基于流量圖的僵尸網絡檢測技術分析

何毓錕,李 強,嵇躍德,郭 東

(吉林大學 計算機科學與技術學院,符號計算與知識工程教育部重點實驗室,長春 130012)

攻擊者為了達到惡意目的,利用各種方法在大量計算機中先注入特定的惡意程序代碼,再通過命令與控制信道(C&C)遠程控制這些計算機,這些計算機組成的可通信、 可控制網絡稱為僵尸網絡(Botnet);控制這些計算機的組織或個人稱為僵尸控制者(Botmaster);秘密運行在受控主機上,可接受預定義的命令并執行預定義功能的惡意代碼稱為僵尸(Bot).僵尸網絡常被用于分布式拒絕服務攻擊(DDoS)、 發送垃圾郵件(spam)、 網絡釣魚(phishing)、 竊取機密信息(information theft)和傳播其他惡意軟件等.

僵尸網絡有以下特點：

2) 并發性.僵尸程序可同時感染多臺計算機,僵尸感染也可發生在不同平臺的計算機間,僵尸主機間的數據信息可雙向共享;

3) 靈活通信.僵尸網絡有一個靈活的C&C通信信道,可使用IRC和P2P等通信協議進行通信,它們之間的通信還可以進行加密;

4) 動態升級.僵尸控制者可通過C&C信道對分布在僵尸主機上的僵尸程序進行動態升級,導致一些使用靜態和特征掃描為基礎的方法無效.

僵尸網絡的這些特點為攻擊者提供了隱蔽、 靈活和高效的攻擊手段,對現行網絡安全產生巨大威脅.目前,已有很多檢測和防御僵尸網絡的方法.根據檢測位置,對僵尸和僵尸網絡的檢測技術分為基于主機和基于網絡兩類.基于網絡檢測技術的對象主要是僵尸網絡命令和控制通信的流量及僵尸網絡連接行為的異常,主要有以下4種：

1) 使用蜜罐網技術和DNS技術捕獲并跟蹤僵尸及僵尸網絡[1],發現僵尸網絡的控制服務器位置、 行為特性和結構特性,但僵尸通常很容易采用各種隱藏技術避免被捕獲,如采取更隱蔽的通信方法或減少DNS請求;

馮建寧是農民的兒子。早在2005年，他的父親便承包了臨汾市大寧縣太古鄉坦達村100余畝閑置土地種植核桃苗，并零散地種一些西瓜、玉米維持全家6口人的生計。

2) 根據僵尸網絡流量的簽名進行檢測[1],但主要針對IRC僵尸,不能擴展到其他僵尸;

3) 根據僵尸網絡流量特征,使用統計異常、 流量相似性分類、 機器學習、 決策樹和時空關聯等方法[1-3],但此類方法受限于僵尸流量的變化和形式更新,且需處理大量的網絡數據;

4) 利用僵尸網絡通信協議(IRC或P2P)本身的特點檢測正常流量和異常流量的差別[4-5].

在基于網絡的僵尸檢測技術中,有一種關注僵尸網絡產生的流量圖方法.該方法可不受通信協議和通信內容等因素影響,不需對僵尸程序進行反編譯,只關注僵尸程序在通信過程中產生的流量圖特征,能有效地檢測僵尸網絡中的僵尸主機.

本文先介紹了僵尸網絡流量圖的結構特征,然后對現有基于流量圖的僵尸網絡檢測方法進行歸納總結,再從方法的前提假設、 實驗數據和結果、 方法的優缺點三方面對其進行比較分析,并提出了可能的改進方法.

1 僵尸網絡的圖特征

僵尸網絡中的僵尸主機在通信過程中表現出明顯的圖特征,下面對不同僵尸網絡的通信模型進行分類,并根據不同的特性對通信流量圖進行分類.

1.1 僵尸網絡通信模型

1.1.1 傳統中心式模型 在這種模型中,僵尸控制者和僵尸主機間的命令和數據交換通過一個或多個中心控制點實現.僵尸控制者選擇一個高帶寬、 高性能的計算機作為中央控制點,通過命令與控制服務器間接地操控分布在正常網絡中的僵尸,對它們進行更新或發動大規模的惡意攻擊.如使用IRC協議的spybot,GTbot,SDbot和使用HTTP協議的ClickBot,Rustock僵尸程序即為這種通信模型.在中心式通信模型中,僵尸操控者和僵尸程序間的所有通信都通過C&C服務器實現,只要找到C&C的服務器,并將其從網絡中清除或隔離,則受其控制的僵尸主機將不再被控制,進而可以將該類型的僵尸從網絡中清除.

1.1.2 新型分布式模型 在這種模型中,每個處在僵尸網絡中的僵尸主機都可連接一定數量當前僵尸網絡中的其他僵尸主機,不存在嚴格意義上的僵尸服務器和僵尸客戶端.在僵尸網絡中的每個僵尸主機都有可能變為僵尸服務器,當一個或多個僵尸在僵尸網絡中失去連接時,攻擊者可繼續操縱其他僵尸網絡中的受控僵尸主機,從而使整個僵尸網絡繼續運行.如使用P2P協議的Agobot和Phatbot僵尸程序使用的即為這種通信模型.在分布式模型中,網絡中不存在中央控制點,這種模型的僵尸網絡流量隱密性更高,也更難從正常的網絡中隔離或徹底清除.

1.2 僵尸網絡通信流量圖 僵尸網絡繼承了傳統網絡一些特點的同時,由于僵尸程序通信的周期性和規律性,又有自身的特征.如果用頂點V表示網絡中的每個主機,E表示兩個主機V之間有直接通信關系的邊,則網絡中主機的通信可以用圖G(V,E)表示.考慮通信關系的方向性,網絡中主機的通信圖又可分為有向圖和無向圖； 根據不同的協議(HTTP,P2P,FTP等),又可分為不同的協議圖.

假設主機通信過程中的數據包都可劃分為標準的五元組數據流,即〈sourceIP,sourcePort,destIP,destPort,protocol〉[6].給定一組流量S,可定義相應的有向圖G(V,E),其中節點集V對應流量S中的IP地址,一個從u到v的鏈接(u,v)∈E當且僅當u,v分別對應流量S中的一組sourceIP和destIP.同理,也可獲得一個無向圖G(V,E),此時,節點集V對應流量S中的IP地址,u和v之間的鏈接(u,v)∈E當且僅當u,v對應流量S中的一組sourceIP和destIP.

假設網絡主機通信過程中,它們之間的數據包都包含協議信息,則在構建主機的通信圖時,即可根據網絡協議進行過濾,得到不同的網絡協議圖.圖1是一個P2P協議的主機通信圖,圖2是一個HTTP協議的主機通信圖.圖的一些特征(最大聯通分量、 頂點個數、 邊的條數、 頂點度的最大值等)也可用于判斷網絡中的異常,發現網絡中的僵尸主機.

圖1 P2P協議的主機通信圖Fig.1 Communication graph with P2P

圖2 HTTP協議的主機通信圖Fig.2 Communication graph with HTTP

此外,依據網絡中主機間通信的數據包數目和字節數、 通信在傳輸層的協議(TCP,UDP,NetBIOS,NetBEUI,SPX)、 通信使用的端口等條件,也可對網絡流量進行分類分析,得到不同的流量圖.

2 基于流量圖的僵尸網絡檢測方法

通過流量圖中的邊可發現僵尸程序間的通信關系,僵尸程序在發起攻擊時的流量圖和正常網絡的流量圖有很大差別,不同協議和不同程序產生的流量圖在圖的一些指標上存在差異.

2.1 關注僵尸主機間的底層通信結構 Nagaraja等[4]提出了結構圖分析法BotGrep,從正常網絡流量中分離出異常的P2P流量子圖,將網絡的整個通信流量建模為無向圖G=(V,E),其中:V表示主機的集合;E表示主機間通信邊的集合.若G中包含P2P僵尸網絡的流量子圖Gp,則Gn=G-Gp為正常的背景流量.檢測算法的目的是利用流量圖的空間聯系特征,將Gp和Gn區分開.區分Gp和Gn算法的依據是結構式P2P流量圖的快速融合特性.

一旦僵尸網絡的結構被識別且被確認為惡意的,BotGrep輸出一系列可疑主機,這個列表可作為路由器的黑名單,用來配置IDS、 防火墻或提示管理員這些主機需要調查.

Coskun等[3]提出了利用“敵人的朋友”的方法.這里假設在P2P僵尸網絡中,所有的僵尸主機都可接收或分發C&C的通信信息,每個使用P2P通信的僵尸主機都與僵尸網絡中的一部分其他僵尸主機通信(即同伴名單)[7-9],并且保持其獨有的同伴名單.利用P2P通信僵尸網絡的非結構化拓撲,使其中的僵尸主機有一個非常高的概率隨機選取同伴名單中的主機進行通信.依據流量圖的特征,該方法通過P2P僵尸網絡中部分種子僵尸主機發現其所在的整個僵尸網絡.

在一個P2P僵尸網絡中,被感染的主機(稱為Bot)間可以直接或間接地通信,如果已知一些Bot,即可通過P2P通信的數據分析找出與其通信的其他Bot.若把一個Bot稱為一個點N,Bot和Bot間有直接通信關系的稱為邊E,在給定時間內主機之間通信的次數計為邊E的容量,則整個Botnet即為一個G(N,E)圖.構建通信流量圖:Eij=Eji=|S(Ni)∩S(Nj)|,其中:S(Ni)是Ni點的邊集;S(Nj)是Nj點的邊集;Eij和Eji是兩點邊的交集,若無公共邊,則Eij=0.

當主機間通信的流量圖建立后,使用Dye-Pumping算法計算網絡中的主機可能為P2P僵尸網絡中一部分的概率.Dye-Pumping算法需要3個輸入數據: 流量圖中反映主機間交互情況的邊Eij(E是包含所有主機間相互聯系情況的矩陣)、 種子節點N的索引s和迭代次數MaxIter.Dye-Pumping算法描述如下：先從輸入的Eij中計算感染的相互作用系數,并形成過度矩陣T;再對T進行規范化,使矩陣中每一列的和為1,即轉化為列隨機矩陣;然后根據種子僵尸列表和關系矩陣迭代更新向量L,迭代更新MaxIter次.最終輸出向量L,其中每個元素的L(i)值表示相應節點在初始種子僵尸節點所在僵尸網絡的可能性.

使用部分僵尸主機作為種子,利用僵尸網絡中僵尸主機通信產生的流量圖特點,通過Dye-Pumping算法便可發現在同一僵尸網絡中的僵尸主機.

2.2 關注流量圖在受到攻擊時的異常變化 Collins等[10]通過分析流量協議圖的異常變化檢測僵尸網絡的傳播.在正常網絡背景流量下監測HTTP,SMTP,Oracle和FTP協議圖的數據,發現這些協議圖有可預測的圖大小和最大聯通分量.受到攻擊時,協議圖的大小和最大聯通分量會發生異常變化,通過監測協議圖設置合適的報警值,即可發現可能遭受攻擊的網絡.

2.3 關注各種協議的流量圖特征 在分辨不同協議及不同應用在網絡中的流量圖時,一個較好的策略是使用圖的指標.定義圖的一些特征直到它們能夠區分出不屬于同一類別的流量圖,如圖中節點的平均度、 圖中最大度的比率、 圖中節點的方向性、 圖的最大聯通分量和圖直徑等.

Iliofotou等[11]提出了使用流量分布圖(traffic distribute graph,TDG)分析網絡中的流量.給定一組流量,TDG是一個任意兩點間通信IP地址的邊圖,用TDG捕獲整個網絡的相互作用.考慮雙向的流量,從而更詳細地顯示流量圖中邊的情況.對于TCP的流量定義是從SYN數據包開始的,這樣即可知道流量的發起者和接收者,只需觀察圖中節點間的SYN/ACK數據包； 對于UDP的流量,把它們間第一個數據包的方向作為流的方向.如果在圖中節點間不確定是哪個節點發起的流量,則在它們之間加入無向邊.根據TDG開發應用程序分類工具Graption(基于圖的P2P檢測),Graption根據數據流級別的特征,在未知應用程序相關信息的情況下,先對流量進行集群,再為這些集群建立對應的TDG,并使用圖形的指標確定這一集群對應的P2P應用.最后,自動提取一個新的P2P應用正則表達式,可利用現有的IDS設備和路由器阻止或限速檢測的流量.

3 對比分析

目前的多數方法[3,4,6,12]都能在特定環境條件下對網絡流量進行分類,檢測已知類型的僵尸網絡,發現未知類型的僵尸網絡.在僵尸網絡檢測中,分為基于網絡[13-15]和基于主機[16-18]的方法.以主機為基礎的方法關注檢測主機的信息,分析主機所能提供的資料;而基于網絡的方法關注檢測僵尸網絡的傳入和傳出流量,分析網絡中的流量.

在基于網絡的方法中,有一類是使用圖分析的方法[3,4,10,11,19].下面從前提條件和依據、 實驗環境和結果及方法的優缺點方面分析基于流量圖的僵尸網絡檢測技術.

3.1 前提條件和依據 Nagaraja等[4]使用結構圖分析法發現基于P2P通信的僵尸網絡[20-25];Coskun等[3]提出了利用“敵人的朋友”通過部分僵尸主機發現整個僵尸網絡的方法;Collins等[10]通過分析流量協議圖的異常變化檢測僵尸網絡的傳播;Iliofotou等[11]提出了使用流量分布圖(TDG)分析網絡中的流量.這些方法都需要獲取整個網絡中主機間的通信數據,有些方法還需歷史數據作對比,它們都有自己的使用環境,沒有一種通用方法,都是依據僵尸程序通信的某些特點,從正常網絡中尋找可能的僵尸網絡,發現可能的僵尸主機.

3.2 實驗環境和結果 為了衡量方法的有效性,需計算僵尸主機的誤報率FP(false positive rate)、 漏報率FN(false begative rate)、 TP(true positive rate)、 TN(true negative rate)及查全率(recall)和查準率(precision).FP是指不是僵尸主機而被誤認為是僵尸主機的概率;FN是指真正的僵尸主機而未被檢測出的概率;TP表示實際上是僵尸主機而被檢測出是僵尸主機的概率;TN表示實際上不是僵尸主機而被檢測出不是僵尸主機的概率;查準率反應了檢索到相關信息的準確程度: Precision=TP/(TP+FP);查全率反應了能檢索全部相關信息的能力: Recall=TP/(TP+FN).文獻[4]的實驗數據來自由Abilene(Internet2團體創建的一個美國骨干網絡)和CAIDA[24]的背景數據流量中分離出de Bruijn[25],Kademlia[26]和Chord[27]的P2P流量圖.使用CAIDA的背景流量,當背景流量圖的節點數|VB|為1 000～100 000時,使用de Bruijn結構的誤報率FP=0%～0.09%,漏報率FN=0.67%～1.80%； 使用Kademlia結構的誤報率FP=0%～0.19%,漏報率FN=0.17%～2.10%； 使用Chord結構的誤報率FP=0%～0.06%,漏報率FN=0.46%～2.20%.實驗數據表明,誤報率的高低取決于僵尸網絡流量圖的大小,漏報率的大小隨背景流量的增大而減小.文獻[3]的實驗是在背景流量中檢測基于P2P的Nugache BotNet[7,28],背景流量來自紐約大學理工學院(polytechnic institute of NYU)周末一天的數據,通過Nugache crawler[29]獲取Nugache活躍時的數據.根據他們的方法,一些實驗數據顯示檢測的查準率約保持75%,查全率約保持80%.文獻[10]的實驗觀測了2007年3月12日～2007年3月16日的一組服務器數據,其中使用SMTP協議的有2 818臺,使用HTTP協議的有8 145臺,使用Oracle協議的有262臺,使用FTP協議的有1 409臺.文獻[10]的檢測方法觀察到TP≈95%,FP≈90%.文獻[11]的實驗數據來自Abilene骨干網、 CAIDA和Palo Alto Internet eXchange (PAIX),其中TR-PAY1和TR-PAY2是由PAIX的ISP服務商提供的2004年4月21日一個時段的數據.TR-PAY1的數據中有10 139 115個獨立的IP,有38 808 604條數據流,總大小為435 G.實驗數據表明,在分類P2P的網絡流量時查全率約為96%,查準率約為90.5%.

上述實驗結果表明,在特定環境下一些檢測方法在一定程度上有效,但它們表現出較差的穩定性,在檢測未知類型的僵尸網絡上無明顯優勢.

3.3 不同方法的優缺點 文獻[4]的結構圖分析法優點是可定位大部分僵尸； 誤報率較低,假陽性的概率小于0.6%； 對于檢測系統可局部部署,從而適應不完整的背景流量,即使只是一個流量圖的局部視圖,也可以發現93%～99%僵尸網絡感染的主機； 是一種內容無關的BotGrep算法,因此它不受所選擇的端口、 通信加密或由僵尸所使用的其他以內容為基礎的隱形技術的影響.缺點是需要處理大規模的通信數據； 在檢測時可能會給出錯誤的判斷,BotGrep必須搭配一些惡意軟件檢測方法,如異?；蛘`用檢測,以區別于其他正常P2P通信的應用程序和惡意P2P通信的僵尸網絡； 需要網絡服務商分享他們的流量； 且該方法只能檢測已經發現的僵尸網絡,無法進行預防.文獻[3]利用僵尸網絡本身結構特點的方法優點是可檢測部分僵尸； 該方法不需要對僵尸的活動信息進行分析； 不需對網絡中可能的僵尸主機進行特征掃描； 不需對僵尸程序進行反編譯； 這種方法是通用的,不依賴于特定的僵尸網絡具體屬性,也不受數據包大小、 數據流大小及數據包加密等因素的影響.缺點是檢測過程中,存在錯誤判斷的可能性； P2P的僵尸網絡在發展過程中,僵尸主機之間可能會避免互相通信,而只進行單項通信； 僵尸網絡可能存在很多子網,無法找出整個僵尸網絡.文獻[10]的方法優點是不局限于特定的網絡通信協議； 可高精度的識別FTP,SMTP,HTTP和Oracle(準確性稍差)； 是一種與內容無關的檢測方法,不受僵尸主機間具體通信內容的影響.缺點是未用到圖中節點的空間關系信息； 檢測時,需要實時檢測流量圖的變化； 需要歷史數據作為參照.文獻[11]的方法優點是使用了圖的部分空間特征和動態瞬時特征(節點和邊的度),考察圖中最大連通分量的大小對P2P網絡做出判斷； 也是與通信內容無關的檢測方法.缺點是該方法并沒有用到圖的所有空間信息,如節點的度數分布等； 在實際部署中,需要ISP服務商提供網絡中主機通信的數據,被認為可能泄漏個人信息； 同時可能要面對大規模的數據處理.

綜上,在基于圖的僵尸網絡檢測方法中,一個明顯的特點是它們大多數與通信內容無關,更關注整個網絡中主機通信產生流量圖的一些特征信息,同時要解決大規模數據處理的時間開銷及如何在獲取網絡流量數據后,更好地保護個人隱私.

表1列出了上述幾種檢測方法的一些特征,其中包含各方法的依據、 可檢測的類型及效率等.

表1 典型檢測方法的對比Table 1 Comparison of typical detection methods

4 改進措施

下面針對現有僵尸網絡檢測的特點,在網絡通信數據收集時用戶的隱私保護、 大規模網絡通信數據的處理、 檢測方法的有效性、 未知僵尸程序和復雜僵尸網絡環境上更通用的檢測方法等四方面提出可能的改進措施.

由于收集大量流量數據信息時會涉及到許多用戶信息,因此進行流量信息收集時保護用戶的隱私至關重要.在流量圖方法的流量收集階段,ISP服務商可能不愿意提供真實的網絡流量.這樣,一方面可以在不影響方法判斷指標的基礎上,請求獲取加密或修改過相關隱私信息的數據集合.如當以流量中數據包的大小作為指標時,可請求獲取在不改變數據包大小的情況下對網絡中用戶通信的數據包進行加密； 當流量中用戶的IP或物理地址對方法的有效性無影響時,可請求獲取IP地址和物理地址經過映射處理的網絡通信數據集合.另一方面,也可使用一些算法生成合理的網絡流量數據,然后將它們混合到背景數據流量中,在數據生成上可先使用一個初始數據矩陣,再執行隨機游走算法[30].

在大型網絡中,流量圖有大量的頂點,由于主機通信產生的邊數目較多,因此在流量圖信息處理過程中如何提高效率至關重要.在大規模流量信息預處理及生成流量圖的過程中,要盡可能利用現有網絡資源,利用現有圖論和數據結構方面的算法降低系統開銷,從而整體降低處理數據時間.如可利用現有分布式計算機網絡處理大量網絡通信產生的數據,在處理流量圖時,可利用并查集合并子圖,使用Tarjan算法計算圖的最大聯通分量.

目前的檢測方法在僵尸網絡檢測的誤報率和漏報率方面較差,由于僵尸網絡的不斷變異,隱藏在正常網絡中的僵尸會變得越來越難以檢測和清除,可能會導致在單一使用某些方法時效果很差.為了應對新型的僵尸網絡,更好地檢測、 清除、 防御駐留在正常網絡中的僵尸主機,提供一個高效安全的網絡環境,可以采取多種檢測方法相結合的新方案,如在基于網絡的方法中,可將流量圖的方法和流量統計方法相結合,在收集網絡流量數據構建流量圖的同時對流量進行統計分析,將流量圖方法得到的可疑主機信息和統計分析方法得到的可疑主機信息進行關聯,通過實驗和理論分析設定兩種方法各自的可疑權值,最終綜合產生一個輸出結果,從而在一定程度上降低檢測的誤報率和漏報率； 還可將基于網絡流量統計的方法和基于主機的方法相結合,將流量統計方法產生的可疑主機作為輸入信息提供給主機作為參考信息,主機結合網絡上的信息再進行主機檢測進而提高檢測效率.

目前方法大多數是檢測已出現的僵尸網絡和特定環境下的僵尸網絡.對于新的未知僵尸網絡,有很大的概率是從已有僵尸類型中變異產生,對于這類新型僵尸,它們通信形成流量圖的最大聯通分量或圖中的頂點個數可能會有很大區別,但他們通信過程中數據包的大小或僵尸主機之間通信的頻率有可能和變異前的僵尸程序較接近,這樣就可設計多個指標綜合考慮檢測方案,對于不同的指標設定相應的權值,最終產生一個可疑主機列表,同時也可結合主機檢測作為輔助驗證； 由于各種智能設備的快速發展,網絡結構也越來越復雜,出現的各種智能終端系統平臺也有差異,當檢測分布在這一類終端上的僵尸程序時,更好的方法是在路由器或ISP上部署僵尸網絡檢測系統,觀察整體網絡數據流量的一些指標,而不是在智能終端上部署僵尸檢測軟件,以減少智能終端的系統開銷.設計更通用的方法對大型網絡中產生的數據流量特征進行分析,在一些指標上,如數據包的大小、 主機間通信的頻率、 產生流量圖的聯通分量等,做基于異常的檢測,得到可疑主機的相關信息,再從網絡中隔離這些主機.

綜上所述,本文基于網絡中流量圖的方法,根據圖的特征(如圖頂點的多少、 流量圖中使用的通信協議、 圖的最大聯通分量等)和僵尸網絡本身的一些特性(如僵尸網絡形成的快速混合特性、 僵尸主機需要直接或間接的通信等)提出了對目前方法的一些改進措施.

[1] GU Guo-fei.Correlation-Based Botnet Detection in Enterprise Networks [D].Georgia: Georgia Institute of Technology,2008.

[2] ZHANG Jun-jie,LUO Xia-pu,Perdisci R,et al.Boosting the Scalability of Botnet Detection Using Adaptive Traffic Sampling [C]//Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security.New York: ACM,2011: 124-134.

[3] Coskun B,Dietrich S,Memon N.Friends of an Enemy: Identifying Local Members of Peer-to-Peer Botnets Using Mutual Contacts [C]//Proceedings of the 26th Annual Computer Security Applications Conference.New York: ACM,2010: 131-140.

[4] Nagaraja S,Mittal P,HONG Chi-yao,et al.BotGrep: Finding P2P Bots with Structured Graph Analysis [C]//Proceedings of the 19th USENIX Conference on Security.Berkeley: USENIX Association,2010: Article 7.

[5] YEN Ting-fang,Reiter M K.Are Your Hosts Trading or Plotting? Telling P2P File-Sharing and Bots Apart [C]//Proceedings of the 2010 IEEE 30th International Conference on Distributed Computing Systems.Washington DC: IEEE Computer Society,2010: 241-252.

[6] Iliofotou M,Kim H C,Faloutsos M,et al.Graption: A Graph-Based P2P Traffic Classification Framework for the Internet Backbone [J].Computer Networks,2011,55(8): 1909-1920.

[7] Stover S,Dittrich D,Hernandez J,et al.Analysis of the Storm and Nugache Trojans: P2P Is Here [J].Usenix Login,2007,32(6): 18-27.

[8] Grizzard J B,Sharma V,Nunnery C,et al.Peer-to-Peer Botnets: Overview and Case Study [C]//Proceedings of the First Conference on First Workshop on Hot Topics in Understanding Botnets.Berkeley: USENIX Association,2007: 1.

[9] Holz T,Steiner M,Dahl F,et al.Measurements and Mitigation of Peer-to-Peer-Based Botnets: A Case Study on Storm Worm [C]//Proceedings of the 1st Usenix Workshop on Large-Scale Exploits and Emergent Threats.Berkeley: USENIX Association,2008: Article 9.

[10] Collins M P,Reiter M K.Hit-List Worm Detection and Bot Identification in Large Networks Using Protocol Graphs [C]//Proceedings of the 10th International Conference on Recent Advances in Intrusion Detection.Berlin：Springer,2007: 276-295.

[11] Iliofotou M,Pappu P,Faloutsos M,et al.Graption: Automated Detection of P2P Applications Using Traffic Dispersion Graphs (TDGs) [R].Santacruz: University of California,2008.

[12] Siska P,Stoecklin M P,Kind A,et al.A Flow Trace Generator Using Graph-Based Traffic Classification Techniques [C]//Proceedings of the 6th International Wireless Communications and Mobile Computing Conference.New York: ACM,2010: 457-462.

[13] LIU Dan,LI Yi-chao,HU Yue,et al.A P2P-Botnet Detection Model and Algorithms Based on Network Streams Analysis [C]//2010 International Conference on Future Information Technology and Management Engineering (FITME).Piscataway: IEEE Press,2010: 55-58.

[14] Callado A,Kelner J,Sadok D,et al.Better Network Traffic Identification through the Independent Combination of Techniques [J].Journal of Network and Computer Applications,2010,33(4): 433-446.

[15] GU Guo-fei,Perdisci R,ZHANG Jun-jie,et al.BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection [C]//Proceedings of the 17th Conference on Security Symposium.Berkeley: USENIX Association,2008: 139-154.

[16] FENG Min,Gupta R.Detecting Virus Mutations via Dynamic Matching [C]//IEEE International Conference on Software Maintenance.Piscataway: IEEE Press,2009: 105-114.

[17] HU Xin,Chiueh T C,Shin K G.Large-Scale Malware Indexing Using Function-Call Graphs [C]//Proceedings of the 16th ACM Conference on Computer and Communications Security.New York: ACM,2009: 611-620.

[18] JIANG Ling-xiao,SU Zhen-dong.Automatic Mining of Functionally Equivalent Code Fragments via Random Testing [C]//Proceedings of the Eighteenth International Symposium on Software Testing and Analysis.New York: ACM,2009: 81-92.

[19] Iliofotou M,Faloutsos M,Mitzenmacher M.Exploiting Dynamicity in Graph-Based Traffic Analysis: Techniques and Applications [C]//Proceedings of the 5th International Conference on Emerging Networking Experiments and Technologies.New York: ACM,2009: 241-252.

[20] Gkantsidis C,Mihail M,Saberi A.Random Walks in Peer-to-Peer Networks [J].Performance Evaluation,2006,63(3): 241-263.

[21] Borisov N.Anonymous Routing in Structured Peer-to-Peer Over-Lays [D].Berkeley: University of California at Berkeley,2005.

[22] Aspnes J,Wieder U.The Expansion and Mixing Time of Skip Graphs with Applications [C]//Proceedings of the Seventeenth Annual ACM Symposium on Parallelism in Algorithms and Architectures.New York: ACM,2005: 126-134.

[23] ZHONG Ming,SHEN Kai,Seiferas J.Non-uniform Random Membership Management in Peer-to-Peer Networks [C]//24th Annual Joint Conference of the IEEE Computer and Communications Societies.Piscataway: IEEE Press,2005: 1151-1161.

[24] CAIDA: The Cooperative Association for Internet Data Analysis [EB/OL].2013-02-18.http://www.caida.org/.

[25] Kaashoek M F,Karger D R.Koorde: A Simple Degree-Optimal Distributed Hash Table [C]//Peer-to-Peer Systems Ⅱ,Lecture Notes in Computer Science.Berlin: Springer,2003: 98-107.

[26] Maymounkov P,Mazieres D.Kademlia: A Peer-to-Peer Information System Based on the Xor Metric [C]//Peer-to-Peer Systems,Lecture Notes in Computer Science.Berlin: Springer,2002: 53-65.

[27] Stoica I,Morris R,Karger D,et al.Chord: A Scalable Peer-to-Peer Lookup Service for Internet Applications [C]//Proceedings of the 2001 Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications.New York: ACM,2001: 149-160.

[28] Dittrich D,Dietrich S.Discovery Techniques for P2P Botnets [R].[S.l.]: Stevens Institute of Technology,2008.

[29] Dittrich D,Dietrich S.P2P as Botnet Command and Control: A Deeper Insight [C]//Proceedings of the 3rd International Conference on Malicious and Unwanted Software.Piscataway: IEEE Press,2008: 41-48.

[30] Wikipedia.Random Walker Algorithm [EB/OL].2009-06-01.http://en.wikipedia.org/wiki/Random_walk.