【摘要】：作為當(dāng)今互聯(lián)網(wǎng)面臨的嚴(yán)重威脅之一,僵尸網(wǎng)絡(luò)(Botnet)經(jīng)過十幾年的發(fā)展,已經(jīng)從早期的集中型,例如IRC和HTTP型僵尸網(wǎng)絡(luò),逐漸發(fā)展為當(dāng)前更為健壯、復(fù)雜的分布型,即P2P僵尸網(wǎng)絡(luò)。相比于前者,后者在拓?fù)浣Y(jié)構(gòu)、隱匿技術(shù)、抗毀功能等方面都發(fā)生了很大改變,隱蔽性和健壯性大大提高,給當(dāng)今互聯(lián)網(wǎng)帶來了巨大危害。目前針對P2P僵尸網(wǎng)絡(luò)的研究主要集中在檢測、測量、性能分析、反制等方面,逐漸趨于成熟,而P2P僵尸網(wǎng)絡(luò)追蹤技術(shù)研究相對較少,仍亟待完善。為了進(jìn)一步有效地抵御和摧毀P2P僵尸網(wǎng)絡(luò),針對P2P僵尸網(wǎng)絡(luò)追蹤技術(shù)開展深入研究已經(jīng)成為當(dāng)務(wù)之急。通過深入分析當(dāng)前P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)特點等,本文提出了“三步走”的P2P僵尸網(wǎng)絡(luò)追蹤策略,即第一步發(fā)現(xiàn)P2P僵尸節(jié)點及其拓?fù)浣Y(jié)構(gòu),第二步識別P2P僵尸網(wǎng)絡(luò)中的關(guān)鍵節(jié)點,第三步識別P2P僵尸網(wǎng)絡(luò)中關(guān)鍵節(jié)點內(nèi)部的網(wǎng)絡(luò)活動,發(fā)現(xiàn)關(guān)鍵節(jié)點和上層控制服務(wù)器之間的通信,從而追蹤上層控制服務(wù)器。通過相關(guān)實驗及分析,充分證明了在三個步驟中所提方法的合理性和有效性。最后在此基礎(chǔ)上,本文設(shè)計了一種追蹤P2P僵尸網(wǎng)絡(luò)的原型系統(tǒng)。具體內(nèi)容描述如下:第一步,P2P僵尸節(jié)點及拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)研究。本文以一種當(dāng)前活躍的P2P僵尸網(wǎng)絡(luò)Zeus為研究對象,在對其協(xié)議和架構(gòu)進(jìn)行深入分析的基礎(chǔ)上,首先設(shè)計了基于寬度優(yōu)先爬取策略的爬蟲,爬取到了約100000個僵尸節(jié)點以及較為完整的網(wǎng)絡(luò)拓?fù)湫畔�。通過獲取僵尸節(jié)點對應(yīng)的經(jīng)緯度信息,對Zeus節(jié)點的地理分布進(jìn)行統(tǒng)計和展示。為了進(jìn)一步降低時間開銷,本文提出了一種改進(jìn)的爬行算法,實驗結(jié)果表明改進(jìn)的爬行算法在保證較高爬行效率的前提下,可以大幅降低爬行所需時間。第二步,P2P僵尸網(wǎng)絡(luò)中關(guān)鍵節(jié)點識別研究。針對當(dāng)前P2P僵尸網(wǎng)絡(luò)中普遍存在關(guān)鍵節(jié)點但是難以被發(fā)現(xiàn)的現(xiàn)狀,在第一步網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)的基礎(chǔ)上,本文分別從網(wǎng)絡(luò)拓?fù)浜土髁糠治鰞蓚�角度,對P2P僵尸網(wǎng)絡(luò)中的潛在關(guān)鍵節(jié)點識別進(jìn)行了研究。(1)從網(wǎng)絡(luò)拓?fù)浣嵌?在分析了當(dāng)前多種網(wǎng)絡(luò)節(jié)點重要性度量方法的基礎(chǔ)上,本文提出了一種基于多重屬性的P2P僵尸網(wǎng)絡(luò)關(guān)鍵節(jié)點識別技術(shù),實驗結(jié)果表明了方法的可行性和有效性。(2)從流量分析的角度,為進(jìn)一步提高關(guān)鍵節(jié)點識別的準(zhǔn)確度,通過分析關(guān)鍵節(jié)點的流量特性,本文提取了關(guān)鍵節(jié)點和普通節(jié)點的流量差異性特征(空間特征、報文特征等),在此基礎(chǔ)上,進(jìn)一步提出了一種基于流量統(tǒng)計的關(guān)鍵節(jié)點識別技術(shù),實驗結(jié)果表明了其有效性。第三步,P2P僵尸網(wǎng)絡(luò)中關(guān)鍵節(jié)點的網(wǎng)絡(luò)活動識別研究。在第二步識別P2P僵尸網(wǎng)絡(luò)關(guān)鍵節(jié)點的基礎(chǔ)上,為了進(jìn)一步追蹤出上層控制服務(wù)器,需要對所發(fā)現(xiàn)關(guān)鍵節(jié)點的網(wǎng)絡(luò)活動進(jìn)行識別。針對當(dāng)前P2P僵尸網(wǎng)絡(luò)流量多采用強加密的現(xiàn)狀,為了識別出在流量加密下的P2P僵尸網(wǎng)絡(luò)內(nèi)部活動,通過提取網(wǎng)絡(luò)活動流的時間序列特性和統(tǒng)計特性來作為活動識別的特征,本文提出了一種基于隱馬爾可夫(HMM)的P2P僵尸網(wǎng)絡(luò)活動識別技術(shù)。實驗結(jié)果表明,該方法可以有效地識別不同的網(wǎng)絡(luò)活動,誤報率小于2.2%,平均識別準(zhǔn)確度達(dá)到98.55%。綜上所述,為了進(jìn)一步有效地抵御當(dāng)前的P2P僵尸網(wǎng)絡(luò),通過分析其主要特點,本文分三個步驟對P2P僵尸網(wǎng)絡(luò)的追蹤開展了深入研究,并通過相關(guān)實驗驗證了研究的可行性。同時本文的研究為進(jìn)一步的打擊和追蹤奠定了基礎(chǔ),具有較強的社會意義和應(yīng)用價值。
【圖文】：

第 17 頁圖 2. 1 Zeus 爬取過程展示2.3.1 Zeus 拓?fù)湔故境跏嫉呐老x程序基于 BFS(寬度優(yōu)先)策略進(jìn)行節(jié)點列表探測，向多個已知節(jié)點發(fā)出列表請求獲取其內(nèi)部節(jié)點列表。例如向 IP 地址為 85.100.41.9 的僵尸節(jié)點發(fā)送請求，，獲得的其鄰居節(jié)點 IP 信息，如表 2.2 所示。表 2. 2 鄰居節(jié)點列表節(jié)點 1--IP 鄰居節(jié)點 2--IP85.100.41.9 99.73.173.219

國防科學(xué)技術(shù)大學(xué)研究生院工學(xué)碩士學(xué)位論文85.100.41.9 86.150.215.23785.100.41.9 176.35.122.6885.100.41.9 220.146.39.3485.100.41.9 168.63.150.6385.100.41.9 114.69.243.23785.100.41.9 91.58.170.5085.100.41.9 109.217.70.5785.100.41.9 181.29.212.114通過不斷爬取，可以根據(jù)節(jié)點之間的鄰居關(guān)系，以此構(gòu)建相應(yīng)的拓?fù)浼軜?gòu)。們利用 Gephi(一種可視化的復(fù)雜網(wǎng)絡(luò)分析軟件)來對獲取的拓?fù)溥M(jìn)行了展示，如 2.2 所示。
【學(xué)位授予單位】：國防科學(xué)技術(shù)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 何杰;楊岳湘;喬勇;唐川;;基于簇流的P2P流量精確分類技術(shù)（英文）[J];中國通信;2013年11期

2 王天佐;王懷民;劉波;史佩昌;;僵尸網(wǎng)絡(luò)中的關(guān)鍵問題[J];計算機學(xué)報;2012年06期

3 應(yīng)凌云;楊軼;馮登國;蘇璞睿;;惡意軟件網(wǎng)絡(luò)協(xié)議的語法和行為語義分析方法[J];軟件學(xué)報;2011年07期

4 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J];計算機學(xué)報;2009年10期

5 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報;2008年03期

6 諸葛建偉;韓心慧;周勇林;宋程昱;郭晉鵬;鄒維;;HoneyBow:一個基于高交互式蜜罐技術(shù)的惡意代碼自動捕獲器[J];通信學(xué)報;2007年12期

本文編號：2542739