基于行為特征分析的僵尸網(wǎng)絡檢測模型

曾品善

摘 要 本文分析了僵尸網(wǎng)絡所具有的明顯特性，提出了一種基于行為特征分析的僵尸網(wǎng)絡檢測模型，并從預處理層、行為特征分析層、綜合檢測層三個層次對該模型進行了介紹，給出了每一部分的具體功能。

關鍵詞 行為特征分析份 僵尸網(wǎng)絡

中圖分類號：TP393 文獻標識碼：A

所有僵尸網(wǎng)絡都具備兩個主要特點：第一是都有一個命令控制信道，通過這個信道，僵尸網(wǎng)絡控制者及其所操縱的僵尸傀儡可以進行相互間的交流以及命令的傳送；第二是都具有明顯的攻擊性，能夠依照控制者的命令進行各式各樣的攻擊。這兩個特點恰恰是僵尸網(wǎng)絡有別于其他惡意代碼或者病毒的關鍵。同一僵尸網(wǎng)絡中的所有僵尸節(jié)點均是由同一個命令控制信道聯(lián)系起來的，因此其在交流行為和惡意行為上所表現(xiàn)出的特征也具有一定的相似性。這正是基于行為特征分析的僵尸網(wǎng)絡檢測的理論依據(jù)。

1基于行為特征分析的僵尸網(wǎng)絡檢測流程

基于行為特征分析的僵尸網(wǎng)絡檢測可分為三個階段進行，即流量統(tǒng)計分析階段、行為特征分析階段和關聯(lián)分析階段。每個階段的基本過程如下：

（1）流量統(tǒng)計分析階段：收集待檢測的內網(wǎng)與其外部網(wǎng)絡之間的所有通信流，對傳輸方向由內向外的流進行分析記錄。

（2）行為特征分析階段：根據(jù)流分析紀錄，依據(jù)僵尸傀儡的相似性特征，使用聚類和特征模式匹配的方法，分別從交流行為特征和惡意行為特征兩個方面展開分析，得出分別在這兩方面具有相似性的主機群。

（3）對交流行為特征相似主機群和惡意行為特征相似主機群進行關聯(lián)分析，得出檢測結果。

2基于行為特征分析的僵尸網(wǎng)絡檢測模型

本文提出了一種基于行為特征分析的僵尸網(wǎng)絡檢測模型，其基本結構如圖1所示。

該模型共分為三個層次，即預處理層、行為特征分析層、綜合檢測層。可進一步細化為流過濾模塊、交流行為特征分析模塊、惡意行為特征分析模塊、關聯(lián)處理模塊四個部分。

預處理層被安置在網(wǎng)絡邊緣，一般應部署于網(wǎng)關，在內、外網(wǎng)絡的交界處。如此便能夠使得內、外網(wǎng)之間進行信息交互的所有流量都通過該層。對于本系統(tǒng)而言，檢測對象僅為TCP流，因此，流過濾模塊的主要任務是對通過的待檢測數(shù)據(jù)流進行預處理，將對于檢測沒有意義的其它流過濾掉，為系統(tǒng)整體工作減輕了壓力，提高了檢測效率。

行為特征分析層是本系統(tǒng)的核心部分，其中的交流行為特征分析模塊和惡意行為特征分析模塊并行工作來處理經(jīng)過上一層過濾的數(shù)據(jù)流。交流行為特征分析模塊按照一定規(guī)則對流經(jīng)的數(shù)據(jù)流的相關信息加以記錄，而后根據(jù)這些記錄展開聚類分析，進而確定交流行為特征相似的主機群。惡意行為特征分析模塊同樣是在監(jiān)控流經(jīng)的數(shù)據(jù)流的過程中，探尋異常行為的存在并對其相關信息加以記錄，然后從記錄中分析查找出惡意行為特征相似的主機群。

綜合檢測層為本系統(tǒng)的關鍵一層，它的存在直接使得本系統(tǒng)在檢測結果的準確性上有了質的飛躍，遠勝于其它針對單一特征的檢測手段。關聯(lián)處理模塊針對行為特征分析層得出的交流行為相似主機群和惡意行為相似主機群展開關聯(lián)分析，找出這兩個群中所存在的某種聯(lián)系，進而確定某個主機是某僵尸網(wǎng)絡的一份子，從而得出檢測結果。

參考文獻

[1] 王海龍，唐勇，龔正虎.僵尸網(wǎng)絡命令與控制信道的特征提取模型研究[J].計算機工程與科學，2013，52（03）：385-389.

[2] 成淑萍，譚良，黃彪等.僵尸網(wǎng)絡傳播模型分析[J].計算機工程與應用，2013，49（01）：107-111.endprint