基于分布式的僵尸网络主动探测方法研究

发布时间：2018-07-15 22:02

【摘要】：僵尸网络是当前互联网上存在的一类严重安全威胁。传统的被动监控方法需要经过证据积累、检测和反应的过程,只能在实际恶意活动发生之后发现僵尸网络的存在。提出了基于僵尸网络控制端通信协议指纹的分布式主动探测方法,通过逆向分析僵尸网络的控制端和被控端样本,提取僵尸网络通信协议,并从控制端回复信息中抽取通信协议交互指纹,最后基于通信协议指纹对网络上的主机进行主动探测。基于该方法,设计并实现了ActiveSpear主动探测系统,该系统采用分布式架构,扫描所使用的IP动态变化,支持对多种通信协议的僵尸网络控制端的并行扫描。在实验环境中对系统的功能性验证证明了方法的有效性,实际环境中对系统扫描效率的评估说明系统能够在可接受的时间内完成对网段的大规模扫描。
[Abstract]:Botnet is a serious security threat on the Internet. The traditional passive monitoring method needs the process of accumulation of evidence, detection and reaction, and can only discover the existence of botnet after the actual malicious activity. A distributed active detection method based on botnet control end communication protocol fingerprint is proposed. The botnet communication protocol is extracted by reverse analysis of botnet control end and controlled end samples. The interactive fingerprint of the communication protocol is extracted from the response information of the control end. Finally, the host computer on the network is detected actively based on the fingerprint of the communication protocol. Based on this method, an active detection system for active Spear is designed and implemented. The system uses a distributed architecture to scan the dynamic changes of IP used, and supports parallel scanning of botnet control terminal of various communication protocols. The effectiveness of the method is proved by the functional verification of the system in the experimental environment. The evaluation of the system scanning efficiency in the actual environment shows that the system can complete the large-scale scanning of the network segment in an acceptable time.
【作者单位】： 国家计算机网络应急技术处理协调中心;北京大学计算机科学技术研究所;
【基金】：国家242信息安全计划基金资助项目(2011A40) 国家自然科学基金资助项目(61003127)~~
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 谢开斌;蔡皖东;蔡俊朝;;基于决策树的僵尸流量检测方法研究[J];信息安全与通信保密;2008年03期

2 沈利香;;僵尸网络传播模式分析和防治对策[J];常州工学院学报;2008年06期

3 徐原;;恶意代码数量激增 警惕其传播扩散[J];信息网络安全;2009年03期

4 蔡彬彬;赵巍;;国际互联网安全的重要威胁之一:僵尸网络[J];科技信息;2010年03期

5 蔡敏;;僵尸网络流的识别[J];信息网络安全;2010年04期

6 王明华;;网络安全波澜不惊[J];信息网络安全;2010年04期

7 于晓聪;董晓梅;于戈;秦玉海;;僵尸网络在线检测技术研究[J];武汉大学学报(信息科学版);2010年05期

8 朱帆;;僵尸网络检测和防范研究[J];现代商贸工业;2010年12期

9 张洁;;基于P2P的僵尸网络的检测技术[J];商场现代化;2011年03期

10 李基初;唐俊;;基于多智能体社会的僵尸网络协同防御模型[J];微电子学与计算机;2011年03期

相关会议论文 前9条

1 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年

2 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年

3 刘威;;DNS放大攻击的研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

4 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

5 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

6 金双民;段海新;郑辉;;IRC僵尸网络控制端识别系统的设计与实现[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

7 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

8 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 季大臣;刘向东;;Botnet网络组织机制研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

相关博士学位论文 前6条

1 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年

2 胡俊;在线社会网络上SPAM行为检测方法研究[D];华中科技大学;2011年

3 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年

4 余俊丰;Web程序与数据安全研究[D];华中科技大学;2011年

5 高见;基于P2P的僵尸网络及关键技术研究[D];北京邮电大学;2011年

6 宋礼鹏;网络病毒动态交互模型及防御研究[D];中北大学;2012年

相关硕士学位论文 前10条

1 刘坛首;僵尸网络攻击模拟平台的研究与实现[D];西南交通大学;2014年

2 陈曦;微博社交僵尸的设计与实现[D];吉林大学;2014年

3 陈兆冲;僵尸工具类恶意代码的检测研究[D];电子科技大学;2009年

4 吴玲;蠕虫型僵尸工具的传播模型及检测技术研究[D];电子科技大学;2008年

5 满萍;受控僵尸网络攻击实验平台的研究与实现[D];北京邮电大学;2009年

6 李金良;僵尸网络及其防御研究[D];曲阜师范大学;2007年

7 姜一川;低交互恶意软件捕获技术的研究[D];复旦大学;2008年

8 刘彬斌;一种僵尸网络的拓扑分析及反制算法研究[D];电子科技大学;2009年

9 吴海飞;基于异常检测方法检测僵尸网络的研究[D];长春工业大学;2012年

10 刘资茂;Fast-flux僵尸检测方法研究与系统实现[D];华中科技大学;2013年

，

本文编号：2125514