论文部分内容阅读
现今因特网的威胁中,僵尸网络是一种危害性极高,且感染数量逐年上升的重大威胁之一。使用者的计算机如果被植入僵尸病毒,攻击者即可从远程下指令给所有被植入僵尸病毒的僵尸计算机。近年来,僵尸网络的演化迅速,从集中式控制的IRC僵尸网络、HTTP僵尸网络演化到分布式控制的P2P僵尸网络,这样的演进增加了检测的难度。新型的P2P僵尸网络应用P2P的传输架构,使得攻击者可以从任何一个P2P僵尸网络节点发送攻击指令,如此一来,原先对于集中式控制的僵尸网络的检测和防御有良好成效的机制,不能适用于P2P传输架构的僵尸网络的检测和防御。本文首先对僵尸网络进行了深入研究,分析了现有僵尸网络检测技术的优缺点,为研究工作提供参考方案。随后,针对一般常用的P2P软件和P2P僵尸病毒Peacomm进行了比较,分析了一般常用P2P软件的网络数据包与P2P僵尸病毒的网络数据包的差异性。以正常P2P软件与基于P2P技术的僵尸病毒在数据包上的差异性作为设计仿真程序基础。在仿真程序的基础上,针对P2P网络中的僵尸病毒设计了一个防御机制,该机制采用异常行为检测的方式,通过观察网络行为找出以P2P方式运用网络的主机程序,并监视这些程序在主机上的活动,当检测到可判定为异常行为的活动时,即设置防火墙对所有该程序的网络端口进行阻挡。经分析,在该方案中,由于存在错误检测的可能性,因此本研究针对该方案的不足之处对该检测机制进行了改进,改进后的检测机制根据主机上P2P通讯的活动迹象确定需观察的对象,由主机上的异常行为确认主机遭受P2P僵尸网络的毒害,并且准确地阻止P2P僵尸网络与受害者的通讯通道。本文完成了这个方法的实验,验证了这个入侵检测防御机制可行性。