原创《僵尸网络与检测技术》:本文是一篇关于僵尸网络论文范文,可作为相关选题参考,和写作参考文献。
摘 要:通过综述僵尸网络的相关知识,提出基于行为与域关联的检测方法.对僵尸网络的行为流和域名查询流进行类聚,建立一种聚类联动的检测模型,以期突破基于特征的监测的局限性.本文分析了僵尸网络的相关知识和工作原理,重点分析基于Behior-domain模型的僵尸网络检测方法.
关键词:僵尸网络;域名特征;检测
中图分类号:TP393 文献标识码:A
Abstract:Review of relevant knowledge botnet,we proposed detection method based on the behior associated with the domain.Cluster the flow behior of botnets and domain query stream,build a linkage clustering model to detect in order to break through the limitations of feature-based monitoring.This paper analyzes the related knowledge and working principle of botnets,key analyzes the botnet detection method focuses on Behior-domain Model.
Keywords:botnet;domain feature;detection
1 引言(Introduction)
僵尸网络是在Worm、Trojan Horse、Backdoor tool等一般恶意代码形态的基础上发展、结合进而产生的一种攻击方式,一般指集中受攻击者控制、用来发起大规模的网络攻击的一群计算机[1].
僵尸程序未必像蠕虫病毒一定可以扩散,它与蠕虫的显著区别在于:僵尸程序一定是被控制.有别于一般的特洛伊木马(Trojan Horse),僵尸程序能够发起主动性对外连接,可以预置指令,通过各种途径进行扩散,被感染的主机均受控制[2].与僵尸程序的不同之处在于后者的数据一般只流向,并不控制被植入的计算机.
2 僵尸网络的工作原理(The working principle of
botnet)
2.1 僵尸网络的功能结构
可以将僵尸网络的功能结构分为两个模块.首先是主要功能模块,它由两大模块组成:传播模块,用于实现网络传播;命令与控制模块,定义僵尸网络特性.其次是辅助功能模块,作为对僵尸程序主要功能模块的补充,增强僵尸程序的攻击性和存活率,该模块由信息窃取、僵尸主机控制等功能组成.
(1)命令与控制模块
作为僵尸程序的重中之重,这个模块能够实现与僵尸网络控制器的互动并且执行的控制命令.另外,命令与控制模块还能够将执行结果返回僵尸网络控制器.
(2)传播模块
该模块负责将僵尸程序扩散到其他主机,使它们也受控制,实现僵尸网络的扩张,其传播途径包括:
a.及时通信软件
b.文件系统共享
c.远程攻击软件漏洞
d.扫描恶意代码开的后门
e.发送邮件病毒
f.扫描NetBIOS弱
(3)信息窃取模块
信息窃取模块用于获取主机信息和其他有敏感的信息,例如进程列表、网络带宽和速度、*和对应的、注册码等.
(4)攻击模块
攻击模块是用于通过受感染主机(俗称“肉鸡”)完成各类攻击的模块(例如:发送邮件模块、架设服务模块、点击欺诈模块、分布式拒绝服务攻击).
(5)更新和下载模块
为更好的控制僵尸主机,僵尸程序也需要下载与更新.该模块使能随时根据不同目标,在受感染主机上增加或更新各类恶意代码以及僵尸程序.
(6)躲避检测与对抗分析模块
对僵尸程序的检测和分析一直是网络安全的一个热点,因此该模块是为了绕过检测与和与各类病毒分析相抗衡,以便提高僵尸网络的存活率,其功能包括:
a.通过Rootkit方式进行实体隐藏
b.清除反病毒的进程
c.检查调试器的存在
d.对僵尸程序加密或变形
e.识别虚拟机环境
f.对升级反病毒软件的活动进行拦截
2.2 僵尸网络的工作机制
僵尸网络是把在网络上的感染了僵尸程序的计算机通过某个应用层协议连成网络,通过控制这个网络,能够进行攻击、窃取等行动.这个僵尸网络,由僵尸控制者(Botmaster)通过僵尸网络的命令与控制(C&C)信道来控制,能够以向网络上的所有或部分僵尸发出指令,从而实现分布式拒绝服务攻击、信息窃取等,甚至可以命令僵尸主机自动更新.僵尸网络的工作流程如图2所示.
3 基于域名特征的僵尸网络检测(Botnet detection feature-based domain)
过去,一般使用基于特征的检测方法,这种方法实时性强且比较准确,但是这种方法仅仅着眼于僵尸网络表面特性,对僵尸网络的本质把握得不是很理想,而且需要用已经验证的结果进行匹配,所以只能检测已经被发现过的僵尸网络.一旦僵尸网络使用的协议规则发生改变,进而生成新的结构,则会使这些检测方法则会失去作用.
目前僵尸网络大部分都采用IRC协议、P2P协议,或者HTTP协议构成,但僵尸程序最本质的行为是经由域名系统查询相应的C&C僵尸网络地址,并连接进行通信,这与采取何种协议结构关联性不高.因此,如何有效检测僵尸网络一直是研究热点.
僵尸网络论文参考资料:
结论:僵尸网络与检测技术为关于僵尸网络方面的论文题目、论文提纲、僵尸网络论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
