僵尸网络是由攻击者控制的大量被感染主机组成的恶意网络,已发展成为当今互联网所面临的最主要的安全威胁之一。攻击者利用僵尸网络作为平台,能轻而易举的发起诸如分布式拒绝服务攻击、发送大量垃圾邮件、窃取敏感信息等多种大规模恶意活动。早期的僵尸网络主要使用IRC(internet relay chat)和HTTP协议构建其命令与控制信道,存在单点失效等明显缺陷。随着P2P(peer-to-peer)技术被引入到僵尸网络中,基于P2P协议的僵尸网络在灵活性、健壮性和隐匿性等方面都得到了大大加强,因而威胁更大且更加难以被检测。本文从P2P流量识别与分类、P2P僵尸网络检测和针对性流量采样三方面循序渐进地对基于网络流量的P2P僵尸网络实时检测技术展开了研究。P2P流量的识别与分类为P2P僵尸网络的检测奠定基础,针对性流量采样则进一步提高P2P僵尸网络检测方法的实时性,并使其能适应于高速网络环境下的检测。论文主要工作及贡献如下:1)提出了基于簇流的P2P流量识别与分类方法。P2P应用产生的流量中往往包含大量基本属性相同的相似网络流,这些相似网络流由P2P网络的主要控制活动所产生,因此其出现是P2P流量存在的有力证据。本文将这些相似网络流定义为簇流,并基于此行为特征,提出了两种P2P流量识别与分类方法。第一种方法统计流量中簇流的出现次数,并设计评分函数计算评分值,从而实现P2P流量的识别与分类。第二种方法以簇流出现次数作为统计特征,并借助SVM(support vector machine)机器学习算法作为分类工具,实现了对P2P流量的实时识别与分类。此两种方法都仅需关注网络流的几个基本属性,而无需其它复杂的流量统计特征,也不会受到流量加密的影响。实验结果表明它们都能对P2P流量实现精确识别和细粒度分类,且分类精度高,分类速度快,具有实时性。2)提出了基于行为模式匹配的P2P僵尸网络实时检测方法PeerSorter。P2P僵尸网络也属于一种P2P网络,因此具有同合法P2P网络类似的簇流特征。基于以上思想,PeerSorter首先为各类P2P僵尸网络建立描述其网络行为模式的模式档案。在检测阶段,PeerSorter提取待检测网络流量的行为模式,将其与上述模式档案进行匹配,并设计匹配函数评估二者的匹配程度,最终得出检测结果。由于P2P网络簇流特征的普遍性,PeerSorter不仅能对P2P僵尸网络实现检测,还能检测各类合法的P2P应用。实验结果表明PeerSorter能精确地对各类P2P僵尸网络和合法P2P应用进行实时检测。3)提出了基于回访性的P2P僵尸网络实时检测方法PeerDigger。相对于合法P2P主机,P2P僵尸主机更喜欢重复访问相同的远端主机。本文将P2P僵尸主机的此行为特性定义为回访性。PeerDigger首先根据簇流特征检测出监控网络内所有的P2P主机,然后再根据上述回访性行为特性进一步检测出其中的P2P僵尸主机。与现有P2P僵尸网络检测方法相比,PeerDigger不依赖于对僵尸主机恶意活动的观测,也不依赖于多个僵尸主机的群组行为,因此能检测处于隐匿阶段或单独出现的P2P僵尸主机。实验结果表明PeerDigger能对P2P僵尸主机实现精确且实时的检测。4)提出了针对P2P僵尸网络检测的自适应流量采样方法T-Sampling。当前的网络流量规模,尤其是高速网络的流量规模,正给基于网络流量的P2P僵尸网络检测系统带来巨大挑战。T-Sampling能有效减少P2P僵尸网络检测系统所需要处理的网络报文数量,同时尽量保持其检测精度,以使其能适应于高速网络环境下的实时检测。T--Sampling首先从高速网络中尽快识别出少量潜在的P2P僵尸主机,然后在给定的目标采样率下,尽可能多地采集与P2P僵尸网络相关的网络报文。实验结果表明T--Sampling能大大提高采样后流量中P2P僵尸网络报文所占的比例,且采样后的流量对P2P僵尸网络检测系统的检测精度影响较小。