基于主動方式的僵尸網(wǎng)絡檢測系統(tǒng)設計與實現(xiàn).pdf

1、僵尸網(wǎng)絡是指控制者通過僵尸程序控制大量被感染的主機而形成的一種攻擊網(wǎng)絡，控制者可以利用僵尸網(wǎng)絡進行DDOS攻擊、發(fā)送垃圾郵件等多種形式的惡意活動，僵尸網(wǎng)絡給互聯(lián)網(wǎng)安全帶來了嚴重的威脅。
　　目前僵尸網(wǎng)絡檢測已經(jīng)成為了網(wǎng)絡安全領域內(nèi)的熱點研究問題，僵尸網(wǎng)絡檢測技術已經(jīng)得到了廣泛重視。蜜罐技術是網(wǎng)絡安全檢測與分析的重要途徑，但是蜜罐被動地等待惡意代碼的入侵，不能捕獲通過網(wǎng)絡下載和瀏覽器漏洞傳播的惡意代碼，而且消耗資源大、檢測周期長。惡

2、意代碼捕獲技術能夠捕獲大量的惡意代碼，但缺少從惡意代碼中提取僵尸程序的有效方法。僵尸網(wǎng)絡通信信息的內(nèi)在特性提取是僵尸網(wǎng)絡檢測的關鍵，目前工作缺乏對僵尸程序的主動研究，同時也缺少對大規(guī)模的僵尸網(wǎng)絡內(nèi)在特性的分析和研究。
　　針對目前僵尸網(wǎng)絡檢測存在的問題與不足，本文對惡意代碼樣本獲取、僵尸程序的提取與分析和僵尸網(wǎng)絡通信特征進行了深入的分析和研究，在此基礎上設計并實現(xiàn)了一種基于主動方式的僵尸網(wǎng)絡檢測系統(tǒng)。本文的主要工作有:(1)基于主

3、動技術的惡意代碼捕獲方法結合了網(wǎng)絡爬蟲和客戶端蜜罐思想，主動地獲取惡意代碼，并且能捕獲通過網(wǎng)絡下載和瀏覽器漏洞傳播的惡意代碼?；赩irusShare下載的惡意代碼獲取方法能夠在短時間內(nèi)高效地獲得大量惡意代碼，這兩種方法為僵尸網(wǎng)絡研究提供了重要數(shù)據(jù)來源。(2)提出了基于反病毒引擎的自動化提取僵尸程序的方法，該方法能夠有效的從惡意代碼中提取僵尸程序;基于虛擬機的僵尸程序分析方法能夠獲得大量的僵尸程序通信數(shù)據(jù)。(3)僵尸網(wǎng)絡通信特征研究的主