綜合特征行為的P2P僵尸網絡的檢測算法

樊郁徽，徐寧

（淮南師范學院，安徽 淮南 232038）

綜合特征行為的P2P僵尸網絡的檢測算法

樊郁徽，徐寧

（淮南師范學院，安徽 淮南 232038）

通過對基于P2P協議的僵尸主機的運行機制的研究，將其生存周期劃分為三個特征階段，綜合每個階段P2P僵尸主機所表現出的不同特征行為，提出綜合特征行為的P2P僵尸網絡的檢測算法。通過對捕獲的網絡出口流量采取離線檢測與在線檢測相結合的方法，逐層分步對P2P僵尸主機進行篩檢并定位，能夠有效降低誤報率，并將處于攻擊階段的P2P僵尸主機進行及時隔離，降低P2P僵尸網絡的危害。

P2P；僵尸網絡；特征行為

1 引言

中國上網用戶數已經達到4.5億，但中國國家計算機網絡應急技術處理協調中心(CNCERT)發布的《2010年中國互聯網網絡安全報告》稱2010年僵尸網絡控制服務器IP總數為13782個。其中，境內僵尸網絡控制服務器IP數量為7251個，境外僵尸網絡控制服務器IP數量為 6531個。2010年僵尸網絡受控主機IP總數為5622023個。其中，境內僵尸網絡受控主機IP數量為470120個，境外僵尸網絡受控主機IP數量為5151903個[1]。由僵尸網絡而引發的在網絡上竊密、發動DDoS攻擊和發送大量的垃圾郵件等方面，對政府部門、商業機構以及普通用戶造成了嚴重危害，成為影響互聯網安全的重要因素。

2 相關研究

構成僵尸網絡的命令與通信機制大概分為三種形式：（1）傳統的基于IRC協議的僵尸網絡；（2）基于HTTP協議的僵尸網絡；（3）基于P2P協議的僵尸網絡。基于IRC協議的僵尸網絡使用的端口由于容易受到防火墻的過濾而……