資源描述:
《僵尸網(wǎng)絡(luò)論文》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�。
1、僵尸網(wǎng)絡(luò)論文P2P僵尸網(wǎng)絡(luò)的檢測摘耍:點對點(P2P)分布式架構(gòu)的提出為惡意代碼提供了更具隱蔽性和彈性的命令分配機制�����,使得P2P個廠網(wǎng)絡(luò)成為互聯(lián)網(wǎng)上最嚴重的威脅之一���。研究這種個廠網(wǎng)絡(luò)的檢測技術(shù)非常具有現(xiàn)實意義�,由于它具有較強的個性化湼界,冃前還沒有通用的檢測方法��,現(xiàn)有的檢測方法主耍是通過分析其惡意行為及網(wǎng)絡(luò)通信流量��,析取其內(nèi)在活動規(guī)律和傳播機制等��。討論了P2P僵廠網(wǎng)絡(luò)的結(jié)構(gòu)和機制�,分析相關(guān)的兒種主要的檢測技術(shù)并對未來可能的研究重點作出了預(yù)測。關(guān)鍵字:僵尸網(wǎng)絡(luò)����;點對點��;檢測技術(shù)���;網(wǎng)絡(luò)安全Abstract:ThedistributedarchitectureofPeer-to-Peer(
2、P2P)hasprovidedmalwares(malicioussoftwares)thecommanddistributionmechanismwithincreasedresileneeandobfuscation.P2PBotnethasbecomeoneofthemostseriousthreatstoInternet.Atpresent,thereisnogeneraldetectionapproachbecauseofthestrongdifferencesbetweenindividuals,andmostresearchesfocusonanalyzingtheir
3���、maliciousbehaviorsonthehostandcommunicationSOastounderstandtherulesoftheiractivitiesandtransmissionmochanism.ThispaperdiscussedthestructureandmochanismofP2PBotnet,analyzedthemajorseveralrelateddetectingresearchmethods,andpredictedthefuturedetectingtechnologyanddevelopment-Keywords:Botnet���;Peer—t
4、o—Peer(P2P)����;detectingtechnology;networksecurity1引言僵尸網(wǎng)絡(luò)(Botnet)是指采用一?種或多種傳播手段����,將人量主機感染僵尸(Bot)程序�����,從而在控制者和被感染主機Z間所形成的一個可一對多控制的網(wǎng)絡(luò)�。僵尸網(wǎng)絡(luò)的實質(zhì)就是在惡意代碼控制下的主機構(gòu)成的網(wǎng)絡(luò)o近年來�,僵尸網(wǎng)絡(luò)已經(jīng)成為了當前進行Internet攻擊的主耍平臺���,攻擊者可以通過該平臺發(fā)起垃圾郵件��、分布式拒絕服務(wù)攻擊(DDoS)�、身份竊取��、釣魚等各種網(wǎng)絡(luò)攻擊��,其隱蔽性����、破壞性和威脅程度都遠大于單一的網(wǎng)絡(luò)攻擊模式。H前���,黑客們從傳統(tǒng)的集中型的命令與控制僵廠網(wǎng)絡(luò)遷移到更加對等的以分布式結(jié)構(gòu)
5��、為基礎(chǔ)的P2P體系架構(gòu)(如Storm僵尸網(wǎng)絡(luò))�����。安全廠商PaloAltoNetworks-2最近發(fā)布的2009年度春季應(yīng)用軟件使用和風險報告分析了超過60個大型企業(yè)的企業(yè)級應(yīng)用軟件的使用和流量后指岀����,P2P結(jié)構(gòu)所占比例為92%。這種趨勢對于偎尸網(wǎng)絡(luò)的檢測來說是很不幸的�����,因為對于集中型的結(jié)構(gòu)����,至少還有一個人的FI標可以重點監(jiān)測;而P2P的方式意味著檢測冃標變得更加細化而很難被逐--消滅����。因此,需要有新的檢測方法來有效檢測P2P僵尸網(wǎng)絡(luò)以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境�����。1僵廠網(wǎng)絡(luò)概述1.1僵尸網(wǎng)絡(luò)及其結(jié)構(gòu)僵尸網(wǎng)絡(luò)(Botnet)的組成包括:倜尸主控者(Botmaster).僵尸主機(Bot)
6��、����、命令與控制(CommandandControl,C&C)網(wǎng)絡(luò)。僵尸主控者是僵尸網(wǎng)絡(luò)的控制者��;僵尸主機是被攻擊者控制的主機�;個尸主機從命令與控制網(wǎng)絡(luò)獲得命令,協(xié)調(diào)攻擊和欺騙活動���。命令與控制網(wǎng)絡(luò)一般有一個或多個命令與控制(C&C)服務(wù)器����,僵尸主控者通過控制這些服務(wù)器來管理和控制僵廠網(wǎng)絡(luò)��,僵廠網(wǎng)絡(luò)的結(jié)構(gòu)圖1所示��。圖1僵尸網(wǎng)絡(luò)的結(jié)構(gòu)僞尸網(wǎng)絡(luò)根據(jù)其倜尸網(wǎng)絡(luò)規(guī)模的大小���、被檢測和破壞的難易程度以及指令(命令和控制)的控制方式大體口J以分為3種結(jié)構(gòu)�����。1)屮心化的僵尸網(wǎng)絡(luò):這種架構(gòu)的僵尸網(wǎng)絡(luò)依賴于一個屮心服務(wù)器�,攻擊考和僵尸主機通過該中心服務(wù)器進行通信�����,配置簡單���,但很容易被檢測和破壞��。例如IRC僵尸
7�����、網(wǎng)絡(luò)��。2)分布式的僵廠網(wǎng)絡(luò):一個P2P系統(tǒng)是等同的���、自治的實體構(gòu)成的一個自組織的系統(tǒng)�����,在一個聯(lián)網(wǎng)的環(huán)境小共享分布式的資源�����,避免了小心化的服務(wù)���。P2P僵尸網(wǎng)絡(luò)就是將P2P協(xié)議嵌入到特定僵廠程序中并使用該協(xié)議來構(gòu)建其命令與控制信道的僵尸網(wǎng)絡(luò)?;贗RC和HTTP的僵廠網(wǎng)絡(luò)都需要僵廠主機與中心服務(wù)器通信,但是由于中心服務(wù)器方式存在單-點失效的威脅���,基于該方式的僵尸網(wǎng)絡(luò)比較容易被檢測到����,所以�����,P2P協(xié)議成為一?種好的選擇����,P2P網(wǎng)絡(luò)中的每個節(jié)點既可以是客戶端也可以
