一种新型的P2P僵尸网络检测模型.docVIP

一种新型的P2P僵尸网络检测模型 摘要：僵尸网络已经给当前的计算机网络安全带来严重的安全威胁，特别是僵尸网络在融合对等网络作为通信技术之后，僵尸网络大大提高了其生存能力，为有效降低采用P2P技术的僵尸网络带来的安全威胁，如何有效检测出基于P2P技术的僵尸网络成为一个热点。针对这种现状提出了一种基于P2P技术的Botnet检测模型。 关键词：僵尸网络；检测模型；对等网络；模糊逻辑 中图分类号：TP309.5文献标识码：A文章编号：1座机电话号码（2012）00座机电话号码 0引言 僵尸网络是一个由大量被感染了僵尸程序的主机所构成的重叠网络。攻击者借助各种手段使得主机感染僵尸程序，比如缓冲区溢出攻击、电子邮件、钓鱼网站等。感染了僵尸程序的主机通过各种组网协议构成僵尸网络。根据僵尸网络的组网协议分类，僵尸网络可分为集中控制的僵尸网络，基于P2P技术的僵尸网络。其中前者又分IRC僵尸网络和HTTP僵尸网络，相应的有Rbot、Zeus等。而基于P2P技术的僵尸网络又分为非结构化的僵尸网络、结构化僵尸网络、层次化的僵尸网络，相应的有Sinit、Phatbot、Storm等。本文主要讨论后者即基于P2P技术的僵尸网络检测，当前常见的检测方法有两大类：一种是基于流量分析的方法，一种基于异常行为的检测方法。 1僵尸网络的特征 僵尸网络的组网以及攻击时都会有大量特征存在。特征一：文献指出僵尸网络会产生大量异常报文。首先在僵尸主机通过引导结点加入网络时，由于引导结点的动态波动性，造成部分引导结点的IP失效，所以网络中会出现大量的ARP报文，其次如果目的节点最终不可到达还会有ICMP报文大量出现，最后僵尸主机在加入网络进行攻击时，会发送大量的恶意邮件，会造成大量SMTP报文的出现；特征二：感染的结点具有相似的特征。加入网络的僵尸主机接受的是相同的任务命令，在攻击时也会表现出一些共同的特征，因此，也会造成通信数据具有相同的特点。 2僵尸网络的检测模型 僵尸网络的特征为检测僵尸网络带来部分依据，然而这些特征很难精确地去检测，因此，结合模糊逻辑的相关理论，提出了一种新型的僵尸网络检测模型RLDB。在RLDB检测模型中，假设特征一用K表示，特征二用L表示。检测僵尸网络就是变成了检测网络是否符合（K，L）特征。 2.1语言变量“符合”的定义以及表示 模糊集合的定义如下：设论域为非空集合U， 对于任意的u∈U可存在以下的映射φA：U→[0，1]；u→φA（u）；则称集合A u|φA（u） ，u∈U为U上的模糊集合，φA（u）称为隶属度函数，φA（u）值越接近1表示u隶属A的程度越大。 一个语言变量可以用五元组来表示： 定义一： X，T（X），U，G，M ，期中X表示语言变量，T（X）表示语言变量的值的集合，U表示论域，G用来产生语言量的名字，是一种语法规则。M用来产生语言值的集合隶属度函数。 假设，模糊语言变量符合的论域UF 1，2，3，4 ，表示被检测网络符合僵尸网络特征的等级。 T（X） 不符合，有点符合，几乎符合，完全符合 ，G是用来从变量的论域产生对应的语言变量的修饰词的规则。比如，O→不符合，M则是被检测对象与具体语言变量值的隶属度函数。 定义二：被检测网络与僵尸网络的符合程度如下： F1 MF（不符合） （1，0，0，0） F2 MF（有点符合） （0，1，0，0） F3 MF（几乎符合） （0，0，1，0） F4 MF（完全符合） （0，0，0，1） 2.2K特征符合程度度量 将K特征具体数字化，ARP异常报文。异常度值0、0.5或者1，ICMP报文异常度取值0、0.5或者1，ICMP报文异常度取值0、0.5或者1。则K的取值（ 0，0.5，1，1.5，2，2.5，3）。那么K特征的符合度如图1。 2.3L 特征符合程度度量 对L特征进行数字化，L特征主要包含数据包大小相似程度，取值为0、0.5和1，和数据内容相似程度0、0.5、1，所以L取值为（0，0.5，1，1.5，2）。那么L特征的符合度如图2。 3僵尸网络的检测结果衡量 被检测网络对于僵尸网络的综合符合度是F K+hL，其中h为权重。因此如何选取合理的权重h显得尤为重要。为此我们可以通过相关实验进行测试权重的参数。通过在NS2上进行模拟实验，模拟的结点为3 000个，选取Sinit作为僵尸网络。模拟的结果见图3，结果显示h的合理参数应该在0.6～0.8。 参考文献： [1]BINSALLEEH H，ORMEROD T，BOUKHTOUTA A.On the analysis of the Zeus botnet crimeware toolkit[C].In：Proc.of the 8th Annual Int’l Conf.on Privacy Security and Trust