P2P僵尸网络检测技术研究.docVIP

湖南大学 硕士学位论文 P2P僵尸网络检测技术研究 姓名：杨小燕 申请学位级别：硕士 专业：计算机科学与技术 指导教师：李丽娟；廖清远  摘 现今因特网的威胁中，僵尸网络是一种危害性极高，且感染数量逐年上升的 重大威胁之一。使用者的计算机如果被植入僵尸病毒，攻击者即可从远程下指令 给所有被植入僵尸病毒的僵尸计算机。近年来，僵尸网络的演化迅速，从集中式 控制的??┦??纭???┦??缪莼?椒植际娇刂频腜?僵尸网络，这 样的演进增加了柃测的难度。新犁的??┦??缬τ肞?的传输架构，使得 测到可判定为异常行为的活动时，即设置防火墙对所有该程序的网络端口进行阻 挡。经分析，在该方案中，由于存在错误检测的可能性，因此本研究针对该方案 的实验，验证了这个入侵检测防御机制可行性。 ?  ? ???? ? ? ???瑃? ?? ? ???． ? ? ??? ? ? ??? ??? ???．???瑃???????? ??? ? ??? ? ???． ? ?? ????? ? ? ?? ? ???????? ????? ? ? ? ????? ?? ????∞ ?? ????? ? ?? ? ???? ??瓵 ??? ?? ???，??? ?????琁???? ?????琁???? ???  插图索引 图?? 图??僵尸计算机受控制过程?????????????????????? 图??僵尸网络架构????????????????????????? 图????┦??缂芄埂??????????????????????????????? ? 图????砑??覲?服务器通过服务器获取节点信息?????????? 图?? 图??????连接????服务器获得节点列表信息??????????一? 图?? ? 图?? 图?? 图??????诵辛鞒蘨? 图?? 图??主机端设定事件检测???????????????????????? 图??主机端检测流程图???????????????????????????? 图???黑名单服务器以及防火墙????????????????????? 图??阻止僵尸计算机与僵尸网络通信流程图???????????????? 图?? 图?? 图???笛?一?腜???对等节点响应数据包的内容?????????? 图?? ?  ????的寄信过滤规则???????????????????????  附表索引 表?? 表???黑名单服务器所纪录的信息?????????????????? 表??防火墙阻挡规则????????????????????????．．? 表??  论 布式阻断服务???珼????? ??? ? 机进行对应的动作。一般通称的僵尸计算机?? 宿主计算机，而僵尸网络????贝?是经由相同沟通管道受控制的僵尸计算机群 组。 ??研究背景与意义 僵尸网络是一种高级的攻击方式，是由传统的计算机病毒、木马、后门工具 等恶意代码进化而来的，它提供了一对多的控制机制，这种控制机制更加灵活高 效、更加隐蔽，成为目前网络上最为流行、威胁性最高的的一种攻击手段。， 随着网络技术的发展，僵尸网络也快速发展起来，给????的信息安全带 来了严重的威胁。美国是受僵尸网络攻击最为严重的国家，但是从??年  图????年中国被僵尸网络控制的计算机?分布图 图?? 信道进行了加密，使僵尸网络很容易多态和变形，加大了检测的难度。  ???缰新呒?嗔诘慕诘愕乩砦恢每赡芟喔艉茉叮??斡隤? 经仃一个节点感染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻 ’√．二。?? 、?『．：三五?妗?疗苹怠⑼呓狻⒖刂芇?网络中的大量主机，并利用这些被控制的主机 ??研穸动机 ，．?一．．．：?蜇⑹际褂肐?协议构建僵尸主机的控制信道，成为第一个真正意 ，．：?：?海?骸癑?海??蟪鱿至舜罅炕?贗?协议的僵尸程序如??????等。 ?ぁ??弧?甶：?海骸?海骸爸?タJ际褂萌涑婕际酰?褂肞?结构构建控制信道。随着僵尸  ??┏?网络枪测技术研究 项目，该项目实施过程中，收集了大量的恶意代码，通过对恶意代码样本进行分 顿大学??????和德国的蜜网项目组等。 目前僵尸计算机的检测系统有主机型检测??，以及网络型检测?陀】。 如果有使用到这些系统呼叫并且所使用的参数是从网络收到的情况即是可疑的程 ????醇觳饨┦?扑慊???，在【?中作 系，画出对话状态图，并在各阶段用不同的检测系统检测这些行为，如果计算机 ????????，??封包、收集计算机上 的邮件通讯录和对于僵尸网络上的计算机作出交换攻击信息，接收命令的行为， 则把此台计算机视成??┦?扑慊?Ｔ凇??恐校?髡呃?眉