基于僵尸网络分类的防御技术.pdfVIP

■■■lI■一 M∞c术 P U ． 技 术 服务器。此结构模式采用 P2P (Peer—t0一Peer)协 这个方法只能对少数的僵尸网络有效，对大量的、还 议 每个个体 (Peer)在充当客户端的同时也是服务 未知其特征规律的僵尸网络是无效的。 器 因为没有专用的中,bfJR务器 ，所以解决了中心式 2．1．2蜜网捕获 结构存在 的单点失效 问题。分布式网络更加健壮 ，是 蜜网的基本组成元素是蜜罐。通过设置的蜜网系 现在僵尸网络 的主要发展趋势。在 P2P网络 中，个 统可 以捕获恶意的僵尸程序，再将此程序在可控环境 体寻找下一个路 由节点的方法有两种 一种是随 中运行 分析 ，最终确定其是否是僵尸程序。蜜网是 机 (Random)方式 另一种是 DHT (Distributed Hash 用于捕获僵尸程序的有效办法，典型的有德国的蜜网 Table， 分布式哈希表)方式 。随机方式是用随机扫描 项目组 ．国内的狩猎女神项目组。蜜网捕获通过捕获 的方法来寻找路 由节点，l；L?n早期的sJnit僵尸网络。 僵尸程序的方法来发现僵尸网络 ．准确性高，但 由于 DHT方式采用Kademlia算法 ，每个个体 自己负责一个 方式被动 ，所检测的范围有限。这种检测技术对两种 小范围的路 由，并负责存储小部分数据 ，从而实现 僵尸网络均有效。 网络的寻址。DHT避免了大量的垃圾报文，具有良好 2．1．3网络流量分析 的分布性 ，是 P2P网络现在主要采用的结构方式，比 对于未知协议特征的僵尸网络最有效的检测手段 如 ：Storm僵尸网络 。 就是监控到网络流量异常。因为僵尸主机们的活动是 由它们内部代码相 同的僵尸程序所决定的，所以僵尸 2僵尸网络的防御技术 主机们会在 同一时间窗里进行内容相似的通信 ，即僵 僵尸网络的防御技术主要由检测、测量与反制组 尸网络的通信具有时空相似性 ；这与正常用户的网络 成。检测技术发现现存的僵尸网络，测量技术测量出 通信有较大的差异。通过对这些相似行为做聚类分析 僵尸网络的规模，它们为最终的反制技术提供了基础 。 就可 以发现僵尸网络，基于这种思想实现的检测系统 2．1检测技术 有BotSniffer和 BotMiner。BotSniffer主要针对 中心式 检测技术的目的是发现僵尸网络。发现僵尸网络 僵尸网络 ，从时空特性和消息响应特性等角度对多个 包括三方面的含义 ：单机上发现僵尸程序并监测到 主机的网络流量进行关联分析 。BotMlner通过对相 CC通信 ，发现控$JfJE务器的存在 ，发现若干主机或 似的通信流量和恶意行为进行聚类分析 进而发现僵 账号的行为疑似 由僵尸网络产生 …。目前 检测技术 尸网络，适用于任意协议、拓扑结构的网络。由上可 大致有三种 ：协议特征检测，蜜网捕获，聚类分析网 见 基于网络流量分析的检测技术对不同结构类型的 络流量。 僵尸网络均能适用 且高