基于主機的P2P僵尸病毒檢測技術研究.pdf

1、僵尸網(wǎng)絡作為一種日趨嚴重的互聯(lián)網(wǎng)安全威脅，已成為安全領域研究者所共同關注的熱點。由于目前IRC協(xié)議仍是僵尸網(wǎng)絡的主流控制協(xié)議，所以幾乎所有的相關研究都是關注IRC僵尸網(wǎng)絡控制信道的檢測和刻畫?；贗RC協(xié)議的命令與控制機制具有集中控制點，使得這種基于客戶端/服務器架構的僵尸網(wǎng)絡容易被跟蹤、檢測和反制。而基于P2P技術的僵尸網(wǎng)絡在健壯性、安全性和隱蔽性等方面都有很大的提高，這給僵尸網(wǎng)絡的發(fā)現(xiàn)和監(jiān)測帶來了挑戰(zhàn)。P2P僵尸網(wǎng)絡由于具有較強的個

2、性化差異，目前還沒有一種通用的檢測方法。但隨著這類僵尸網(wǎng)絡近年來的不斷發(fā)展，構建對P2P僵尸網(wǎng)絡的有效檢測方法將是一個重要的研究課題。 本文將數(shù)據(jù)挖掘技術引入互聯(lián)網(wǎng)信息安全領域，選取P2P僵尸病毒作為研究對象，對其進行有害內容提取、主機行為分析及網(wǎng)絡通信分析，析取出其內在活動規(guī)律與傳播機制，挖掘出主機上的非法行為與非法鏈接，在此基礎上，提出了一種通用且高效的P2P僵尸病毒檢測方法，從惡意行為分析與P2P流量識別兩個方面來對P2P

3、僵尸病毒進行檢測。這一課題在僵尸病毒的研究上具有較大的創(chuàng)新性，同時也具有較高的應用價值。 本文首先收集了大量僵尸病毒樣本，選取幾種典型的P2P僵尸病毒進行深入分析，抽象出其功能結構模塊，研究其在主機上的惡意行為、傳播方式、攻擊手段以及對等端之間的連接特性等，在此基礎上完成了詳細的病毒分析報告。接著本文將N-gram算法應用于惡意行為的動態(tài)分析，通過提取并量化可執(zhí)行程序的API函數(shù)調用序列，得出API子串的頻率分布特征，據(jù)此判斷該

4、程序是否發(fā)生了惡意行為。然后，本文在現(xiàn)有流量檢測技術的基礎上做出改進，提出了一種基于連接行為特征的P2P協(xié)議識別方法。通過對各種P2P應用協(xié)議進行系統(tǒng)的分析，找出P2P流量存在的特性及共性，從而構建P2P行為特征模型，用于檢測可執(zhí)行程序是否發(fā)生了P2P通信。最后，將惡意行為分析和P2P協(xié)議識別進行有效結合，設置一個合理的時間窗口，動態(tài)監(jiān)測可執(zhí)行程序的主機行為及網(wǎng)絡通信，從而實現(xiàn)對P2P僵尸病毒的實時檢測。實驗表明，本文提出的基于行為特征