基于行為相似性的P2P僵尸網絡檢測模型
2010-04-12 00:00:00李翔,胡華平,劉波,陳新
現代電子技術
2010年15期
摘 要:P2P僵尸網絡對Internet構成巨大的安全威脅。在基于主機的P2P流量檢測和惡意行為檢測的基礎上,提出一個P2P僵尸網絡的檢測模型。構建一個基于CHORD協議由監視節點組成的結構化P2P網絡,將同時具有P2P流量和惡意行為的主機信息上報監視節點。通過對P2P僵尸主機行為進行融合分析,具有相似性惡意行為的主機被認為處于一個P2P僵尸網絡中。
關鍵詞:P2P; 僵尸網絡; 網絡安全; CHORD協議
中圖分類號:TN919; TP309文獻標識碼:A
文章編號:1004-373X(2010)15-0132-04
P2P Botnet Detecting Model Based on Behavior Similarity
LI Xiang1, HU Hua-ping1,2, LIU Bo1, CHEN Xin1
(1. College of Computer, National University of Defense Technology, Changsha 410073, China; 2. Unit 61070 of PLA, Fuzhou 350003, China)
Abstract: P2P Botnet is a serious threat to Internet security. A P2P botnet detecting model is proposed based on P2P traffic detection and malicious behavior detection on the host. A structured P2P network which is composed of monitoring nodes based on Chord protocol is established, the information of the hosts which have malicious behavior and P2P traffic at the same time are reported to the monitoring nodes. The hosts which have similar maliciousact behavior belong to a P2P Botnet according to fusing and analyzing the hosts behavior of P2P Botnet.
Keywords: P2P; Botnet; network security; CHORD protocol
0 引 言
僵尸網絡(BOTNET)是當前網絡安全領域面臨的主要問題之一,它具有蠕蟲似的傳播特征,木馬似的后門特征,并往往采用變形、ROOTKIT等病毒技術,是惡意代碼技術的綜合。大量的DDOS攻擊,垃圾郵件發送都與僵尸網絡有關。攻擊者可以利用僵尸網絡構成一個攻擊平臺,利用這個平臺可以有效地發起各種各樣的攻擊行為,導致整個基礎信息網絡或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網絡欺詐等其他違法犯罪活動以牟取經濟利益[1]。
早期僵尸網絡的命令與控制通道(COMMAND CONTROL)建立在IRC協議上,攻擊者借助IRC服務器對整個僵尸網絡進行控制,雖然易于部署和實現,但是這種集中的命令與控制使得它們容易被發現和破壞。在這種背景下,能夠隱藏其命令與控制信道的基于P2P協議的僵尸網絡也出現了。P2P僵尸網絡中不存在集中的中央命令與控制服務器,所有的僵尸主機都可以充當服務器和客戶端兩種角色,這就避免了單點失效的問題。……
登錄APP查看全文
