基于數(shù)據(jù)流特征向量識別的P2P僵尸網(wǎng)絡檢測方法研究.pdf

1、僵尸網(wǎng)絡是目前被公認的最具威脅的網(wǎng)絡安全問題之一。僵尸網(wǎng)絡是指通過在網(wǎng)絡傳播傳統(tǒng)的惡意代碼(計算機病毒、網(wǎng)絡蠕蟲、木馬),發(fā)現(xiàn)易感染節(jié)點,將其納入自身控制網(wǎng)絡之內(nèi),進而利用這些節(jié)點實施大規(guī)模惡意攻擊的平臺。由于僵尸網(wǎng)絡的隱蔽性、破壞性遠遠強于普通網(wǎng)絡攻擊,成為近年來最為流行的網(wǎng)絡攻擊方式。
　　早期的僵尸網(wǎng)絡主要包括基于IRC協(xié)議的和基于HTTP協(xié)議的兩種,都是通過具有中心控制能力的節(jié)點,進行命令與控制信息的分發(fā),將易感染節(jié)點加入

2、到這個網(wǎng)絡中,這一時期的僵尸網(wǎng)絡主要通過固定的端口、協(xié)議來進行控制信息傳輸(協(xié)議中攜帶特定的字符串)。目前國內(nèi)外研究學者提出了通過對特定端口的監(jiān)聽以及對協(xié)議中特定字符串的識別,能夠高效識別出這類僵尸網(wǎng)絡。隨著P2P技術以及僵尸網(wǎng)絡的發(fā)展,P2P僵尸網(wǎng)絡產(chǎn)生,該類型僵尸網(wǎng)絡實現(xiàn)了僵尸網(wǎng)絡控制的非中心化,優(yōu)化了傳統(tǒng)僵尸網(wǎng)絡的依靠中心節(jié)點進行命令和控制分發(fā)的弊端,給僵尸網(wǎng)絡檢測帶來一定的困難。
　　目前,關于P2P僵尸網(wǎng)絡的檢測方法主要

3、分為四類:基于終端節(jié)點、基于網(wǎng)絡流量、基于協(xié)議特征和基于行為特征的檢測?；诮K端節(jié)點的檢測主要目標是檢測所監(jiān)控主機中的惡意代碼和可疑的活動,對于包含中心節(jié)點的P2P僵尸網(wǎng)絡具有較好的檢測效果,但對于其他類型P2P僵尸網(wǎng)絡檢測誤報率較高;后兩者分別通過網(wǎng)絡通信協(xié)議識別以及應用層特征識別,對P2P僵尸網(wǎng)絡進行檢測,這兩類方法對特定協(xié)議的P2P僵尸網(wǎng)絡具有較好檢測效果,但通用性較差;基于網(wǎng)絡流量的檢測主要通過分析所監(jiān)控網(wǎng)絡中網(wǎng)絡通信流量所表現(xiàn)

4、出的特征和變化規(guī)律,找出P2P僵尸網(wǎng)絡與其它網(wǎng)絡之間的網(wǎng)絡數(shù)據(jù)流特征區(qū)別,具有較好檢測效果,但目前的檢測方法并未分析P2P僵尸網(wǎng)絡在通信過程中表現(xiàn)出的動態(tài)特征。
　　本文在前人研究基礎之上,針對P2P僵尸網(wǎng)絡通信過程所表現(xiàn)出的動態(tài)特征提出一種基于數(shù)據(jù)流特征向量識別的P2P僵尸網(wǎng)絡檢測方法?？紤]到網(wǎng)絡中絕大多數(shù)為正常數(shù)據(jù)流,其來源或者目的不可能成為僵尸網(wǎng)絡的攻擊節(jié)點,我們首先通過黑白灰名單的數(shù)據(jù)包過濾器對網(wǎng)絡數(shù)據(jù)流進行預處理,結(jié)合構(gòu)

5、建的端口規(guī)則庫和協(xié)議特征字段識別庫,對已有典型協(xié)議的數(shù)據(jù)流進行過濾,標識其中存在可疑流量的數(shù)據(jù)節(jié)點。通過該預處理,我們降低了分析樣本的數(shù)量級,便于構(gòu)建僵尸網(wǎng)絡數(shù)據(jù)流特征向量。在此基礎之上,我們對網(wǎng)絡數(shù)據(jù)流按照源、目的分類,并分析其在橫向時間維度以及縱向數(shù)據(jù)流之間的數(shù)據(jù)包速率、數(shù)據(jù)包速率變化率、數(shù)據(jù)流字節(jié)速率、數(shù)據(jù)流字節(jié)速率變化率的特征,根據(jù)驗證實驗所獲得的各類數(shù)據(jù)流的特征閾值,對數(shù)據(jù)流進行二次分類,從而識別出具有僵尸網(wǎng)絡特征的一類節(jié)點,