僵尸网络活动调查分析.pdfVIP

第28卷第12期 通 信 学 报 、b1．28 NO．12 2007年12月 Joumal on Communications December 20o7 僵尸网络活动调查分析 韩心慧 ，郭晋鹏 ，周勇林 ，诸葛建伟 ，邹维 (1．北京大学 计算机科学技术研究所，北京 100871；2．国家计算机网络应急技术处理协调中心，北京 100029) 摘 要：僵尸网络已经成为网络攻击者首选的攻击平台，用以发起分布式拒绝服务攻击、窃取敏感信息和发送垃 圾邮件等，对公共互联网的正常运行和互联网用户的利益造成了严重的威胁。较大规模地发现和监测实际僵尸网 络的活动行为并对其规律进行深入调查分析，是更为全面地监测僵尸网络和对其实施反制的必要前提。通过对所 监测的1 961个实际僵尸网络的活动情况进行了深入调查和分析，从中给出了僵尸网络数量增长情况、控制服务 器分布、僵尸网络规模、被控主机分布以及僵尸网络各种攻击行为的分析结果。 关键词：僵尸网络；僵尸程序：恶意代码；蜜罐；蜜网 中图分类号：TP309 文献标识码：A 文章编号：1000．436X(2007)12．0167．06 Investigation on the botnets activities HAN Xin—hui1GUO Jin—peng1ZHOU Yong．1in2ZHUGE Jian—wei1ZOU Wei1 ， ， ， ， (1．Institute ofComputer Science and Technology,Peking University,Beijing 100871，China； 2．National Computer Network Emergency Response Technical Center of China,Beijing 100029。China) Abstract：Botnets have become the first‘choice attack platform for the network attackers to launch distributed denial of service attacks，steal sensitive inform ation and send spam．They have raised sedous threats to norm al operation of the Internet and the benefits of the Intemet users． e investigation on the wild botnets activities is the necessary for the fur· ther monitering and coun~rm easure against world-wide botnets．Based on the investigation and analysis on tracking re- cords of 1 961 wild botnets，it shows the statistical results of botnet activities，including amount of bombs，command and control channel distributions，botnet size and end·host distributions，and various types of botnet a~ack activities． Key words：botnet；b