僵尸網(wǎng)絡(luò)協(xié)同檢測與識別關(guān)鍵技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，一些惡意軟件在網(wǎng)絡(luò)上泛濫肆虐，出現(xiàn)了各種網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)欺騙行為，其中僵尸程序是目前最新型惡意軟件之一。攻擊者利用被植入僵尸程序的受控主機(jī)構(gòu)建僵尸網(wǎng)絡(luò)，并借助這個平臺在互聯(lián)網(wǎng)上執(zhí)行各種惡意行為，如發(fā)動分布式拒絕服務(wù)(DistributedDenialofService，DDoS)攻擊、發(fā)送垃圾郵件（Spam）、網(wǎng)絡(luò)釣魚(Phishing)以及信息竊?。↖nformationTheft）等。攻擊者通過建立命令和控制機(jī)制

2、實(shí)現(xiàn)與受控主機(jī)通信，并統(tǒng)一管理僵尸網(wǎng)絡(luò)成員。一個典型僵尸網(wǎng)絡(luò)可具有數(shù)萬至數(shù)十萬甚至數(shù)百萬臺受控主機(jī)，產(chǎn)生巨大攻擊力，消耗大量網(wǎng)絡(luò)帶寬和處理能力。僵尸網(wǎng)絡(luò)被認(rèn)為是互聯(lián)網(wǎng)安全的最大威脅。因此，探索如何檢測識別僵尸網(wǎng)絡(luò)，有效追蹤、防御、控制、減輕其危害顯得尤為重要。針對這些問題，本文著重研究以下幾個方面內(nèi)容:
　　首先，針對使用互聯(lián)網(wǎng)中繼聊天(InternetRelayChat,IRC)協(xié)議和HTTP協(xié)議的集中式僵尸網(wǎng)絡(luò)，提出基于通信流

3、量相似性和域名查詢特性的僵尸網(wǎng)絡(luò)檢測方法。在分析集中式僵尸網(wǎng)絡(luò)通信行為特征和僵尸網(wǎng)絡(luò)受控主機(jī)域名查詢數(shù)據(jù)流群組特性的基礎(chǔ)上引入云模型概念。定義僵尸網(wǎng)絡(luò)通信流量相異度云模型，挖掘具有僵尸網(wǎng)絡(luò)通信行為特性的主機(jī)組，分析該組主機(jī)訪問DNS服務(wù)器的流量。通過域名訪問度和DNS查詢流量聚類分析，最終確定僵尸網(wǎng)絡(luò)的受控主機(jī)。利用典型僵尸程序樣本和真實(shí)背景流量評測本文方法的檢測能力，并與相關(guān)工作進(jìn)行比較分析，以此驗(yàn)證本文方法的先進(jìn)性。
　　其次

4、，針對僵尸網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，并且不同受控主機(jī)群之間可能存在潛在隱藏關(guān)系等問題，提出僵尸網(wǎng)絡(luò)相似度的度量方法。分析僵尸網(wǎng)絡(luò)內(nèi)部通訊的數(shù)據(jù)流數(shù)量、流中數(shù)據(jù)包數(shù)量、主機(jī)通訊量和數(shù)據(jù)包負(fù)載等特征，定義特征相似度統(tǒng)計函數(shù)。在此基礎(chǔ)上，利用改進(jìn)D-S證據(jù)理論融合各特征相似度，建立僵尸網(wǎng)絡(luò)關(guān)系分析模型，以此綜合評測兩個僵尸網(wǎng)絡(luò)的相似度。實(shí)驗(yàn)結(jié)果表明本文的方法是有效的，對于采用加密通訊僵尸網(wǎng)絡(luò)的評測，仍表現(xiàn)出良好效果。并且，應(yīng)用該方法對基礎(chǔ)網(wǎng)絡(luò)安全監(jiān)測

5、平臺捕獲的實(shí)際僵尸網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，取得了理想效果。
　　再次，IRC僵尸網(wǎng)絡(luò)和HTTP僵尸網(wǎng)絡(luò)的命令與控制服務(wù)器經(jīng)常發(fā)生遷移以躲避檢測，針對此類問題，提出一種僵尸網(wǎng)絡(luò)遷移識別方法?；诮┦W(wǎng)絡(luò)遷移過程中表現(xiàn)出的多種特征，采用C-F模型進(jìn)行特征融合，綜合分析判斷給定的兩批僵尸主機(jī)是否具有遷移關(guān)系。利用典型僵尸樣本進(jìn)行試驗(yàn)驗(yàn)證，結(jié)果顯示本文方法能夠有效識別僵尸網(wǎng)絡(luò)的遷移行為。并與單純采用IP地址重合度的方法進(jìn)行對比，結(jié)果表明在僵尸網(wǎng)

6、絡(luò)成員數(shù)量動態(tài)變化的情況下，本文方法仍然表現(xiàn)出很好識別效果。
　　最后，為了識別發(fā)現(xiàn)開放互聯(lián)網(wǎng)環(huán)境中不同地理位置、不同時間段發(fā)生的安全事件之間可能存在的潛在隱藏關(guān)系，提出基于通用圖靈機(jī)思想的分布式網(wǎng)絡(luò)安全事件檢測識別協(xié)同聯(lián)動模型(CooperativeWorkModel，CWM)，并基于此模型設(shè)計實(shí)現(xiàn)面向基礎(chǔ)網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)安全事件檢測識別協(xié)同聯(lián)動系統(tǒng)(CooperativeWorkSystem，CWS)。分析了CWM的多層體系結(jié)

7、構(gòu)，并將其與基于安全域的安全操作中心(SecurityOperatingSystem，SOC)模型進(jìn)行對比分析。通過應(yīng)用實(shí)例驗(yàn)證，CWS能夠協(xié)調(diào)骨干網(wǎng)上不同類型網(wǎng)絡(luò)設(shè)備共同工作，追蹤、檢測、分析、識別僵尸網(wǎng)絡(luò)。典型數(shù)據(jù)分析結(jié)果表明，CWS不僅能夠分析識別不同時間和不同空間安全事件之間關(guān)系，還能夠有效支持發(fā)現(xiàn)各安全事件關(guān)聯(lián)引起的更深層次安全隱患。
　　本文主要研究了僵尸網(wǎng)絡(luò)檢測與識別關(guān)鍵技術(shù)，其中包括僵尸網(wǎng)絡(luò)相似度度量和僵尸網(wǎng)絡(luò)遷移