论文摘要
僵尸网络是攻击者出于恶意目的传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。P2P僵尸网络是利用P2P网络传播或控制僵尸程序的网络,它摆脱了中心服务器的限制,采用P2P技术构建新的命令与控制信道,大大增加了生存性、隐蔽性和健壮性,使检测和防范变得更加困难,对因特网的安全造成了严重威胁,但目前国内外对其检测的研究相对滞后,尚无通用化检测方法。对P2P僵尸网络的功能结构、命令与控制机制和体系结构做了剖析,利用蜜网采集僵尸程序,并对其做了分析,建立特征库。在蠕虫传播模型的理论基础上建立了P2P僵尸程序传播模型。基于静态特征、流量监测、蜜网分析和主动探测四种检测技术,对僵尸网络跟踪做了改进,使之可以应用于P2P僵尸网络的检测,并设计了可行的试验方案。设计了一个基于主动测量的P2P僵尸网络检测试验系统,完成了主动探测蠕虫的算法设计和编码工作,对试验系统的详细设计框架做了描述,对试验结果做了分析。系统以DHT架构的P2P网络Overnet为试验环境,以P2P僵尸程序Peacomm为实例作出检测。在蜜网中部署可控P2P僵尸程序,对进出蜜网的疑似流量进行捕获,得到P2P僵尸程序命令与控制流的特征。主动探测是核心模块,使用爬虫主动加入Overnet网络,获取整个网络的拓扑结构和所有节点的路由信息。若蜜网中的僵尸程序与外界僵尸网络发生通信,通过截获的疑似流量,再结合网络拓扑结构,可以有效检测出P2P僵尸网络,并对其作出准确的物理定位。