僵尸网络是由多个被植入僵尸程序的主机构成,它往往被用以发起大规模的网络攻击,同时被植入僵尸程序的主机,其信息也面临被泄露的威胁。无论是网络运行安全还是用户数据安全,僵尸网络都是巨大的安全隐患!因此,有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。基于行为特征的检测技术能够比较精确的检测僵尸程序的活动,但是处理数据的能力有限;而基于流量特征的检测技术能够处理较大规模的数据量,但是存在较大的误报。基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点,有效地检测在较大背景流量中活动的僵尸程序。由于目前在僵尸程序代码的设计上存在结构化的特性,同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。分析了僵尸程序的流特征,根据实验结果,设计出了基于轻量级有效载荷协议匹配算法。然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。基于以上分析,设计并实现了一个原型系统,系统主要包含了三个模块:网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。为了检测网络中的僵尸活动,首先,网络流预处理模块对网络流量进行监控分析,通过白名单技术过滤掉正常网络流量;然后,使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包;最后,通过序列假设检验分析模块识别僵尸程序的活动。为了进行验证,在局域网环境部署了多台有僵尸程序活动的主机,然后利用原型系统对获取的网络流量进行分析处理,分析结果表明能够对局域网内的僵尸活动进行有效检测。
本文来源: https://www.lw50.cn/article/bac19d8e9c1a6a98668da0f9.html