返回
基于P2P僵尸网络检测系统的设计与实现.pdf

基于P2P僵尸网络检测系统的设计与实现.pdf

ID:52351657

大小:1.50 MB

页数:3页

时间:2020-03-26

基于P2P僵尸网络检测系统的设计与实现.pdf_第1页
基于P2P僵尸网络检测系统的设计与实现.pdf_第2页
基于P2P僵尸网络检测系统的设计与实现.pdf_第3页
资源描述:

《基于P2P僵尸网络检测系统的设计与实现.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络与通信学术探讨;——一——,,————...。———.————一一一——2014年第7期基于P2Ptm尸网络检测系统的设计与实现粱发洵(广州城市职业学院,广东广州510405)[摘要]近年来僵尸网络成为互联网最严重威胁之一,研究僵尸网络检测技术具有现实意义。讨论了P2P僵尸网络的组成和工作机制,分析P2P僵尸网络的检测方法,提出一P2P僵尸网络检测系统设计方案。[关键词】僵尸网络;点对点;检测系统;工作机制;检测方法1.引言截止2014年6月,中国网民规模达6.32亿,互联网普及率为46.9%

2、,中国IPv4地址数量为3.30亿,域名总数为1915万个。2014年6月,国家互联网应急中一t:,(CNCERT)检测发现木马或僵尸网络控制服务器IP总数为1l,168个,木马或僵尸受控主机IP总数达117万余个。通过对全球范围内恶意代码的捕获和分析发现,僵尸网络已经成为互联网涉及范围最广、危害最大的威胁之一。它除了制造传统上的DDoS(分布式拒绝服务)攻击外,还被用于盗取银行账户、传播垃圾邮件,甚至实施APT(高级持续性威胁)攻击。僵尸网络借助加密协议、P2P协议等,使得传统的基于模式匹配的检

3、测技术无能为力。僵尸网络通过与蠕虫病毒结合,使得僵尸网络扩散速度更快,扩散范围更广,造成的破坏更大。2.僵尸网络定义僵尸网络是攻击者(Botmaster)出于恶意目的,传播僵尸程序控制大量主机并通过一对多的命令与控制信道所组成的网络。僵尸网络区别于其它网络攻击的特征是使用了一对多的命令与控制机制。僵尸网络的组成如图1所示。图1中的对象定义如下:僵尸牧人(Botmaster):是指僵尸网络的控制者和管理者,可以通过命令与控制信道向受控主机发送命令。僵尸程序:是一种综合了传统木马、蠕虫等技术的计算机病

4、毒,采用各类传播手段秘密地植入受控主机,能够自动地运行自身程序,并可以接收和执行远程命令的恶意程序。受控主机(Bot):受控主机是指攻击者利用应用程序、操作系统漏洞或者其他社会工程学方式成功入注并安装执行僵尸程序的网络主机。命令与控制(C&C)信道:命令与控SU(c&c)信道是僵尸网络的核心,用来向Bots发送各种预定义的命令以达到控制Bots的目的,同时可以用于接收Bots执行命令的返回信息。僵尸网络:由以上对象组成,是僵尸牧人出于恶意目的,通过各种手段传播僵尸程序,实现通过一对多的命令与控制信

5、道控制大量主机而构成的网络。僵尸网络根据命令与控制机制使用的不同协议分为三类,分别为基于IRC协议的僵尸网络、基于HTTP协议的僵尸网络以及基于P2P协议的僵尸网络。受控主帆由寺-控●爵佑(Bot)图I僵尸网络的组成3.P2P僵尸网络工作机制⋯服融撬姐目标主机≥F町.,,◇:半零1.传播僵f1璃毒..芷置置£丑盛啦4.监昕等持命夸曲拄收图2P2P僵尸网络工作机制图图2以P2P僵尸网络发起一次DDoS攻击为例,解释P2P僵尸网络的工作机制。(1)僵尸网络的控制者通过各种方法(利用漏洞、邮件等方式)传

6、播僵尸病毒,使受害主机感染僵尸病毒,使得第一次作者简介:梁发洵.男,广东罗定人.工程硕士,讲师,研究方向:计算机网络一51一毯黟~,,讲蠕1溆/机石鍪,触/撕瓯∥爨%遵学术探讨网络与通信—丁而百军虿而F————一注入成功。(2)第一次注入成功后,受害主机从特定的服务器或者P2P僵尸网络中的某台机器中下载第二轮注入相关的组件,然后进行安装。(3)第二轮注入成功后,僵尸程序开始在受害计算机上运行,受害主机感染僵尸病毒后便会开始加入到僵尸网络中,不同的命令与控制信道加入僵尸网络的方式不同。加入P2P僵尸

7、网络主要是通过发现对等端的方式。(4)僵尸主机加入僵尸网络后便隐藏自身,同时开放端口等待接收攻击主机发出攻击的命令。f5)当僵尸网络的控制者需要发送命令时,便通过一定的认证方式加入到P2P僵尸网络,以便发送攻击命令。(6)攻击主机向僵尸主机发出攻击命令,常见的攻击有DDoS攻击、端口扫描、发送垃圾邮件、窃取敏感信息等。(7)僵尸主机获取到攻击主机的攻击命令。f8)僵尸主机向目标主机发起DDoS攻击。4.P2P僵尸网络检测方法目前,针对P2P僵尸网络的检测方法主要有两种:一是基于主机行为的检测方法;

8、一是基于网络流量的检测方法。前者是在一个负责监控的主机内部部署传感器用来监控和记录僵尸程序的可疑活动行为;后者是通过分析P2P僵尸网络通信行为在网络层面表现出来的特征及变化规律,并利用这些特征来判断网络流量中是否存在P2P僵尸流量。4.1基于主机行为的检测方法基于主机行为的检测方法跟传统的恶意代码检测类似,对僵尸程序的可疑行为进行检测。IRC僵尸网络和HTTP僵尸网络属于集中式僵尸网络,而P2P僵尸网络属于分布式僵尸网络,在规模上后者一般比前者小,控制时效性不高,但P2P僵尸网络没

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。