胡博文

摘 要：隨著互聯(lián)網(wǎng)和電子商務(wù)平臺的發(fā)展，網(wǎng)絡(luò)購物已成為人們社會生活中的日常行為。僵尸網(wǎng)絡(luò)是一種新興的互聯(lián)網(wǎng)威脅，其數(shù)量、規(guī)模和危害級別正在迅速增長，并已使全球網(wǎng)絡(luò)進(jìn)入新的警戒狀態(tài)。尤其是在網(wǎng)絡(luò)購物方面，僵尸網(wǎng)絡(luò)常被不法分子利用而對網(wǎng)絡(luò)購物平臺發(fā)起網(wǎng)絡(luò)攻擊。眾多真實的案例表明，利用僵尸網(wǎng)絡(luò)追蹤技術(shù)保障網(wǎng)絡(luò)購物安全已成為從事網(wǎng)絡(luò)安全的研究人員所重點關(guān)注的領(lǐng)域。文章以當(dāng)前僵尸網(wǎng)絡(luò)的研究技術(shù)為基礎(chǔ)，進(jìn)而對僵尸網(wǎng)絡(luò)的檢測與追蹤技術(shù)進(jìn)行歸納與總結(jié)，為學(xué)該領(lǐng)域的研究提供借鑒，并為網(wǎng)絡(luò)購物平臺日后在研制、開發(fā)和部署位于路由節(jié)點的僵尸網(wǎng)絡(luò)檢測與追蹤實時監(jiān)控系統(tǒng)奠定基礎(chǔ)。

關(guān)鍵詞：僵尸網(wǎng)絡(luò);網(wǎng)絡(luò)安全;檢測技術(shù);追蹤技術(shù);網(wǎng)絡(luò)購物安全

0? ? 引言

僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)具有隱匿、靈活的特點，并且可以高效地執(zhí)行一對多命令與控制機制，這些特點使得被攻擊者廣泛接受并使用于實現(xiàn)竊取敏感信息、發(fā)送分布式拒絕服務(wù)攻擊和發(fā)送垃圾郵件等攻擊目的[1]。從1999年被發(fā)現(xiàn)以來，僵尸網(wǎng)絡(luò)正在步入快速發(fā)展期，并已對網(wǎng)絡(luò)購物安全造成了嚴(yán)重威脅，其特點如下。

（1）當(dāng)下的網(wǎng)絡(luò)購物平臺擁有數(shù)量龐大的用戶規(guī)模，并且用戶具有高度分散等特點，這也為僵尸網(wǎng)絡(luò)提供了非常便利的條件將自己產(chǎn)生的非法流量隱藏在用戶產(chǎn)生的合法海量流量中。

（2）在當(dāng)前的電子商務(wù)中，商家會根據(jù)用戶的瀏覽興趣、習(xí)慣與關(guān)系進(jìn)行歸類分組，這也使得社交僵尸網(wǎng)絡(luò)竊取用戶的個人信息與傳播過程變得更加方便。

（3）當(dāng)下的網(wǎng)絡(luò)購物平臺普遍具有開放性，這使得網(wǎng)絡(luò)上的惡意用戶可以利用平臺的開放性進(jìn)行欺騙，或誘惑性地使普通用戶安裝下載攻擊性程序。

（4）此外，因為網(wǎng)絡(luò)購物平臺具有不會關(guān)閉的特點，使得僵尸網(wǎng)絡(luò)可以長期生存在平臺上，并且不易被查殺，隨著時間的累積，僵尸網(wǎng)絡(luò)的規(guī)模將逐漸擴大。

本文以當(dāng)前僵尸網(wǎng)絡(luò)的研究技術(shù)為基礎(chǔ)，對僵尸網(wǎng)絡(luò)國內(nèi)外的檢測與追蹤技術(shù)進(jìn)行了歸納與總結(jié)，分析了以協(xié)議、內(nèi)容、流量為三大特征的分析檢測技術(shù)，深入探討了利用數(shù)據(jù)倉庫、數(shù)據(jù)挖掘以及大規(guī)模拓跋可視化為技術(shù)出發(fā)點的追蹤技術(shù)，并在總結(jié)僵尸網(wǎng)絡(luò)演變規(guī)律的基礎(chǔ)上提出了一個基于路由節(jié)點的僵尸網(wǎng)絡(luò)檢測與追蹤解決方案。對僵尸網(wǎng)絡(luò)進(jìn)行檢測與追蹤的相關(guān)技術(shù)研究如圖1所示。

1? ? 相關(guān)研究

1.1? 僵尸網(wǎng)絡(luò)檢測技術(shù)研究

1.1.1? 僵尸網(wǎng)絡(luò)檢測技術(shù)

要想在路由節(jié)點上實現(xiàn)對網(wǎng)絡(luò)購物中僵尸網(wǎng)絡(luò)快速、準(zhǔn)確的檢測，首先就必須研究在路由節(jié)點對僵尸網(wǎng)絡(luò)進(jìn)行基于協(xié)議特征的檢測、基于內(nèi)容特征的檢測和基于流量特征的檢測。

（1）基于協(xié)議特征的檢測。目前，僵尸網(wǎng)絡(luò)主要利用IRC，HTTP和P2P3種協(xié)議進(jìn)行命令的傳輸和攻擊控制，研究這3種不同的協(xié)議在命令傳輸和攻擊過程中的不同特征，尤其要研究在路由節(jié)點上呈現(xiàn)出的協(xié)議特征來檢測僵尸網(wǎng)絡(luò)的爆發(fā)。

（2）基于內(nèi)容特征的檢測?；诼酚晒?jié)點，對僵尸網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的特征進(jìn)行研究。通過監(jiān)控路由節(jié)點中的數(shù)據(jù)內(nèi)容，分析并總結(jié)僵尸網(wǎng)絡(luò)在傳播、加入、控制3個階段產(chǎn)生的數(shù)據(jù)內(nèi)容的規(guī)律和特性，達(dá)到透徹了解僵尸網(wǎng)絡(luò)在路由節(jié)點的數(shù)據(jù)內(nèi)容特征的目的。

（3）基于流量特征的檢測?；诼酚晒?jié)點，對僵尸網(wǎng)絡(luò)流量變化的特征進(jìn)行研究。通過監(jiān)控路由節(jié)點中的流量數(shù)據(jù)，分析并總結(jié)僵尸網(wǎng)絡(luò)中僵尸主機與僵尸服務(wù)器的特性所產(chǎn)生的流量數(shù)據(jù)的規(guī)律和特性，達(dá)到透徹了解僵尸網(wǎng)絡(luò)在路由節(jié)點的流量特征的目的。

在此基礎(chǔ)上，需要進(jìn)行如下技術(shù)研究：

（1）不同的僵尸網(wǎng)絡(luò)在協(xié)議特征、內(nèi)容特征和流量特征上也具有很大的差異，所以需要研究這3種檢測方法對不同的僵尸網(wǎng)絡(luò)檢測的速度和準(zhǔn)確性。

（2）研究這3種檢測方法對路由節(jié)點的性能和網(wǎng)絡(luò)速度造成的影響。這3種檢測方法都是基于路由節(jié)點的，可能會架設(shè)在主干網(wǎng)絡(luò)的關(guān)鍵節(jié)點上，需要研究網(wǎng)絡(luò)流量較大時對檢測效率和網(wǎng)絡(luò)延時的影響。

（3）研究如何在檢測效率和對網(wǎng)絡(luò)的影響之間找到平衡點，實現(xiàn)在對網(wǎng)絡(luò)速度影響盡可能小的情況下，達(dá)到對僵尸網(wǎng)絡(luò)快速、準(zhǔn)確檢測的目的。

1.1.2? 國內(nèi)外的具體研究成果

王志等[2]在對bot程序執(zhí)行軌跡進(jìn)行分析的基礎(chǔ)上，提出了一種發(fā)掘僵尸網(wǎng)絡(luò)控制命令集合的方法，對bot程序覆蓋率特征進(jìn)行分析，獲得其執(zhí)行軌跡，進(jìn)而實現(xiàn)僵尸網(wǎng)絡(luò)控制命令空間的發(fā)掘;臧天寧等[3]對已知僵尸網(wǎng)絡(luò)內(nèi)部通信行為進(jìn)行特征提取，并利用這些特征定義云模型，進(jìn)而分析判斷已知bot主機群的隸屬關(guān)系;在協(xié)同檢測方面，王海龍等[4]提出的協(xié)同檢測模型可以在信息、特性和決策3個層次進(jìn)行協(xié)同，臧天寧等[3]提出的協(xié)同檢測模型可以分析各種安全事件之間隱藏的關(guān)聯(lián)關(guān)系，即使它們發(fā)送的地理位置不同、時間段不同。

1.2? 僵尸網(wǎng)絡(luò)追蹤技術(shù)研究

僵尸網(wǎng)絡(luò)的追蹤技術(shù)是為了了解僵尸網(wǎng)絡(luò)內(nèi)部的活動過程，以便對僵尸網(wǎng)絡(luò)的對抗環(huán)節(jié)變得有目的而為。本文分析總結(jié)了國內(nèi)外近幾年較為流行的追蹤技術(shù)，在對比分析的基礎(chǔ)上推演僵尸網(wǎng)絡(luò)的演變規(guī)律，最終提出一套安全、穩(wěn)定、高效的研究方案。

1.2.1? 數(shù)據(jù)倉庫技術(shù)

數(shù)據(jù)（倉）庫系統(tǒng)一般都是大型應(yīng)用系統(tǒng)的核心系統(tǒng)之一，其運行效率直接影響整個應(yīng)用系統(tǒng)的效率。在整個應(yīng)用系統(tǒng)的軟件結(jié)構(gòu)中，數(shù)據(jù)（倉）庫好比整個系統(tǒng)的“咽喉”，它負(fù)責(zé)從底層分布的數(shù)據(jù)源提取整個網(wǎng)絡(luò)中所有的關(guān)鍵業(yè)務(wù)數(shù)據(jù)并向上層應(yīng)用界面提供實時、可靠與全面的數(shù)據(jù)支持。在基于路由節(jié)點的拓?fù)渲?，在路由?jié)點上要捕獲大量的數(shù)據(jù)，對于一個大型網(wǎng)絡(luò)來說，會存在成千上萬個節(jié)點，這些節(jié)點之間的連接關(guān)系要保存在數(shù)據(jù)庫中，將會有巨大的數(shù)據(jù)量，所以必須使用數(shù)據(jù)倉庫技術(shù)合理、有效地保存這些數(shù)據(jù)。

要構(gòu)建一個數(shù)據(jù)倉庫存儲拓?fù)鋽?shù)據(jù)，就必須合理設(shè)計數(shù)據(jù)倉庫中的各種表，選擇是基于維度模型還是基于雪花模型。通過研究數(shù)據(jù)倉庫技術(shù)，能夠更好地組織在關(guān)鍵路由節(jié)點所收集到的數(shù)據(jù)，為下一步數(shù)據(jù)挖掘提供有力的數(shù)據(jù)支撐。

1.2.2? 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)（Data Mining）是一個近幾年快速成長的領(lǐng)域，又稱從數(shù)據(jù)中發(fā)現(xiàn)知識（KDD）。它的功能就是從海量數(shù)據(jù)中分析獲取那些有效的、新穎的、具有潛在價值的過程，并且把這種知識發(fā)現(xiàn)的過程轉(zhuǎn)化為最終可理解模式的非平凡過程。根據(jù)數(shù)據(jù)挖掘的應(yīng)用領(lǐng)域不同，可以將數(shù)據(jù)挖掘模型分為分類模型、關(guān)聯(lián)模型、順序模型、聚簇模型、孤立點分析和演變分析等。在實現(xiàn)過程中，數(shù)據(jù)挖掘包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)選擇、數(shù)據(jù)變換、數(shù)據(jù)挖掘、模型評估、知識展示等幾個步驟。

隨著數(shù)據(jù)處理能力和數(shù)據(jù)挖掘技術(shù)水平的不斷提升，人們現(xiàn)在可以快速地從海量數(shù)據(jù)中挖掘分析出對自己有用的信息與知識。在大規(guī)模網(wǎng)絡(luò)的拓?fù)渲校酚晒?jié)點在網(wǎng)絡(luò)中采集到了大量的路由信息，而這其中就夾雜著很多錯誤、重復(fù)的路由信息。通過對采集到的各種路由數(shù)據(jù)進(jìn)行分析，找出其特征并結(jié)合目前世界上數(shù)據(jù)挖掘的主流技術(shù)，參照現(xiàn)存的各種數(shù)據(jù)挖掘算法，設(shè)計出一種合適的算法，能夠根據(jù)數(shù)據(jù)倉庫提供的各種拓?fù)鋽?shù)據(jù)，準(zhǔn)確、高效地從原始數(shù)據(jù)中提取出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，為上層模塊功能的實現(xiàn)提供保障。

1.2.3? 大規(guī)模網(wǎng)絡(luò)拓?fù)淇梢暬夹g(shù)

平面可視化就是結(jié)合平面的全面性和可視化的可視性反映網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)。全面性是指能夠在平面上看到拓?fù)鋱D的所有點和邊，要求點和邊布局在平面上時不允許出現(xiàn)覆蓋。可視性是指要使點和邊的布局能夠使拓?fù)鋱D的顯示具有清晰美觀的效果。對于規(guī)模很大的網(wǎng)絡(luò)，點和邊的個數(shù)可能達(dá)到數(shù)十萬個，其連接關(guān)系非常復(fù)雜。為此，基于分治法分解問題，解決子問題，把子問題解組合為原問題的解的模式，首先把大規(guī)模的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分割成一些規(guī)模小的網(wǎng)絡(luò)，然后將其逐一平面可視化，再通過對子圖的布局把子圖組合成一張完整的圖，實現(xiàn)大規(guī)模網(wǎng)絡(luò)拓?fù)涞钠矫婵梢暬?/p>

通過研究平面可視化算法和圖形顯現(xiàn)技術(shù)，達(dá)到顯示大規(guī)模網(wǎng)絡(luò)拓?fù)涞哪康?。顯示的大規(guī)模網(wǎng)絡(luò)拓?fù)湟逦⒚烙^，能夠準(zhǔn)確地反映出大規(guī)模網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

1.2.4? 國內(nèi)外的具體研究成果

以C&C協(xié)議的全面性、高效性和全面性為基礎(chǔ)，方濱興等[5]提出了兩種追蹤手段。（1）以僵尸網(wǎng)絡(luò)為主體，以滲透的方式加入僵尸網(wǎng)絡(luò)以求掌握僵尸網(wǎng)絡(luò)內(nèi)部的活動情況; （2）結(jié)合C&C協(xié)議，在可控環(huán)境中運行Sandbo，通過對其通信的內(nèi)容進(jìn)行審計，從而獲知僵尸網(wǎng)絡(luò)的活動。針對IRC僵尸網(wǎng)絡(luò)，Rajab[6]和Freiling等[7]通過Infiltrator滲入僵尸網(wǎng)絡(luò)記錄其內(nèi)部活動。Cho等[8]在自動獲取MegaD C&C協(xié)議的基礎(chǔ)上，通過Infiltrator對MegaD進(jìn)行長達(dá)4個月的追蹤。通過追蹤，不僅及時掌握了發(fā)送垃圾郵件相關(guān)指令和郵件模板，還結(jié)合Google Hacking獲得了MegaD完整的、演進(jìn)中拓?fù)浣Y(jié)構(gòu)。更進(jìn)一步，通過分析不同控制服務(wù)器的垃圾郵件策略，可以發(fā)現(xiàn)MegaD是被兩組不同控制者管理的。

2? ? 僵尸網(wǎng)絡(luò)檢測與追蹤解決方案

2.1? 僵尸網(wǎng)絡(luò)檢測子系統(tǒng)

如圖2所示，整個僵尸網(wǎng)絡(luò)檢測技術(shù)系統(tǒng)方案由3個子系統(tǒng)組成：分別為協(xié)議特征分析子系統(tǒng)、內(nèi)容和流量特征分析子系統(tǒng)及決策算法子系統(tǒng)。這3個部分相互協(xié)作、有機協(xié)調(diào)，共同完成對僵尸網(wǎng)絡(luò)的檢測。

2.1.1? 協(xié)議特征分析子系統(tǒng)

協(xié)議分析子系統(tǒng)主要功能是協(xié)議分析引擎在協(xié)議特征數(shù)據(jù)庫的輔助下，通過對路由節(jié)點數(shù)據(jù)的采集與分析，從中分析出僵尸網(wǎng)絡(luò)特用的協(xié)議，并把協(xié)議相關(guān)數(shù)據(jù)通過采集與預(yù)處理模塊做規(guī)范化處理后提交給決策算法子系統(tǒng)[9]。若在提供聊天服務(wù)的IRC協(xié)議中植入了Botnet，可以通過檢測路由節(jié)點那些不占用應(yīng)用資源但是消耗流量資源巨大的服務(wù)，符合這種性質(zhì)的大多數(shù)為非法的“僵尸”服務(wù)。

2.1.2? 內(nèi)容和流量特征分析子系統(tǒng)

內(nèi)容和流量分析子系統(tǒng)的主要功能是內(nèi)容和流量分析引擎在僵尸網(wǎng)絡(luò)數(shù)據(jù)樣本庫的輔助下，對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行內(nèi)容和流量分析，然后將分析得到的可疑數(shù)據(jù)提交給訓(xùn)練與自我學(xué)習(xí)模塊，進(jìn)而進(jìn)行數(shù)據(jù)挖掘處理，將數(shù)據(jù)挖掘與分析得到的結(jié)果提交給決策算法子系統(tǒng)。其中的僵尸網(wǎng)絡(luò)數(shù)據(jù)樣本庫主要是用來存儲已經(jīng)采集到的僵尸網(wǎng)絡(luò)通信內(nèi)容和流量特征，該樣本庫的內(nèi)容在檢測系統(tǒng)檢測過程中不斷得到更新與豐富，使該內(nèi)容和流量分析子系統(tǒng)能夠不斷適應(yīng)新的情況，檢測與發(fā)現(xiàn)新的僵尸網(wǎng)絡(luò)。

2.1.3? 決策算法子系統(tǒng)

決策算法子系統(tǒng)的主要功能是接收來自協(xié)議特征分析子系統(tǒng)和內(nèi)容、流量特征分析子系統(tǒng)的數(shù)據(jù)，通過決策算法模塊，采用神經(jīng)網(wǎng)絡(luò)與模糊數(shù)學(xué)技術(shù)，對兩個子系統(tǒng)提交的數(shù)據(jù)進(jìn)行檢測，這樣既可以在不依賴外部系統(tǒng)的前提下檢測加密以后的僵尸網(wǎng)絡(luò)，又能跨越僵尸網(wǎng)絡(luò)的惡意行為，在僵尸主機停滯狀態(tài)下檢測出僵尸網(wǎng)絡(luò)。特征提取會將非正常流量的數(shù)據(jù)特征存儲到僵尸網(wǎng)絡(luò)捕獲數(shù)據(jù)庫中，被僵尸網(wǎng)絡(luò)樣本庫使用[10]。

2.2? 僵尸網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)

如圖3所示，僵尸網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)由3個子系統(tǒng)組成，數(shù)據(jù)采集和探測子系統(tǒng)、中間層處理子系統(tǒng)和拓?fù)淝岸孙@示子系統(tǒng)。

2.2.1? 數(shù)據(jù)采集和探測子系統(tǒng)

數(shù)據(jù)采集和探測子系統(tǒng)的數(shù)據(jù)來源主要是由圖3中的多個僵尸網(wǎng)絡(luò)捕獲數(shù)據(jù)庫中的節(jié)點連接數(shù)據(jù)，經(jīng)過預(yù)處理和規(guī)范化模塊去噪后存入拓?fù)溥B接總表。由很多個路由節(jié)點捕獲到數(shù)據(jù)，聚集在一起組成一個大的數(shù)據(jù)倉庫，我們利用現(xiàn)有的數(shù)據(jù)挖掘技術(shù)，采用人工智能處理方式，提取出對拓?fù)滹@示有用的數(shù)據(jù)，大大提高了查詢的效率。

2.2.2? 中間層處理子系統(tǒng)研究

中間層處理子系統(tǒng)根據(jù)路徑總表及IP地理信息等輔助信息表生成相應(yīng)的拓?fù)溥B接關(guān)系表存放在拓?fù)湫畔熘衃11]。

2.2.3? 拓跋圖前段顯示子系統(tǒng)研究

拓?fù)湫畔熘写娣胖胁东@到的僵尸網(wǎng)絡(luò)中的傀儡主機和服務(wù)器，傀儡主機和傀儡主機之間，以及服務(wù)器和服務(wù)器之間的關(guān)系。拓?fù)滹@示模塊從拓?fù)湫畔熘刑崛⊥負(fù)溥B接信息，以中國地圖為背景，顯示這些點與線之間的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。同時可以顯示出僵尸網(wǎng)絡(luò)的層次結(jié)構(gòu)圖，這樣可以根據(jù)每個節(jié)點的度把所有節(jié)點分成傀儡主機、中心服務(wù)器和總控制機3種類型[12]，更有利于對僵尸網(wǎng)絡(luò)的反制和防御。

3? ? 結(jié)語

僵尸網(wǎng)絡(luò)以其靈活、高效和復(fù)雜的網(wǎng)絡(luò)攻擊特性，已經(jīng)對網(wǎng)絡(luò)購物的各個領(lǐng)域造成了巨大損失，這也是僵尸網(wǎng)絡(luò)在近幾年迅速成為網(wǎng)絡(luò)安全研究熱點的原因。本文首先深入剖析了僵尸網(wǎng)絡(luò)的產(chǎn)生及危害，進(jìn)而分析了以協(xié)議、內(nèi)容、流量為三大特征的分析檢測技術(shù)，深入探討了利用數(shù)據(jù)倉庫、數(shù)據(jù)挖掘以及大規(guī)模拓跋可視化為技術(shù)出發(fā)點的追蹤技術(shù)，總結(jié)了國內(nèi)外僵尸網(wǎng)絡(luò)的追蹤技術(shù)，并在總結(jié)僵尸網(wǎng)絡(luò)的演變規(guī)律的基礎(chǔ)上提出了一個基于路由節(jié)點的僵尸網(wǎng)絡(luò)檢測與追蹤解決方案，結(jié)合最新的僵尸網(wǎng)絡(luò)的研究，力圖提煉出僵尸網(wǎng)絡(luò)的未來研究方向，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)演化趨勢下的新技術(shù)。

[參考文獻(xiàn)]

[1]張蕾.僵尸網(wǎng)絡(luò)特性與發(fā)展研究分析[J].河西學(xué)院學(xué)報，2010（5）：76-80.

[2]王志，蔡亞運，劉露，等.基于覆蓋率分析的僵尸網(wǎng)絡(luò)控制命令發(fā)掘方法[J].通信學(xué)報，2014（1）：156-166.

[3]臧天寧，云曉春，張永錚，等.僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J].武漢大學(xué)報（信息科學(xué)版），2012（2）：247-251.

[4]王海龍，胡寧，龔正虎.Bot_CODA：僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J].武漢大學(xué)學(xué)報（信息科學(xué)版），2012（2）：247-251.

[5]方濱興，崔翔，王威.僵尸網(wǎng)絡(luò)綜述[J].計算機研究與發(fā)展，2011（8）：1315-1331.

[6]RAJAB M，ZARFOSS J，MONROSE F，et al.A multifaceted approach to understanding the botnet phenomenon[C]//New York： Proc of the 6th ACM SIGCOMM Conf on Internet Measurement.ACM，2006.

[7]FREILING F，HOLZ T，WICHERSKI G.Botnet tracking： Wxploring a root-cause methodology to prevent denial of service attacks[C]//Berlin：proc of the 10th European Symp on Research in Computer Security，2005.

[8]CHO C Y，CABALLERO J，GRIER C，et al.Insights from the inside，A view of botnet management from infiltration[C]// Berkeley：Proc of the 3rd USENIX Conf on Large-Scale Exploits and Emergent Threats： Botnets，Spyware，Worms and More，2010.

[9]江健，諸葛建偉，段海新，等.僵尸網(wǎng)絡(luò)機理與防御技術(shù)[J].軟件學(xué)報，2012（1）：82-96.

[10]李躍，翟立東，王宏霞，等.一種基于社交網(wǎng)絡(luò)的移動僵尸網(wǎng)絡(luò)研究[J].計算機研究與發(fā)展，2012（5）：1-8.

[11]蔣鴻玲，邵秀麗.基于神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測[J].智能系統(tǒng)學(xué)報，2013（2）：113-118.

[12]李光正，史定華.小世界網(wǎng)絡(luò)上隨機SIS模型分析[J].計算機工程，2009（12）：281-288.

（編輯 王雪芬）

Research on online shopping security technology based on Botnet tracking

Hu Bowen

（School of Computer Technology， Qingdao University， Qingdao 266071， China）

Abstract：With the development of the Internet and e-commerce platforms， online shopping has become an indispensable daily behavior in peoples social life. Botnets are an emerging Internet threat that is rapidly growing in number， size and level of harm and has put global networks into a new state of alert.Especially in the aspect of online shopping， Botnets are often used by criminals to launch network attacks on online shopping platforms. Many real cases show that using Botnet tracking technology to ensure the security of online shopping has become the focus of researchers engaged in the field of network security. In this paper， based on the current Botnet research technology， thus the Botnet detection and tracking technology are summarized and the summary， provide reference for the study of the academic field research， and for the network shopping platform in research， development and deployment in the routing node Botnet detection and tracking in real time monitoring system to lay the foundation.

Key words：Botnet; network security; detection technology; tracking technology; online shopping security