返回
僵尸网络的检测与对策.doc

僵尸网络的检测与对策.doc

ID:57722706

大小:110.50 KB

页数:6页

时间:2020-09-02

僵尸网络的检测与对策.doc_第1页
僵尸网络的检测与对策.doc_第2页
僵尸网络的检测与对策.doc_第3页
僵尸网络的检测与对策.doc_第4页
僵尸网络的检测与对策.doc_第5页
资源描述:

《僵尸网络的检测与对策.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、僵尸网络的检测与对策院系:软件学院专业:网络工程0901郭鹏飞学号:1.关于僵尸网络僵尸网络(botnet)是指通过各种传播手段,在大量计算机中植入特定的恶意程序,将大量主机感染僵尸程序病毒,使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。起名为僵尸,很形象地揭示了这类危害的特点:众多的计算机在不知不觉中如同僵尸一般驱赶和指挥着,成为被人利用的一种工具。u僵尸网络中涉及到的概念:Øbot程序:rebot的缩写,指实现恶意控制功能的程序。Ø僵尸计算机:指被植入

2、bot的计算机。Ø控制服务器(ControlServer):指控制和通信的中心服务器,在基于IRC协议进行控制的僵尸网络中,就是指提供IRC聊天服务的服务器。ØDDoS攻击:利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。u僵尸网络特点:首先,是一个可控制的网络,这个网络并不是具有拓扑结构的网络,它具有一定的分布性,新的计算机会随着bot程序的传播,不断被加入到这个网络中。其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行僵尸网络的传播。最

3、后,僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行DDos攻击,同时发送大量的垃圾邮件等,这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。uBot程序的传播途径:Ø主动攻击漏洞。Ø邮件病毒。Ø即时通信软件。Ø恶意网站脚本。Ø特洛依木马。僵尸网络的工作过程包括传播、加入和控制三个阶段。在传播阶段之后,将进入加入阶段。在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到僵尸网络中去。在IRC协议的僵尸网络中,感染bot程序的主机会登录到指定的服务器和频道中,登录

4、后,该主机会在在频道中等待控制者发来的指令。在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。僵尸网络的控制方式包括:IRC僵尸网络、AOL僵尸网络、P2P僵尸网络等。而bot程序可分为以下几类:Agobot/Phatbot/Forbot/XtremBot、SDBot/RBot/UrBot/SpyBot、GT-Bots等。2.僵尸网络的检测僵尸网络的检测从检测原理上来说,大致可以分为三类方法:Ø行为特征统计分析Øbot行为仿真以监控Ø流量数据特征

5、匹配行为特征统计分析:僵尸网络是一种恶意行为,拥有僵尸网络的人会有意隐藏服务器的基本信息,如连入的用户数、可见的用户数、服务器内所建立的频道等。由于加入到僵尸网络的服务器中的nickname是由bot程序生成,所以这些bot的nickname 应符合一定的生成算法,符合某种规律,这些规律可以从得到的bot源码中发现并总结出来。这些用户的 nickname的规律性和正常的IRC Server中的nickname的随意性不同。由于僵尸网络中的感染bot程序的主机是被动控制的,所以在没有僵尸网络控制者指令的条件下是不会有所行为的。僵尸网络在传

6、播和准备发起攻击之前,都会有一些异常的行为,如发送大量的DNS查询、发送大量的连接请求等等。综上所述,可供统计的一些异常行为包括:IRC服务器隐藏信息、长时间发呆、昵称的规律性、扫描、频繁发送大量数据包、大量陌生的DNS查询、发送攻击流量、发送垃圾邮件、同时打开大量端口、传输层流特征、包大小、特定的端口号。bot行为仿真及监控:利用主动式和被动式蜜罐系统获取Bot程序样本,监控Bot主机的传播方式和通讯方式,从而得到僵尸网络的行为特征,包括感染行为:驻留系统的模式、安装文件、修改文件、修改注册表、对系统进程和函数的调用、键盘操作记录、对

7、系统服务和网络服务的控制。传播行为包括:扫描、漏洞的利用。通信行为包括:IP地址、端口号、协议特征、命令。对代码特征的分析包括:加壳与脱壳、Shellcode、特征指令序列、文件片段。对日志的关联分析:系统日志、IPS攻击日志、流量信息记录。常用的分析方法包括:沙箱法(一种按照安全策略限制程序行为的执行环境)和蜜网在线信息收集法(常见的系统监控程序包括SEBEK、入侵检测系统)流量数据特征匹配:  采用流量数据特征匹配方法,必须充分了解僵尸程序,提取指纹信息作为IDS检测的特征。传统的IDS系统都是关注入流量,并查找点对点的入侵企图的恶

8、意特征。NIDS系统具有检测初始的方向入侵企图。但是从这些海量的入侵告警记录中找到被感染的主机是非常困难。为了解决这个问题,入侵告警关联可以使分析人员获得对告警事件流的更概括的解释。这里着重介绍下BotHu

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。