僵尸网络对抗技术的研究.pdf

Classified Index: TP393.08 U.D.C.: 681.3.06 Dissertation for the Doctoral Degree RESEARCH ON COUNTERMEASURE TECHNIQUES FOR THE BOTNET Candidate: WANG Wei Supervisor: Professor FANG Binxing Academic Degree Applied for: Doctor of Engineering Specialty: Computer Architecture Affiliation: Dept. of Computer Science and Technology Date of Defence: September, 2010 Degree-Conferring-Institution: Harbin Institute of Technology 摘 要 摘 要 随着 Internet 的飞速发展，计算机和互联 网已经成为人们 日常生活中不可或 缺的元素，然而互联 网面 临着大量 的安全威胁，僵 尸网络正是最严重的威胁之 一。僵 尸网络是攻击者利用互联 网秘密建立 的可以集 中控制的计算机群，它不 是一个特指的安全事件，而是攻击者手中的一个平台，利用该平台，攻击者可 以实现覆盖面更广，力度更高，更难于 防范的攻击。僵 尸网络的高度活跃引起 多方重视， 目前针对僵尸网络的研究工作主要有五个方面，分别是检测、测量、 追踪、主动防御和体系结构研究，其中检测是测量、追踪和主动防御 的基础，体 系结构研究是防治未来可能的僵 尸网络的前导。检测、测量和追踪工作 的一个 强力支持为蜜罐蜜 网技术，于是虽然蜜罐技术研究不属于僵尸网络的研究方向， 但它 为僵 尸网络研究奠定基础 。本文围绕着僵 尸网络的研究方向，针对僵 尸网 络对抗技术进行深入研究，主要内容如下： 给 出僵 尸网络的定义、属性、演化脉络及危害分析。对僵 尸网络五个研究 方向的工作进行综述，进一步明确本文的研究内容及 目标。 研究面 向僵尸程序样本捕获的分布式蜜罐部署模型。僵尸程序样本分析可 以为僵 尸网络研究的各个方向提供强有力 的支持，于是样本捕获是僵 尸网络研 究的基础 。 目前针对僵 尸程序样本捕获的研究工作主要集 中在蜜罐的设计、实 现和应用，然而蜜罐部署策略研究能够提高部署效率、降低部署成本，有重要 的实际意义。本文提出的模型阐述了僵 尸程序样本分析需求、僵 尸程序传播属 性、检测时间、检测概率与蜜罐部署参数之间的关系。在模型分析的基础上，提 出蜜罐部署阈值和网络距离两个参数，这两个参数分别刻画了蜜罐部署个数和 蜜罐部署位置的最优选择，能够为实际构建分布式蜜罐系统提供理论依据， 旨 在达到经济与效益的平衡。 研究IRC 僵尸网络检测算法。检测技术研究是僵尸网络对抗的重点， 目前 已有 的IRC 僵 尸网络检测算法存在两个 问题：需要先验知识以获取匹配模式， 无法满足实时处理需求 。为解决这两个 问题，本文提出了基于 昵称相似性和命 令序列相似性这两个终端行为特征的IRC 僵尸网络检测算法。文中提出三个属 性分别从 内容、组成和结构三方面互补的刻画两个 昵称的相似性，给 出了两个 昵称相似性的量化因子，根据这量化因子生成弹性TRW 算法以进行IRC 僵尸网 络实时检测。在分析僵 尸终端登录服务器的行为的基础上，本文还提出了基于 – I – 哈尔滨工业大学工学博士学位论文 命令序列相似性的检测辅助算法。 研究可重构的僵尸网络体系结构。僵尸网络体系结构研究是僵尸网络对抗 的另一方法，可以