【摘要】：僵尸網(wǎng)絡(luò)是由攻擊者控制的大量被感染主機(jī)組成的惡意網(wǎng)絡(luò),已發(fā)展成為當(dāng)今互聯(lián)網(wǎng)所面臨的最主要的安全威脅之一。攻擊者利用僵尸網(wǎng)絡(luò)作為平臺(tái),能輕而易舉的發(fā)起諸如分布式拒絕服務(wù)攻擊、發(fā)送大量垃圾郵件、竊取敏感信息等多種大規(guī)模惡意活動(dòng)。早期的僵尸網(wǎng)絡(luò)主要使用IRC(internet relay chat)和HTTP協(xié)議構(gòu)建其命令與控制信道,存在單點(diǎn)失效等明顯缺陷。隨著P2P(peer-to-peer)技術(shù)被引入到僵尸網(wǎng)絡(luò)中,基于P2P協(xié)議的僵尸網(wǎng)絡(luò)在靈活性、健壯性和隱匿性等方面都得到了大大加強(qiáng),因而威脅更大且更加難以被檢測。本文從P2P流量識(shí)別與分類、P2P僵尸網(wǎng)絡(luò)檢測和針對性流量采樣三方面循序漸進(jìn)地對基于網(wǎng)絡(luò)流量的P2P僵尸網(wǎng)絡(luò)實(shí)時(shí)檢測技術(shù)展開了研究。P2P流量的識(shí)別與分類為P2P僵尸網(wǎng)絡(luò)的檢測奠定基礎(chǔ),針對性流量采樣則進(jìn)一步提高P2P僵尸網(wǎng)絡(luò)檢測方法的實(shí)時(shí)性,并使其能適應(yīng)于高速網(wǎng)絡(luò)環(huán)境下的檢測。論文主要工作及貢獻(xiàn)如下:1)提出了基于簇流的P2P流量識(shí)別與分類方法。P2P應(yīng)用產(chǎn)生的流量中往往包含大量基本屬性相同的相似網(wǎng)絡(luò)流,這些相似網(wǎng)絡(luò)流由P2P網(wǎng)絡(luò)的主要控制活動(dòng)所產(chǎn)生,因此其出現(xiàn)是P2P流量存在的有力證據(jù)。本文將這些相似網(wǎng)絡(luò)流定義為簇流,并基于此行為特征,提出了兩種P2P流量識(shí)別與分類方法。第一種方法統(tǒng)計(jì)流量中簇流的出現(xiàn)次數(shù),并設(shè)計(jì)評分函數(shù)計(jì)算評分值,從而實(shí)現(xiàn)P2P流量的識(shí)別與分類。第二種方法以簇流出現(xiàn)次數(shù)作為統(tǒng)計(jì)特征,并借助SVM(support vector machine)機(jī)器學(xué)習(xí)算法作為分類工具,實(shí)現(xiàn)了對P2P流量的實(shí)時(shí)識(shí)別與分類。此兩種方法都僅需關(guān)注網(wǎng)絡(luò)流的幾個(gè)基本屬性,而無需其它復(fù)雜的流量統(tǒng)計(jì)特征,也不會(huì)受到流量加密的影響。實(shí)驗(yàn)結(jié)果表明它們都能對P2P流量實(shí)現(xiàn)精確識(shí)別和細(xì)粒度分類,且分類精度高,分類速度快,具有實(shí)時(shí)性。2)提出了基于行為模式匹配的P2P僵尸網(wǎng)絡(luò)實(shí)時(shí)檢測方法PeerSorter。P2P僵尸網(wǎng)絡(luò)也屬于一種P2P網(wǎng)絡(luò),因此具有同合法P2P網(wǎng)絡(luò)類似的簇流特征�；谝陨纤枷�,PeerSorter首先為各類P2P僵尸網(wǎng)絡(luò)建立描述其網(wǎng)絡(luò)行為模式的模式檔案。在檢測階段,PeerSorter提取待檢測網(wǎng)絡(luò)流量的行為模式,將其與上述模式檔案進(jìn)行匹配,并設(shè)計(jì)匹配函數(shù)評估二者的匹配程度,最終得出檢測結(jié)果。由于P2P網(wǎng)絡(luò)簇流特征的普遍性,PeerSorter不僅能對P2P僵尸網(wǎng)絡(luò)實(shí)現(xiàn)檢測,還能檢測各類合法的P2P應(yīng)用。實(shí)驗(yàn)結(jié)果表明PeerSorter能精確地對各類P2P僵尸網(wǎng)絡(luò)和合法P2P應(yīng)用進(jìn)行實(shí)時(shí)檢測。3)提出了基于回訪性的P2P僵尸網(wǎng)絡(luò)實(shí)時(shí)檢測方法PeerDigger。相對于合法P2P主機(jī),P2P僵尸主機(jī)更喜歡重復(fù)訪問相同的遠(yuǎn)端主機(jī)。本文將P2P僵尸主機(jī)的此行為特性定義為回訪性。PeerDigger首先根據(jù)簇流特征檢測出監(jiān)控網(wǎng)絡(luò)內(nèi)所有的P2P主機(jī),然后再根據(jù)上述回訪性行為特性進(jìn)一步檢測出其中的P2P僵尸主機(jī)。與現(xiàn)有P2P僵尸網(wǎng)絡(luò)檢測方法相比,PeerDigger不依賴于對僵尸主機(jī)惡意活動(dòng)的觀測,也不依賴于多個(gè)僵尸主機(jī)的群組行為,因此能檢測處于隱匿階段或單獨(dú)出現(xiàn)的P2P僵尸主機(jī)。實(shí)驗(yàn)結(jié)果表明PeerDigger能對P2P僵尸主機(jī)實(shí)現(xiàn)精確且實(shí)時(shí)的檢測。4)提出了針對P2P僵尸網(wǎng)絡(luò)檢測的自適應(yīng)流量采樣方法T-Sampling。當(dāng)前的網(wǎng)絡(luò)流量規(guī)模,尤其是高速網(wǎng)絡(luò)的流量規(guī)模,正給基于網(wǎng)絡(luò)流量的P2P僵尸網(wǎng)絡(luò)檢測系統(tǒng)帶來巨大挑戰(zhàn)。T-Sampling能有效減少P2P僵尸網(wǎng)絡(luò)檢測系統(tǒng)所需要處理的網(wǎng)絡(luò)報(bào)文數(shù)量,同時(shí)盡量保持其檢測精度,以使其能適應(yīng)于高速網(wǎng)絡(luò)環(huán)境下的實(shí)時(shí)檢測。T--Sampling首先從高速網(wǎng)絡(luò)中盡快識(shí)別出少量潛在的P2P僵尸主機(jī),然后在給定的目標(biāo)采樣率下,盡可能多地采集與P2P僵尸網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)報(bào)文。實(shí)驗(yàn)結(jié)果表明T--Sampling能大大提高采樣后流量中P2P僵尸網(wǎng)絡(luò)報(bào)文所占的比例,且采樣后的流量對P2P僵尸網(wǎng)絡(luò)檢測系統(tǒng)的檢測精度影響較小。
【圖文】：

全報(bào)告Ｗ邋，邋２０１４年境內(nèi)共有戙１１０８萬個(gè)ＩＰ地址的主機(jī)被植入木馬或僵戶程序，，逡逑其中，受控生機(jī)ＩＰ地址ex

本文編號(hào)：2522840