僵尸网络的研究及其检测-计算机应用技术专业论文.docx

万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 日期： 年 月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 签名： 导师签名： 日期： 年 月 日 万方数据 万方数据 摘要 摘 要 僵尸网络已经成为了网络安全领域最为关注的危害之一。僵尸网络主要是指 攻击者利用网络秘密构建的，由僵尸软件组成的可通信、可被集中控制的计算机 群。僵尸网络主要分为三类，基于 IRC 协议的僵尸网络，基于 HTTP 协议的僵尸 网络以及基于 P2P 协议的僵尸网络。目前对僵尸网络的检测上主要是针对 IRC 协 议的僵尸网络。P2P 僵尸网络是最近两年才开始受到关注的一种僵尸网络。P2P 僵尸网络，是僵尸程序与 P2P 技术相结合而产生的一种更复杂、造成的危害更大、 更隐蔽难以检测的僵尸网络。它与传统的 IRC 协议的僵尸网络的集中控制机制不 同，P2P 僵尸网络利用了 P2P 的对等性，消除了集中控制的限制，大大的增强了 生存性、隐蔽性和健壮性使得检测、防范以及跟踪上更加困难。由于 P2P 僵尸网 络正在快速的兴起，已经开始成为未来僵尸网络的主要形式，因此对 P2P 僵尸网 络进行检测变得十分的迫切而且必要。 本文的主要研究内容是 P2P 僵尸网络病毒的检测，包括了两个方面的内容： 主机恶意行为检测模块与 P2P 流识别模块。本文在阅读了大量的相关论文以及分 析了大量的僵尸病毒的基础上提出了将主机恶意行为和 P2P 流识别相结合的 P2P 僵尸病毒的检测方法。由于作者分析了大量的 P2P 僵尸病毒，对于 P2P 僵尸病毒 的共有特性具有很好的了解，因此这种 P2P 僵尸病毒的检测方法具有很强的通用 性，对于已知的以及未知的 P2P 僵尸病毒都可以进行很好的检测。 本文就僵尸网络的工作原理以及僵尸网络的命令和控制机制进行了深入的研 究，深入剖析了目前 P2P 僵尸网络的检测方法以及目前国内外对于 P2P 僵尸网络 的检测的研究状况。本文的主要贡献包括以下几点： 1．对于目前主要的一些 P2P 僵尸病毒样本，通过静态和动态相结合的分析 方法对其进行了深入的分析，主要是通过分析这些僵尸病毒在僵尸主机上的一些 行为特征。然后根据分析报告，提出了将主机恶意行为和 P2P 流检测相结合的 P2P 僵尸病毒分析方法。 2．通过 P2P 僵尸病毒的分析报告，总结出了 P2P 僵尸病毒在僵尸主机上表 现出的一些共性的恶意行为，然后提出并实现了主要的主机恶意行为检测模块， 该模块主要包括注册表监控、隐藏端口的检测、隐藏进程的检测、DLL 注入的检 测等恶意行为检测模块。 I 摘要 3．在研究了现阶段 P2P 流识别的主要方法以及 P2P 僵尸病毒的网络数据流 所特有的行为的基础上，实现了自己的 P2P 流识别系统。本文对于 P2P 流的识别 主要通过以下几种方法。A）通过端口进行识别。B）通过 P2P 协议的特征码进行 识别。C）通过 P2P 流在传输层所表现出的特征进行识别。D）根据 P2P 僵尸病 毒在网络上所表现出的一些行为特征进行识别。 关键词：网络安全，P2P 僵尸网络，主机恶意行为，P2P 流识别，P2P 僵尸病毒 II ABSTRACT ABSTRACT Botnet has become one of the most serious threats in the field of Internet security. Botnet, which mainly consisted of the zombie software, can commutate with each other, and have centralized control by the botmaster. Botnets are classified into three categories, based on IRC protocol, based on HTTP protocol and based on P2P protocol. Nowadays,