基于SMTP協(xié)議分析的僵尸網(wǎng)絡(luò)檢測技術(shù)研究.pdf

1、僵尸網(wǎng)絡(luò)是攻擊者采用一種或多種傳播手段，使大量主機(jī)感染僵尸程序，在控制者和被感染主機(jī)之間形成的一個(gè)一對(duì)多的控制網(wǎng)絡(luò)。其可用來實(shí)施網(wǎng)絡(luò)信息竊取，分布式拒絕服務(wù)攻擊、點(diǎn)擊欺詐、網(wǎng)絡(luò)仿冒、發(fā)送垃圾電子郵件等目的。
　　 僵尸網(wǎng)絡(luò)的核心是命令與控制機(jī)制。這也是其與其它已知各類惡意代碼的關(guān)鍵區(qū)別?；诳刂萍夹g(shù)，攻擊者能夠協(xié)調(diào)成千上萬的計(jì)算機(jī)發(fā)動(dòng)大規(guī)模災(zāi)難性的攻擊。隨著控制技術(shù)的發(fā)展，僵尸網(wǎng)絡(luò)從以往基于IRC協(xié)議逐漸轉(zhuǎn)移到基于HTTP協(xié)議和

2、各種不同類型的P2P協(xié)議，隱蔽性和健壯性得到了很大程度的增強(qiáng)。在傳播技術(shù)上，僵尸網(wǎng)絡(luò)借鑒并融合了各類惡意代碼的傳播方式，包括使用通訊軟件和P2P文件共享軟件進(jìn)行傳播，并通過認(rèn)證和信道加密機(jī)制對(duì)僵尸程序進(jìn)行多態(tài)化和變形混淆，使得僵尸的傳播活動(dòng)更加廣泛和隱蔽。
　　 SPAM BOTNET(Sbotnet)是以發(fā)送垃圾郵件為主要功能的僵尸網(wǎng)絡(luò)。基于對(duì)國內(nèi)外研究現(xiàn)狀的分析和實(shí)驗(yàn)環(huán)境下對(duì)Sbotnet活動(dòng)的監(jiān)測，提出了一種新的檢測Sbo

3、t的方法，并實(shí)現(xiàn)了該方法的原型系統(tǒng)，同時(shí)在檢測的基礎(chǔ)上對(duì)Sbotnet的活動(dòng)規(guī)模進(jìn)行測量。
　　 通過對(duì)僵尸網(wǎng)絡(luò)的結(jié)構(gòu)，功能以及命令與控制機(jī)制的詳細(xì)分析，對(duì)基于不同命令與控制機(jī)制的僵尸網(wǎng)絡(luò)的特點(diǎn)進(jìn)行剖析，對(duì)目前僵尸網(wǎng)絡(luò)檢測技術(shù)以及各個(gè)技術(shù)的特點(diǎn)進(jìn)行分析的基礎(chǔ)上，認(rèn)為相對(duì)于一般的僵尸網(wǎng)絡(luò)，Sbotnet的網(wǎng)絡(luò)活動(dòng)一個(gè)最明顯的特征是使用SMTP協(xié)議發(fā)送大量的垃圾郵件。根據(jù)該特性，提出了基于SMTP協(xié)議分析的Sbotnet檢測技術(shù)。同