、流量為人站流量， 內(nèi)部節(jié)點產(chǎn)生的流量稱為出站流量；對同一個時間戳內(nèi)的流量進行分類，提取出相似性比較大的流量分組 并用ROCK算法對其進行聚類，得到經(jīng)過聚類后的一組會話集合。步驟2將該組會話集合在protocol、port traffic三個方面的特征把它轉(zhuǎn)化成一個7位數(shù)的二進制數(shù)， 該數(shù)字叫做該會話集合的S-Value值，這樣我們就可以把特定時間戳內(nèi)的流量表示成0到127的數(shù)字，該數(shù)字 將用于下一步的檢測。步驟3把一個P2P僵尸網(wǎng)絡(luò)構(gòu)建的整個過程看做一個連續(xù)的時間戳的序列，在每個時間戳的網(wǎng)絡(luò)流量都 可以轉(zhuǎn)化成一個S-Value值，這樣整個僵尸網(wǎng)絡(luò)的形成及攻擊過程就可以用一個S-Value值序列

24、表示。步驟4根據(jù)S-Value序列提出一個基于各態(tài)遍歷馬爾可夫模型理論的躍遷矩陣模型，通過該模型對已知 的P2P僵尸網(wǎng)絡(luò)產(chǎn)生的流量序列進行訓練數(shù)據(jù)集的學習，建立一個正常流量與P2P僵尸網(wǎng)絡(luò)流量的入侵模型 庫，通過把網(wǎng)絡(luò)流量序列的S-Value與檢測模型中的入侵模型庫進行相似度的比較來判定被監(jiān)測的局域網(wǎng)中 是否存在P2P僵尸網(wǎng)絡(luò)。這種檢測方法一般只用到數(shù)據(jù)報頭的五元組信息，能檢測經(jīng)過加密的P2P僵尸網(wǎng)絡(luò)流量，但該方法需要 處理大量的P2P僵尸流信息，要存儲中間結(jié)果以及需要有已知的P2P僵尸網(wǎng)絡(luò)的訓練數(shù)據(jù)集模型，對算法的 空間和時間復(fù)雜度的要求都很高，對改進P2P僵尸網(wǎng)絡(luò)的檢測技術(shù)有啟發(fā)作用。2.

25、 3. 2流數(shù)據(jù)挖掘機制數(shù)據(jù)挖掘又稱為知識發(fā)現(xiàn)，是指從大量的、不完全的、有噪聲的、模糊的、隨機的數(shù)據(jù)中，提取隱含 在其中但又潛在有用的信息和知識的過程，這些知識具有新穎性、可用性和可理解性。網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量 可以視為一種連續(xù)的數(shù)據(jù)流，而且這些流的數(shù)據(jù)量都非常大，如果想從浩瀚的信息中發(fā)掘出潛在的有用知 識就必須依靠數(shù)據(jù)挖掘這個強有力的工具。在流數(shù)據(jù)上層面通過數(shù)據(jù)挖掘技術(shù)對流數(shù)據(jù)進行分類的技術(shù)能有效地挖掘與P2P僵尸網(wǎng)絡(luò)流量相關(guān)的 異常流量，因為它有如下兩個屬性：連續(xù)的數(shù)據(jù)流及概念漂移。僵尸網(wǎng)絡(luò)環(huán)境中，僵尸主機之間的信息交換以及僵尸主控者經(jīng)常更新僵尸主機的指令等活動都可能會 引起僵尸網(wǎng)絡(luò)流量的變化

26、，會在數(shù)據(jù)中產(chǎn)生概念漂移。文獻13提出了一種基于數(shù)據(jù)挖掘技術(shù)的多數(shù)據(jù)塊、 多層次的Ensemble分類算法對有概念漂移的流數(shù)據(jù)進行分類。對P2P僵尸網(wǎng)絡(luò)的流量進行分析，提煉了5種 網(wǎng)絡(luò)特性包括(NCR、Packet size、Upload / download bandwidth、request rote、ICMP echo replyrate(ICR)，對這些網(wǎng)絡(luò)特性進行特征提取用于MCE的分類檢測P2P僵尸流量并取得了比較好的檢測結(jié) 果。這種方法較新穎，需要對網(wǎng)絡(luò)中的數(shù)據(jù)流進行分析和提取有效的網(wǎng)絡(luò)參數(shù)，目前基于該方法的檢測技 術(shù)還不是很多，但是基于數(shù)據(jù)挖掘的入侵檢測技術(shù)已經(jīng)逐步成熟，隨著該

27、技術(shù)的發(fā)展，它有可能越來越多 地應(yīng)用于P2P僵尸網(wǎng)絡(luò)的檢測。2. 4基于對等節(jié)點網(wǎng)絡(luò)的檢測隨著P2P協(xié)議和Botnet技術(shù)的成熟，Wang等人提出了一種新型的混合式僵尸網(wǎng)絡(luò)，在P2P僵尸網(wǎng)絡(luò)中存 在有super節(jié)點，所以各個節(jié)點產(chǎn)生的流量會有分布不均衡的情況，該新型P2P僵尸網(wǎng)絡(luò)中大約不到20%的 節(jié)點產(chǎn)生了超過80%的P2P僵尸流量，如何對super節(jié)點進行識別可以對P2P僵尸網(wǎng)絡(luò)檢測提供幫助。2. 4. 1利用P2P僵尸網(wǎng)絡(luò)直徑P2P僵尸網(wǎng)絡(luò)的各個節(jié)點構(gòu)成一個應(yīng)用層網(wǎng)絡(luò)，該網(wǎng)絡(luò)的直徑比較大，相比其他網(wǎng)絡(luò)應(yīng)用所形成的邏輯 網(wǎng)絡(luò)相比，P2P僵尸網(wǎng)絡(luò)有更大的直徑。因此，當網(wǎng)絡(luò)的直徑超過某個門限值

28、時，就有可能存在P2P僵尸網(wǎng) 絡(luò)。該方法在生成拓撲時，需要存儲節(jié)點信息，空間復(fù)雜度比較高，不能檢測具體的P2P僵尸網(wǎng)絡(luò)。2. 4. 2利用節(jié)點間的連接失敗消息由于P2P僵尸網(wǎng)絡(luò)在對等點發(fā)現(xiàn)中，以及在構(gòu)建網(wǎng)絡(luò)后各個節(jié)點間的信息交換都存在一定的連接節(jié)點失敗信息，可以通過觀察僵尸網(wǎng)絡(luò)中連接敗的活動并提 取屬于僵尸網(wǎng)絡(luò)的失效信息的特定模式，例如super節(jié)點的失敗連接數(shù)占總連接數(shù)的比例很高，網(wǎng)絡(luò)中其他 應(yīng)用出現(xiàn)這種情況的可能性不大，這些信息都可以用于僵尸網(wǎng)絡(luò)的檢測。除此之外，針對P2P僵尸網(wǎng)絡(luò)流量的檢測方法還有很多，Kang等，提出了運用信息熵理論的Multi-chart CUSUM算法檢測P2P僵尸

29、網(wǎng)絡(luò)，信息熵能有效地表現(xiàn)出同一屬性上對應(yīng)數(shù)據(jù)的集中和分散情況，適合用于檢 測單位時間戳內(nèi)有突變流量的網(wǎng)絡(luò)異常，用信息熵檢測在一個時間戳產(chǎn)生的大規(guī)模相似異常流量要比直接 使用測量數(shù)據(jù)更有效，尤其適合度量P2P僵尸網(wǎng)絡(luò)的流量特征，將會是未來檢測P2P僵尸網(wǎng)絡(luò)一個非常有用 的工具。3結(jié)語本文研究了新一代僵尸網(wǎng)絡(luò)P2P僵尸網(wǎng)絡(luò)的各個方面，首先討論了怎樣構(gòu)建P2P僵尸網(wǎng)絡(luò)，提出了兩種 可被利用的命令與控制機制以及三種不同的P2P僵尸網(wǎng)絡(luò)；其次，深入分析了幾種不同的P2P僵尸網(wǎng)絡(luò)的檢 測方法，并比較了它們之間的優(yōu)點與缺點?？傮w來說，基于特征的僵尸網(wǎng)絡(luò)檢測越來越難以適應(yīng)P2P僵尸網(wǎng) 絡(luò)的檢測，在網(wǎng)絡(luò)邊緣對網(wǎng)

30、絡(luò)流量進行實時檢測比較容易，而且更能適應(yīng)分布式僵尸網(wǎng)絡(luò)的檢測要求。參考文獻APMarketSharing./Microsofts+Wi-Fi+ups+and+downs/2100T039_3-994518.HoneyBow Sensor.Honeysnap. HYPERLINK /tools/honeysnap/index.html /tools/honeysnap/index.html.Net-Worm.Win32.Allaple.a./en/viruses/encyclopediaencyclopedia?virusid=145521.OS Platform Statistics by W

31、3school. HYPERLINK /browsers/browsers_stats.asp /browsers/browsers_stats.asp.NOH SK， OH JH， LEE J S， et a1. Detecting P2P botnets using amultiphased flow modelC / Proceedings ofthe2009 3rd International Conference on Digital Society. Washington， DC： IEEE Computer Society， 2009： 247253.M. A. Rajab, J

32、. Zarfoss, F. Monrose, andA. Terzis. A multifaceted approach to understanding the botnet phenomenon. InProc. of the 6th ACM SIGCOMM on Internet Measurement Conference (IMC),2006.HOLZ T， STEINER M。DAHL F。et a1. Measurements and mitigation of peerto-peer Botnets： A case study on storm wormC / Proceedings of the 1st Usenix Workshop on LargeScale Exploits and Emergent Threats Berkeley： USENIX Association, 2008：991 ZHOU LINGYUN. VMMbased framework for P2P Botnets tracking and detectionc/ Proceedings of the 2009 International Conference on Information Technology and Compute