【摘要】：從僵尸程序執(zhí)行軌跡對二進(jìn)制代碼塊的覆蓋規(guī)律出發(fā),提出了一種僵尸網(wǎng)絡(luò)控制命令發(fā)掘方法。通過分析執(zhí)行軌跡對代碼塊的覆蓋率特征實(shí)現(xiàn)對僵尸網(wǎng)絡(luò)控制命令空間的發(fā)掘,根據(jù)代碼空間是否被全覆蓋來驗證發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)命令空間的全面性。對僵尸網(wǎng)絡(luò)Zeus、SdBot、AgoBot的執(zhí)行軌跡進(jìn)行了代碼塊覆蓋率分析,結(jié)果表明,該方法能夠快速準(zhǔn)確地發(fā)掘出僵尸網(wǎng)絡(luò)的控制命令集合,時間和空間開銷小,且該命令集合所對應(yīng)的執(zhí)行軌跡可以覆蓋僵尸程序95%以上的代碼空間。
[Abstract]:In this paper, a botnet control command mining method is proposed based on the coverage of binary code block by the execution trajectory of zombie program. The botnet control command space is excavated by analyzing the coverage characteristics of the execution track to the code block, and the comprehensiveness of the discovered botnet command space is verified according to whether the code space is completely covered or not. The block coverage of the execution trajectory of botnet Zeus,SdBot,AgoBot is analyzed. The results show that the proposed method can quickly and accurately discover the set of control commands of botnet with little time and space overhead. And the execution trajectory corresponding to the command set can cover more than 95% of the code space of the zombie program.
【作者單位】： 南開大學(xué)計算機(jī)與控制工程學(xué)院;
【基金】：國家自然科學(xué)基金資助項目(61300242,61272423,60973141) 國家重點(diǎn)基礎(chǔ)研究發(fā)展計劃(“973”計劃)基金資助項目(2013CB834204) 中央高校基本科研業(yè)務(wù)費(fèi)專項基金資助項目(65121012) 南開大學(xué)—騰訊聯(lián)合基金資助項目(2011-11)~~
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 劉豫;王明華;蘇璞睿;馮登國;;基于動態(tài)污點(diǎn)分析的惡意代碼通信協(xié)議逆向分析方法[J];電子學(xué)報;2012年04期

2 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡(luò)檢測技術(shù)研究進(jìn)展[J];計算機(jī)研究與發(fā)展;2010年12期

3 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計算機(jī)研究與發(fā)展;2011年08期

4 金鑫;李潤恒;甘亮;李政儀;;基于通信特征曲線動態(tài)時間彎曲距離的IRC僵尸網(wǎng)絡(luò)同源判別方法[J];計算機(jī)研究與發(fā)展;2012年03期

5 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J];計算機(jī)學(xué)報;2009年10期

6 王天佐;王懷民;劉波;史佩昌;;僵尸網(wǎng)絡(luò)中的關(guān)鍵問題[J];計算機(jī)學(xué)報;2012年06期

7 王志;賈春福;魯凱;;基于環(huán)境敏感分析的惡意代碼脫殼方法[J];計算機(jī)學(xué)報;2012年04期

8 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報;2008年03期

9 江健;諸葛建偉;段海新;吳建平;;僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J];軟件學(xué)報;2012年01期

10 應(yīng)凌云;楊軼;馮登國;蘇璞睿;;惡意軟件網(wǎng)絡(luò)協(xié)議的語法和行為語義分析方法[J];軟件學(xué)報;2011年07期

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈利香;;僵尸網(wǎng)絡(luò)傳播模式分析和防治對策[J];常州工學(xué)院學(xué)報;2008年06期

2 陸軍;杜蕾;;DDoS攻擊中傀儡機(jī)動態(tài)分布策略研究[J];智能計算機(jī)與應(yīng)用;2011年05期

3 王永澤;熊家軍;;用于混合型P2P僵尸網(wǎng)絡(luò)的列表路由改進(jìn)算法[J];電腦編程技巧與維護(hù);2011年02期

4 張宇翔;孫繼銀;;基于HoneyNet的軍事信息網(wǎng)絡(luò)主動防御能力實(shí)現(xiàn)[J];電腦與信息技術(shù);2008年05期

5 肖斌;張焱;汪永益;;基于蠕蟲的大規(guī)模BotNet傳播與控制研究[J];電腦與信息技術(shù);2009年03期

6 賈花萍;;僵尸網(wǎng)絡(luò)的危害及其應(yīng)對策略[J];電腦知識與技術(shù);2008年04期

7 梁其川;吳禮發(fā);;一種新穎的P2P僵尸網(wǎng)絡(luò)檢測技術(shù)[J];電腦知識與技術(shù);2009年22期

8 馬文娟;;僵尸網(wǎng)絡(luò)工作機(jī)制淺析[J];電腦知識與技術(shù);2010年12期

9 王偉;;基于源端檢測的僵尸網(wǎng)絡(luò)防御模型研究[J];電腦知識與技術(shù);2010年18期

10 孔淼;史壽樂;;僵尸網(wǎng)絡(luò)的分類及其檢測技術(shù)[J];電腦知識與技術(shù);2011年05期

相關(guān)會議論文 前1條

1 季大臣;劉向東;;Botnet網(wǎng)絡(luò)組織機(jī)制研究[A];全國計算機(jī)安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

相關(guān)博士學(xué)位論文 前10條

1 余俊豐;Web程序與數(shù)據(jù)安全研究[D];華中科技大學(xué);2011年

2 王威;僵尸網(wǎng)絡(luò)對抗技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2010年

3 李潤恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2010年

4 劉運(yùn);DDoS Flooding攻擊檢測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

5 王海龍;僵尸網(wǎng)絡(luò)檢測關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

6 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測[D];北京郵電大學(xué);2011年

7 鄧林;網(wǎng)絡(luò)信息安全防護(hù)理論與方法的研究[D];合肥工業(yè)大學(xué);2009年

8 蒿敬波;對等結(jié)構(gòu)的惡意蠕蟲網(wǎng)絡(luò)研究[D];國防科學(xué)技術(shù)大學(xué);2008年

9 王斌斌;僵尸網(wǎng)絡(luò)檢測方法研究[D];華中科技大學(xué);2010年

10 李雪峰;P2P僵尸網(wǎng)絡(luò)體系結(jié)構(gòu)研究[D];清華大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 蔡彬彬;P2P僵尸網(wǎng)絡(luò)的研究[D];長春理工大學(xué);2010年

2 胥奇;基于P2P的僵尸網(wǎng)絡(luò)的實(shí)現(xiàn)與防御[D];華東師范大學(xué);2011年

3 劉帆;基于數(shù)據(jù)包特征的僵尸木馬檢測技術(shù)[D];天津理工大學(xué);2010年

4 左洪艷;僵尸網(wǎng)絡(luò)檢測系統(tǒng)的研究與設(shè)計[D];北京郵電大學(xué);2011年

5 鐘銳;基于隱馬爾科夫模型的入侵檢測系統(tǒng)研究[D];江西理工大學(xué);2010年

6 戴維;基于IRC協(xié)議的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的實(shí)現(xiàn)[D];電子科技大學(xué);2010年

7 周海濤;中小型局域網(wǎng)中P2P僵尸網(wǎng)絡(luò)的檢測[D];東華大學(xué);2011年

8 冉宏敏;基于聚類分析的P2P僵尸網(wǎng)絡(luò)分析與檢測[D];吉林大學(xué);2011年

9 宋元章;基于MFFM模型檢測P2P僵尸網(wǎng)絡(luò)[D];吉林大學(xué);2011年

10 趙欣;僵尸網(wǎng)絡(luò)異常流量檢測[D];北京郵電大學(xué);2011年

【二級參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張兆心;方濱興;胡銘曾;;支持IDS的高速網(wǎng)絡(luò)信息獲取體系結(jié)構(gòu)[J];北京郵電大學(xué)學(xué)報;2006年02期

2 胡振宇,劉在強(qiáng),蘇璞睿,馮登國;基于協(xié)議分析的IM阻斷策略及算法分析[J];電子學(xué)報;2005年10期

3 肖輝,胡運(yùn)發(fā);基于分段時間彎曲距離的時間序列挖掘[J];計算機(jī)研究與發(fā)展;2005年01期

4 程杰仁;殷建平;劉運(yùn);鐘經(jīng)偉;;蜜罐及蜜網(wǎng)技術(shù)研究進(jìn)展[J];計算機(jī)研究與發(fā)展;2008年S1期

5 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡(luò)檢測技術(shù)研究進(jìn)展[J];計算機(jī)研究與發(fā)展;2010年12期

6 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J];計算機(jī)學(xué)報;2009年10期

7 李潤恒;王明華;賈焰;;基于通信特征提取和IP聚集的僵尸網(wǎng)絡(luò)相似性度量模型[J];計算機(jī)學(xué)報;2010年01期

8 孫彥東;李東;;僵尸網(wǎng)絡(luò)綜述[J];計算機(jī)應(yīng)用;2006年07期

9 嚴(yán)芬;王佳佳;趙金鳳;殷新春;;DDoS攻擊檢測綜述[J];計算機(jī)應(yīng)用研究;2008年04期

10 文偉平,卿斯?jié)h,蔣建春,王業(yè)君;網(wǎng)絡(luò)蠕蟲研究與進(jìn)展[J];軟件學(xué)報;2004年08期

相關(guān)博士學(xué)位論文 前1條

1 李潤恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2010年

相關(guān)碩士學(xué)位論文 前1條

1 馮永亮;結(jié)構(gòu)化P2P僵尸網(wǎng)絡(luò)檢測技術(shù)的研究[D];華中科技大學(xué);2008年

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈利香;;僵尸網(wǎng)絡(luò)傳播模式分析和防治對策[J];常州工學(xué)院學(xué)報;2008年06期

2 徐原;;惡意代碼數(shù)量激增 警惕其傳播擴(kuò)散[J];信息網(wǎng)絡(luò)安全;2009年03期

3 蔡彬彬;趙巍;;國際互聯(lián)網(wǎng)安全的重要威脅之一:僵尸網(wǎng)絡(luò)[J];科技信息;2010年03期

4 蔡敏;;僵尸網(wǎng)絡(luò)流的識別[J];信息網(wǎng)絡(luò)安全;2010年04期

5 王明華;;網(wǎng)絡(luò)安全波瀾不驚[J];信息網(wǎng)絡(luò)安全;2010年04期

6 于曉聰;董曉梅;于戈;秦玉海;;僵尸網(wǎng)絡(luò)在線檢測技術(shù)研究[J];武漢大學(xué)學(xué)報(信息科學(xué)版);2010年05期

7 朱帆;;僵尸網(wǎng)絡(luò)檢測和防范研究[J];現(xiàn)代商貿(mào)工業(yè);2010年12期

8 張潔;;基于P2P的僵尸網(wǎng)絡(luò)的檢測技術(shù)[J];商場現(xiàn)代化;2011年03期

9 李基初;唐俊;;基于多智能體社會的僵尸網(wǎng)絡(luò)協(xié)同防御模型[J];微電子學(xué)與計算機(jī);2011年03期

10 陳周國;;僵尸網(wǎng)絡(luò)分析及其防御[J];信息安全與通信保密;2011年06期

相關(guān)會議論文 前10條

1 畢經(jīng)存;;匯編程序覆蓋測試中不可達(dá)指令檢測算法[A];2008’“先進(jìn)集成技術(shù)”院士論壇暨第二屆儀表、自動化與先進(jìn)集成技術(shù)大會論文集[C];2008年

2 劉琪;牛文靜;顧兆軍;;基于API調(diào)用序列的惡意代碼動態(tài)分析方法研究[A];2009年研究生學(xué)術(shù)交流會通信與信息技術(shù)論文集[C];2009年

3 劉威;;DNS放大攻擊的研究[A];全國計算機(jī)安全學(xué)術(shù)交流會論文集（第二十四卷）[C];2009年

4 楊明;任崗;張建偉;;淺談僵尸網(wǎng)絡(luò)[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國青年通信學(xué)術(shù)會議論文集[C];2006年

5 蔡雋;童崢嶸;;淺談“花生殼”在僵尸網(wǎng)絡(luò)檢測系統(tǒng)中的妙用[A];中國通信學(xué)會第五屆學(xué)術(shù)年會論文集[C];2008年

6 蔡雋;童崢嶸;;淺談僵尸網(wǎng)絡(luò)及其檢測方案的研究[A];四川省通信學(xué)會2007年學(xué)術(shù)年會論文集[C];2007年

7 周強(qiáng);李玉梅;;漢語塊分析評測任務(wù)設(shè)計[A];中國計算機(jī)語言學(xué)研究前沿進(jìn)展（2007-2009）[C];2009年

8 韓心慧;郭晉鵬;周勇林;諸葛建偉;曹東志;鄒維;;僵尸網(wǎng)絡(luò)活動調(diào)查分析[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

9 金雙民;段海新;鄭輝;;IRC僵尸網(wǎng)絡(luò)控制端識別系統(tǒng)的設(shè)計與實(shí)現(xiàn)[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

10 張廣梅;陳蕊;李曉維;;面向軟件故障檢測的數(shù)據(jù)流分析[A];全國第13屆計算機(jī)輔助設(shè)計與圖形學(xué)（CAD/CG）學(xué)術(shù)會議論文集[C];2004年

相關(guān)重要報紙文章 前1條

1 記者 吳苡婷;國內(nèi)首款商用反編譯器上海造[N];上海科技報;2010年

相關(guān)博士學(xué)位論文 前10條

1 王祥根;自修改代碼逆向分析方法研究[D];中國科學(xué)技術(shù)大學(xué);2009年

2 吳艷霞;基于匯編語言的控制流錯誤檢測算法研究[D];哈爾濱工程大學(xué);2008年

3 葛琳;可信軟件開發(fā)框架下的出具證明編譯研究[D];中國科學(xué)技術(shù)大學(xué);2007年

4 王斌斌;僵尸網(wǎng)絡(luò)檢測方法研究[D];華中科技大學(xué);2010年

5 王莉;類數(shù)據(jù)流驅(qū)動的分片式處理器上的編譯及優(yōu)化技術(shù)[D];中國科學(xué)技術(shù)大學(xué);2009年

6 胡俊;在線社會網(wǎng)絡(luò)上SPAM行為檢測方法研究[D];華中科技大學(xué);2011年

7 蘇銘;對IA-64結(jié)構(gòu)特性優(yōu)化代碼的二進(jìn)制翻譯技術(shù)研究[D];解放軍信息工程大學(xué);2006年

8 蔣烈輝;固件代碼逆向分析關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2007年

9 閆昭;程序并行識別方法及應(yīng)用研究[D];吉林大學(xué);2009年

10 唐鋒;動態(tài)二進(jìn)制翻譯優(yōu)化研究[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2006年

相關(guān)碩士學(xué)位論文 前10條

1 張云;一個基于即時編譯器的GBA模擬器[D];電子科技大學(xué);2006年

2 唐科;軟件仿真環(huán)境下的嵌入式軟件測試的研究[D];電子科技大學(xué);2005年

3 陳兆沖;僵尸工具類惡意代碼的檢測研究[D];電子科技大學(xué);2009年

4 李建立;空間輻射環(huán)境下軟件實(shí)現(xiàn)的硬件故障檢測技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2008年

5 吳浩;二進(jìn)制翻譯系統(tǒng)QEMU的優(yōu)化技術(shù)[D];上海交通大學(xué);2007年

6 李金良;僵尸網(wǎng)絡(luò)及其防御研究[D];曲阜師范大學(xué);2007年

7 史輝輝;動態(tài)二進(jìn)制翻譯中基于profile的優(yōu)化算法研究[D];上海交通大學(xué);2008年

8 吳玲;蠕蟲型僵尸工具的傳播模型及檢測技術(shù)研究[D];電子科技大學(xué);2008年

9 滿萍;受控僵尸網(wǎng)絡(luò)攻擊實(shí)驗平臺的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2009年

10 張定飛;指令Cache優(yōu)化中代碼重排技術(shù)的研究與實(shí)現(xiàn)[D];國防科學(xué)技術(shù)大學(xué);2005年

，

本文編號：2449754