[精品]淺析僵尸網(wǎng)絡(luò).doc

《[精品]淺析僵尸網(wǎng)絡(luò).doc》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫。

1、淺析僵尸網(wǎng)絡(luò)研究背景僵丿「網(wǎng)絡(luò)出現(xiàn)至今使全世界數(shù)以百萬的電腦受到感染，從而造成不同程度的各種損害?，F(xiàn)在對(duì)偎丿「網(wǎng)絡(luò)研究主要包括三個(gè)領(lǐng)域：了解僵「網(wǎng)絡(luò)、偵查和跟蹤僵丿,網(wǎng)絡(luò)、防護(hù)偎丿「網(wǎng)絡(luò)。盡管僵丿「網(wǎng)絡(luò)影響范圍越來越人，但是對(duì)它展開的研究、應(yīng)對(duì)它的方法還處于初級(jí)階段?；窘榻B僵尸網(wǎng)絡(luò)程序是一種軟件機(jī)器人或bot程序的集合，可以在一定條件下自主地運(yùn)行。這種程序可以由一?些攻擊者遠(yuǎn)程控制，在一些偎"電腦上運(yùn)行。-?個(gè)典型的偎「程序從創(chuàng)建到保持包含四個(gè)階段：初步感染（電腦主機(jī)通過不同途徑如主機(jī)漏洞間隙、網(wǎng)頁鏈接、電子郵件鏈接、usb方式被感染）、程序植入（被感染的

2、主機(jī)下載和運(yùn)行bot代碼，下載形式有ftp、http、p2p等）、惡意活動(dòng)（攻擊者通過遠(yuǎn)程遙控程序進(jìn)行傳播垃圾郵件、DDOS攻擊等）、bot程序完善和升級(jí)。對(duì)僵尸網(wǎng)絡(luò)的研究現(xiàn)在對(duì)僵廠網(wǎng)絡(luò)的研究主要集屮在bot程序分析、寬領(lǐng)域研究、偎丿「網(wǎng)絡(luò)模擬和預(yù)測(cè)。1、Bot研究主要是對(duì)一些特定的bot案例進(jìn)行綜合分析和研究，主要研究其網(wǎng)絡(luò)行為。Bot研究針對(duì)不同種類的bot有不同的研究方法：（1）IRCboto主要分析Agobot,、SDBot,、SpyBot、GTbot四種類型的基于IRC的bot程序代碼?，F(xiàn)在對(duì)大的問題是大部分Bot程序不提供現(xiàn)成的代碼供人研究。（2

3、）HTTPboto主要研究基于HTTP的垃圾郵件的代碼。（3）P2PBoto主要應(yīng)用蜜網(wǎng)技術(shù)和黑盒法研究木馬程序。（4）快速流網(wǎng)絡(luò)。主要對(duì)僵廠程序的控制命令、控制網(wǎng)絡(luò)進(jìn)行研究。2、寬領(lǐng)域研究寬領(lǐng)域研究基于一種蜜網(wǎng)技術(shù)，對(duì)整個(gè)因特網(wǎng)上的僵"網(wǎng)絡(luò)程序進(jìn)行橫向?qū)Ρ妊芯?，研究主要色含三個(gè)部分：惡意程序收集、灰盒測(cè)試和僵丿'程序追溯。在程序收集階段，建立一個(gè)平臺(tái)以來收集惡意軟件，為了完善這個(gè)平臺(tái)，通常也是利用蜜網(wǎng)技術(shù)在windowsxp這個(gè)特定環(huán)境下運(yùn)行這些軟件。論文屮指出的發(fā)現(xiàn)成果有：偎丿

4、程序在因特網(wǎng)上具有高擴(kuò)散性、大部分僵廠網(wǎng)絡(luò)行為都被攻擊者很好地操控、90%的

5、bof在在線聊天系統(tǒng)屮停留不超過50分鐘、超過80的程序可以被反病毒軟件檢測(cè)到、小的僵「網(wǎng)絡(luò)通常受到指令控制而比較大的具有DDoS功能。一些論文現(xiàn)在該領(lǐng)域的研究集屮在發(fā)現(xiàn)僵丿」網(wǎng)絡(luò)的特性、估計(jì)其大小和足跡等?，F(xiàn)階段估計(jì)僵"網(wǎng)絡(luò)大小依然還存在問題，如果加入一些因素如暫吋性的bot隱藏和bot克隆，對(duì)僵尸網(wǎng)絡(luò)大小的估計(jì)變的更為復(fù)雜。3、僵尸網(wǎng)絡(luò)模擬和預(yù)測(cè)這類研究主要集屮在僵丿'網(wǎng)絡(luò)模擬。主要挑戰(zhàn)有：在bot程序移走的情路況下如何構(gòu)建一個(gè)健壯的僵廠網(wǎng)絡(luò)、在bot被檢測(cè)到的情況下如何避免網(wǎng)絡(luò)拓?fù)浔┞?、僵丿「主機(jī)如何更容易得到偎丿「機(jī)的信息、如何避免防護(hù)者通過通信模式

6、檢測(cè)到boto偵查、追溯僵尸網(wǎng)絡(luò)偵查、追溯僵廠網(wǎng)絡(luò)主要方法有蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量檢測(cè)兩種方法。蜜網(wǎng)技術(shù)是從bot程序?qū)绨l(fā)的，可以深入跟蹤和分析Botnet的性質(zhì)和特征。主要的研究過程是，首先通過密罐等手段盡可能多地獲得各種流傳在網(wǎng)上的bot程序樣本；為獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼屮的登錄Botnet所需要的屬性，如Botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。網(wǎng)絡(luò)流量檢測(cè)通過運(yùn)輸層的信息流狀況研究僵

7、廠主機(jī)，核心思想基于僵廠網(wǎng)絡(luò)的攻擊和控制鏈路，步驟有：基于攻擊活動(dòng)識(shí)別bot、依據(jù)bot傳播路徑找到候選控制者的鏈路、分析選控制者的鏈路鎖定僵尸主機(jī)。僵尸網(wǎng)絡(luò)防護(hù)對(duì)基于垃圾郵件的偎「網(wǎng)絡(luò)防護(hù)的主要思想在于：-?個(gè)發(fā)送大量郵件的主機(jī)可能是一個(gè)垃圾郵件bot程序發(fā)布主機(jī)，任何這類主機(jī)都是潛在的垃圾郵件發(fā)布主機(jī)，如果源頭有動(dòng)態(tài)分配的IP,且不在接收者為前和之前的地址簿屮，很有可能它就是垃圾郵件發(fā)布主機(jī)?？偨Y(jié)盡管偎"網(wǎng)絡(luò)蔓延發(fā)展，但對(duì)它的研究還處于初級(jí)階段，對(duì)它的研究首先要通過代碼分析、流量分析、寬領(lǐng)域測(cè)量研究其行為和特征。僵"網(wǎng)絡(luò)模擬也是-?種預(yù)測(cè)僵尸網(wǎng)絡(luò)發(fā)展的好

8、方法。