僵尸网络检测算法的比较研究.pdfVIP

第37卷第3期 V0l-37No．3 2011年6月 信 息 化 研 究 Informatization Research Jun．201l 僵尸网络检测算法的比较研究 戴 维 (南京信息职业技术学院电子信息学院，江苏南京，210046) 摘 要：僵尸网络是由许多台被恶意代码感染控制并与互联网相互连接的计算机所组成，其正步 入快速发展期，并已对因特网安全造成了严重威胁。文章针对 目前国际上主流僵尸网络检测算法进 行分析和比较，给出每种检测算法的优点和不足。 关键词：僵尸网络；通信阶段；检测算法；比较研究 中图法分类号：TP309 O 引 言 = (S+F+尺，)／ (1) 式中，S为发送的SYN包和SYNIACK包数量 ，F为 僵尸网络 (Botnet)是指采用一种或多种传播手 发送的FIN包数量，尺 为接收的RESET包数量， ， 段，使大量主机感染僵尸程序，从而在控制者和被感 为全部TCP数据包数量，叫为TCP扫描权重即TCP控 染主机之间形成一个可以一对多控制的网络r一，进而 制报文数与总TCP报文数的比重。该方法只能适用 构成一个攻击平台，利用这个平台可以有效地发起各 于明文方式传播控制信道命令的IRC僵尸网络。 种各样的攻击行为，导致整个基础信息网络或者重要 1．2 狩猎女神项 目 应用系统瘫痪 ，致使大量机密或个人隐私泄漏 ，还被 该项 目主要包括2个主要步骤： 用来从事网络欺诈等其他违法犯罪活动。 (1)通过部署蜜罐对僵尸程序进行捕获样本； 目前 ，僵尸网络的威胁已经成为国际上十分关注 (2)通过对网络行为进行监视和分析僵尸网络 的问题 ，与此同时，我国国内网上Botnet的威胁比较严 控制信道信息。 重 ，已经成为了僵尸网络的生产大国，这需要引起网 该算法利用恶意软件收集器对恶意软件样本进 络用户的高度重视，需要国内外信息安全方面对其更 行收集，通过对恶意软件样本的分析判断其是否为僵 进一步的发现、跟踪和反制。 尸程序 ，并取出其所连接的僵尸网络控制信道信息， 1 僵尸网络检测算法 从而在僵尸网络的早期传播阶段就能发现。 系统部署的恶意软件收集器是针对最主流的僵 僵尸网络的活动情况分为四个阶段 ：传播 、感 尸程序感染方式——主动攻击漏洞感染 ，首先将会模 染、通信、攻击 ，其中，通信是僵尸网络活动必不可少 的阶段。根据僵尸网络的工作原理，攻击者必须通过