曾品善

摘 要 本文分析了僵尸網(wǎng)絡(luò)所具有的明顯特性，提出了一種基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)模型，并從預(yù)處理層、行為特征分析層、綜合檢測(cè)層三個(gè)層次對(duì)該模型進(jìn)行了介紹，給出了每一部分的具體功能。

關(guān)鍵詞 行為特征分析份 僵尸網(wǎng)絡(luò)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

所有僵尸網(wǎng)絡(luò)都具備兩個(gè)主要特點(diǎn)：第一是都有一個(gè)命令控制信道，通過(guò)這個(gè)信道，僵尸網(wǎng)絡(luò)控制者及其所操縱的僵尸傀儡可以進(jìn)行相互間的交流以及命令的傳送；第二是都具有明顯的攻擊性，能夠依照控制者的命令進(jìn)行各式各樣的攻擊。這兩個(gè)特點(diǎn)恰恰是僵尸網(wǎng)絡(luò)有別于其他惡意代碼或者病毒的關(guān)鍵。同一僵尸網(wǎng)絡(luò)中的所有僵尸節(jié)點(diǎn)均是由同一個(gè)命令控制信道聯(lián)系起來(lái)的，因此其在交流行為和惡意行為上所表現(xiàn)出的特征也具有一定的相似性。這正是基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)的理論依據(jù)。

1基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)流程

基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)可分為三個(gè)階段進(jìn)行，即流量統(tǒng)計(jì)分析階段、行為特征分析階段和關(guān)聯(lián)分析階段。每個(gè)階段的基本過(guò)程如下：

（1）流量統(tǒng)計(jì)分析階段：收集待檢測(cè)的內(nèi)網(wǎng)與其外部網(wǎng)絡(luò)之間的所有通信流，對(duì)傳輸方向由內(nèi)向外的流進(jìn)行分析記錄。

（2）行為特征分析階段：根據(jù)流分析紀(jì)錄，依據(jù)僵尸傀儡的相似性特征，使用聚類(lèi)和特征模式匹配的方法，分別從交流行為特征和惡意行為特征兩個(gè)方面展開(kāi)分析，得出分別在這兩方面具有相似性的主機(jī)群。

（3）對(duì)交流行為特征相似主機(jī)群和惡意行為特征相似主機(jī)群進(jìn)行關(guān)聯(lián)分析，得出檢測(cè)結(jié)果。

2基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)模型

本文提出了一種基于行為特征分析的僵尸網(wǎng)絡(luò)檢測(cè)模型，其基本結(jié)構(gòu)如圖1所示。

該模型共分為三個(gè)層次，即預(yù)處理層、行為特征分析層、綜合檢測(cè)層?？蛇M(jìn)一步細(xì)化為流過(guò)濾模塊、交流行為特征分析模塊、惡意行為特征分析模塊、關(guān)聯(lián)處理模塊四個(gè)部分。

預(yù)處理層被安置在網(wǎng)絡(luò)邊緣，一般應(yīng)部署于網(wǎng)關(guān)，在內(nèi)、外網(wǎng)絡(luò)的交界處。如此便能夠使得內(nèi)、外網(wǎng)之間進(jìn)行信息交互的所有流量都通過(guò)該層。對(duì)于本系統(tǒng)而言，檢測(cè)對(duì)象僅為T(mén)CP流，因此，流過(guò)濾模塊的主要任務(wù)是對(duì)通過(guò)的待檢測(cè)數(shù)據(jù)流進(jìn)行預(yù)處理，將對(duì)于檢測(cè)沒(méi)有意義的其它流過(guò)濾掉，為系統(tǒng)整體工作減輕了壓力，提高了檢測(cè)效率。

行為特征分析層是本系統(tǒng)的核心部分，其中的交流行為特征分析模塊和惡意行為特征分析模塊并行工作來(lái)處理經(jīng)過(guò)上一層過(guò)濾的數(shù)據(jù)流。交流行為特征分析模塊按照一定規(guī)則對(duì)流經(jīng)的數(shù)據(jù)流的相關(guān)信息加以記錄，而后根據(jù)這些記錄展開(kāi)聚類(lèi)分析，進(jìn)而確定交流行為特征相似的主機(jī)群。惡意行為特征分析模塊同樣是在監(jiān)控流經(jīng)的數(shù)據(jù)流的過(guò)程中，探尋異常行為的存在并對(duì)其相關(guān)信息加以記錄，然后從記錄中分析查找出惡意行為特征相似的主機(jī)群。

綜合檢測(cè)層為本系統(tǒng)的關(guān)鍵一層，它的存在直接使得本系統(tǒng)在檢測(cè)結(jié)果的準(zhǔn)確性上有了質(zhì)的飛躍，遠(yuǎn)勝于其它針對(duì)單一特征的檢測(cè)手段。關(guān)聯(lián)處理模塊針對(duì)行為特征分析層得出的交流行為相似主機(jī)群和惡意行為相似主機(jī)群展開(kāi)關(guān)聯(lián)分析，找出這兩個(gè)群中所存在的某種聯(lián)系，進(jìn)而確定某個(gè)主機(jī)是某僵尸網(wǎng)絡(luò)的一份子，從而得出檢測(cè)結(jié)果。

參考文獻(xiàn)

[1] 王海龍，唐勇，龔正虎.僵尸網(wǎng)絡(luò)命令與控制信道的特征提取模型研究[J].計(jì)算機(jī)工程與科學(xué)，2013，52（03）：385-389.

[2] 成淑萍，譚良，黃彪等.僵尸網(wǎng)絡(luò)傳播模型分析[J].計(jì)算機(jī)工程與應(yīng)用，2013，49（01）：107-111.endprint