基于僵尸網(wǎng)絡(luò)追蹤的網(wǎng)絡(luò)購(gòu)物安全技術(shù)研究

2021-09-26 03:23:42胡博文

無線互聯(lián)科技 2021年15期

胡博文

摘要：隨著互聯(lián)網(wǎng)和電子商務(wù)平臺(tái)的發(fā)展，網(wǎng)絡(luò)購(gòu)物已成為人們社會(huì)生活中的日常行為。僵尸網(wǎng)絡(luò)是一種新興的互聯(lián)網(wǎng)威脅，其數(shù)量、規(guī)模和危害級(jí)別正在迅速增長(zhǎng)，并已使全球網(wǎng)絡(luò)進(jìn)入新的警戒狀態(tài)。尤其是在網(wǎng)絡(luò)購(gòu)物方面，僵尸網(wǎng)絡(luò)常被不法分子利用而對(duì)網(wǎng)絡(luò)購(gòu)物平臺(tái)發(fā)起網(wǎng)絡(luò)攻擊。眾多真實(shí)的案例表明，利用僵尸網(wǎng)絡(luò)追蹤技術(shù)保障網(wǎng)絡(luò)購(gòu)物安全已成為從事網(wǎng)絡(luò)安全的研究人員所重點(diǎn)關(guān)注的領(lǐng)域。文章以當(dāng)前僵尸網(wǎng)絡(luò)的研究技術(shù)為基礎(chǔ)，進(jìn)而對(duì)僵尸網(wǎng)絡(luò)的檢測(cè)與追蹤技術(shù)進(jìn)行歸納與總結(jié)，為學(xué)該領(lǐng)域的研究提供借鑒，并為網(wǎng)絡(luò)購(gòu)物平臺(tái)日后在研制、開發(fā)和部署位于路由節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)檢測(cè)與追蹤實(shí)時(shí)監(jiān)控系統(tǒng)奠定基礎(chǔ)。

關(guān)鍵詞：僵尸網(wǎng)絡(luò);網(wǎng)絡(luò)安全;檢測(cè)技術(shù);追蹤技術(shù);網(wǎng)絡(luò)購(gòu)物安全

0? ? 引言

僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)具有隱匿、靈活的特點(diǎn)，并且可以高效地執(zhí)行一對(duì)多命令與控制機(jī)制，這些特點(diǎn)使得被攻擊者廣泛接受并使用于實(shí)現(xiàn)竊取敏感信息、發(fā)送分布式拒絕服務(wù)攻擊和發(fā)送垃圾郵件等攻擊目的[1]。從1999年被發(fā)現(xiàn)以來，僵尸網(wǎng)絡(luò)正在步入快速發(fā)展期，并已對(duì)網(wǎng)絡(luò)購(gòu)物安全造成了嚴(yán)重威脅，其特點(diǎn)如下。

（1）當(dāng)下的網(wǎng)絡(luò)購(gòu)物平臺(tái)擁有數(shù)量龐大的用戶規(guī)模，并且用戶具有高度分散等特點(diǎn)，這也為僵尸網(wǎng)絡(luò)提供了非常便利的條件將自己產(chǎn)生的非法流量隱藏在用戶產(chǎn)生的合法海量流量中。

（2）在當(dāng)前的電子商務(wù)中，商家會(huì)根據(jù)用戶的瀏覽興趣、習(xí)慣與關(guān)系進(jìn)行歸類分組，這也使得社交僵尸網(wǎng)絡(luò)竊取用戶的個(gè)人信息與傳播過程變得更加方便。

（3）當(dāng)下的網(wǎng)絡(luò)購(gòu)物平臺(tái)普遍具有開放性，這使得網(wǎng)絡(luò)上的惡意用戶可以利用平臺(tái)的開放性進(jìn)行欺騙，或誘惑性地使普通用戶安裝下載攻擊性程序。

（4）此外，因?yàn)榫W(wǎng)絡(luò)購(gòu)物平臺(tái)具有不會(huì)關(guān)閉的特點(diǎn)，使得僵尸網(wǎng)絡(luò)可以長(zhǎng)期生存在平臺(tái)上，并且不易被查殺，隨著時(shí)間的累積，僵尸網(wǎng)絡(luò)的規(guī)模將逐漸擴(kuò)大。

本文以當(dāng)前僵尸網(wǎng)絡(luò)的研究技術(shù)為基礎(chǔ)，對(duì)僵尸網(wǎng)絡(luò)國(guó)內(nèi)外的檢測(cè)與追蹤技術(shù)進(jìn)行了歸納與總結(jié)，分析了以協(xié)議、內(nèi)容、流量為三大特征的分析檢測(cè)技術(shù)，深入探討了利用數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)挖掘以及大規(guī)模拓跋可視化為技術(shù)出發(fā)點(diǎn)的追蹤技術(shù)，并在總結(jié)僵尸網(wǎng)絡(luò)演變規(guī)律的基礎(chǔ)上提出了一個(gè)基于路由節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)檢測(cè)與追蹤解決方案。對(duì)僵尸網(wǎng)絡(luò)進(jìn)行檢測(cè)與追蹤的相關(guān)技術(shù)研究如圖1所示。

1? ? 相關(guān)研究

1.1? 僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究

1.1.1? 僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)

要想在路由節(jié)點(diǎn)上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)購(gòu)物中僵尸網(wǎng)絡(luò)快速、準(zhǔn)確的檢測(cè)，首先就必須研究在路由節(jié)點(diǎn)對(duì)僵尸網(wǎng)絡(luò)進(jìn)行基于協(xié)議特征的檢測(cè)、基于內(nèi)容特征的檢測(cè)和基于流量特征的檢測(cè)。

（1）基于協(xié)議特征的檢測(cè)。目前，僵尸網(wǎng)絡(luò)主要利用IRC，HTTP和P2P3種協(xié)議進(jìn)行命令的傳輸和攻擊控制，研究這3種不同的協(xié)議在命令傳輸和攻擊過程中的不同特征，尤其要研究在路由節(jié)點(diǎn)上呈現(xiàn)出的協(xié)議特征來檢測(cè)僵尸網(wǎng)絡(luò)的爆發(fā)。

（2）基于內(nèi)容特征的檢測(cè)?；诼酚晒?jié)點(diǎn)，對(duì)僵尸網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的特征進(jìn)行研究。通過監(jiān)控路由節(jié)點(diǎn)中的數(shù)據(jù)內(nèi)容，分析并總結(jié)僵尸網(wǎng)絡(luò)在傳播、加入、控制3個(gè)階段產(chǎn)生的數(shù)據(jù)內(nèi)容的規(guī)律和特性，達(dá)到透徹了解僵尸網(wǎng)絡(luò)在路由節(jié)點(diǎn)的數(shù)據(jù)內(nèi)容特征的目的。

（3）基于流量特征的檢測(cè)?；诼酚晒?jié)點(diǎn)，對(duì)僵尸網(wǎng)絡(luò)流量變化的特征進(jìn)行研究。通過監(jiān)控路由節(jié)點(diǎn)中的流量數(shù)據(jù)，分析并總結(jié)僵尸網(wǎng)絡(luò)中僵尸主機(jī)與僵尸服務(wù)器的特性所產(chǎn)生的流量數(shù)據(jù)的規(guī)律和特性，達(dá)到透徹了解僵尸網(wǎng)絡(luò)在路由節(jié)點(diǎn)的流量特征的目的。

在此基礎(chǔ)上，需要進(jìn)行如下技術(shù)研究：

（1）不同的僵尸網(wǎng)絡(luò)在協(xié)議特征、內(nèi)容特征和流量特征上也具有很大的差異，所以需要研究這3種檢測(cè)方法對(duì)不同的僵尸網(wǎng)絡(luò)檢測(cè)的速度和準(zhǔn)確性。

（2）研究這3種檢測(cè)方法對(duì)路由節(jié)點(diǎn)的性能和網(wǎng)絡(luò)速度造成的影響。這3種檢測(cè)方法都是基于路由節(jié)點(diǎn)的，可能會(huì)架設(shè)在主干網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)上，需要研究網(wǎng)絡(luò)流量較大時(shí)對(duì)檢測(cè)效率和網(wǎng)絡(luò)延時(shí)的影響。

（3）研究如何在檢測(cè)效率和對(duì)網(wǎng)絡(luò)的影響之間找到平衡點(diǎn)，實(shí)現(xiàn)在對(duì)網(wǎng)絡(luò)速度影響盡可能小的情況下，達(dá)到對(duì)僵尸網(wǎng)絡(luò)快速、準(zhǔn)確檢測(cè)的目的。

1.1.2? 國(guó)內(nèi)外的具體研究成果

王志等[2]在對(duì)bot程序執(zhí)行軌跡進(jìn)行分析的基礎(chǔ)上，提出了一種發(fā)掘僵尸網(wǎng)絡(luò)控制命令集合的方法，對(duì)bot程序覆蓋率特征進(jìn)行分析，獲得其執(zhí)行軌跡，進(jìn)而實(shí)現(xiàn)僵尸網(wǎng)絡(luò)控制命令空間的發(fā)掘;臧天寧等[3]對(duì)已知僵尸網(wǎng)絡(luò)內(nèi)部通信行為進(jìn)行特征提取，并利用這些特征定義云模型，進(jìn)而分析判斷已知bot主機(jī)群的隸屬關(guān)系;在協(xié)同檢測(cè)方面，王海龍等[4]提出的協(xié)同檢測(cè)模型可以在信息、特性和決策3個(gè)層次進(jìn)行協(xié)同，臧天寧等[3]提出的協(xié)同檢測(cè)模型可以分析各種安全事件之間隱藏的關(guān)聯(lián)關(guān)系，即使它們發(fā)送的地理位置不同、時(shí)間段不同。

1.2? 僵尸網(wǎng)絡(luò)追蹤技術(shù)研究

僵尸網(wǎng)絡(luò)的追蹤技術(shù)是為了了解僵尸網(wǎng)絡(luò)內(nèi)部的活動(dòng)過程，以便對(duì)僵尸網(wǎng)絡(luò)的對(duì)抗環(huán)節(jié)變得有目的而為。本文分析總結(jié)了國(guó)內(nèi)外近幾年較為流行的追蹤技術(shù)，在對(duì)比分析的基礎(chǔ)上推演僵尸網(wǎng)絡(luò)的演變規(guī)律，最終提出一套安全、穩(wěn)定、高效的研究方案。

1.2.1? 數(shù)據(jù)倉(cāng)庫(kù)技術(shù)

數(shù)據(jù)（倉(cāng)）庫(kù)系統(tǒng)一般都是大型應(yīng)用系統(tǒng)的核心系統(tǒng)之一，其運(yùn)行效率直接影響整個(gè)應(yīng)用系統(tǒng)的效率。在整個(gè)應(yīng)用系統(tǒng)的軟件結(jié)構(gòu)中，數(shù)據(jù)（倉(cāng)）庫(kù)好比整個(gè)系統(tǒng)的“咽喉”，它負(fù)責(zé)從底層分布的數(shù)據(jù)源提取整個(gè)網(wǎng)絡(luò)中所有的關(guān)鍵業(yè)務(wù)數(shù)據(jù)并向上層應(yīng)用界面提供實(shí)時(shí)、可靠與全面的數(shù)據(jù)支持。在基于路由節(jié)點(diǎn)的拓?fù)渲?，在路由?jié)點(diǎn)上要捕獲大量的數(shù)據(jù)，對(duì)于一個(gè)大型網(wǎng)絡(luò)來說，會(huì)存在成千上萬個(gè)節(jié)點(diǎn)，這些節(jié)點(diǎn)之間的連接關(guān)系要保存在數(shù)據(jù)庫(kù)中，將會(huì)有巨大的數(shù)據(jù)量，所以必須使用數(shù)據(jù)倉(cāng)庫(kù)技術(shù)合理、有效地保存這些數(shù)據(jù)。

要構(gòu)建一個(gè)數(shù)據(jù)倉(cāng)庫(kù)存儲(chǔ)拓?fù)鋽?shù)據(jù)，就必須合理設(shè)計(jì)數(shù)據(jù)倉(cāng)庫(kù)中的各種表，選擇是基于維度模型還是基于雪花模型。通過研究數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，能夠更好地組織在關(guān)鍵路由節(jié)點(diǎn)所收集到的數(shù)據(jù)，為下一步數(shù)據(jù)挖掘提供有力的數(shù)據(jù)支撐。

1.2.2? 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)（Data Mining）是一個(gè)近幾年快速成長(zhǎng)的領(lǐng)域，又稱從數(shù)據(jù)中發(fā)現(xiàn)知識(shí)（KDD）。它的功能就是從海量數(shù)據(jù)中分析獲取那些有效的、新穎的、具有潛在價(jià)值的過程，并且把這種知識(shí)發(fā)現(xiàn)的過程轉(zhuǎn)化為最終可理解模式的非平凡過程。根據(jù)數(shù)據(jù)挖掘的應(yīng)用領(lǐng)域不同，可以將數(shù)據(jù)挖掘模型分為分類模型、關(guān)聯(lián)模型、順序模型、聚簇模型、孤立點(diǎn)分析和演變分析等。在實(shí)現(xiàn)過程中，數(shù)據(jù)挖掘包括數(shù)據(jù)清理、數(shù)據(jù)集成、數(shù)據(jù)選擇、數(shù)據(jù)變換、數(shù)據(jù)挖掘、模型評(píng)估、知識(shí)展示等幾個(gè)步驟。

隨著數(shù)據(jù)處理能力和數(shù)據(jù)挖掘技術(shù)水平的不斷提升，人們現(xiàn)在可以快速地從海量數(shù)據(jù)中挖掘分析出對(duì)自己有用的信息與知識(shí)。在大規(guī)模網(wǎng)絡(luò)的拓?fù)渲?，路由?jié)點(diǎn)在網(wǎng)絡(luò)中采集到了大量的路由信息，而這其中就夾雜著很多錯(cuò)誤、重復(fù)的路由信息。通過對(duì)采集到的各種路由數(shù)據(jù)進(jìn)行分析，找出其特征并結(jié)合目前世界上數(shù)據(jù)挖掘的主流技術(shù)，參照現(xiàn)存的各種數(shù)據(jù)挖掘算法，設(shè)計(jì)出一種合適的算法，能夠根據(jù)數(shù)據(jù)倉(cāng)庫(kù)提供的各種拓?fù)鋽?shù)據(jù)，準(zhǔn)確、高效地從原始數(shù)據(jù)中提取出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，為上層模塊功能的實(shí)現(xiàn)提供保障。

1.2.3? 大規(guī)模網(wǎng)絡(luò)拓?fù)淇梢暬夹g(shù)

平面可視化就是結(jié)合平面的全面性和可視化的可視性反映網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)。全面性是指能夠在平面上看到拓?fù)鋱D的所有點(diǎn)和邊，要求點(diǎn)和邊布局在平面上時(shí)不允許出現(xiàn)覆蓋。可視性是指要使點(diǎn)和邊的布局能夠使拓?fù)鋱D的顯示具有清晰美觀的效果。對(duì)于規(guī)模很大的網(wǎng)絡(luò)，點(diǎn)和邊的個(gè)數(shù)可能達(dá)到數(shù)十萬個(gè)，其連接關(guān)系非常復(fù)雜。為此，基于分治法分解問題，解決子問題，把子問題解組合為原問題的解的模式，首先把大規(guī)模的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分割成一些規(guī)模小的網(wǎng)絡(luò)，然后將其逐一平面可視化，再通過對(duì)子圖的布局把子圖組合成一張完整的圖，實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)拓?fù)涞钠矫婵梢暬?/p>

通過研究平面可視化算法和圖形顯現(xiàn)技術(shù)，達(dá)到顯示大規(guī)模網(wǎng)絡(luò)拓?fù)涞哪康?。顯示的大規(guī)模網(wǎng)絡(luò)拓?fù)湟逦?、美觀，能夠準(zhǔn)確地反映出大規(guī)模網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

1.2.4? 國(guó)內(nèi)外的具體研究成果

以C&C協(xié)議的全面性、高效性和全面性為基礎(chǔ)，方濱興等[5]提出了兩種追蹤手段。（1）以僵尸網(wǎng)絡(luò)為主體，以滲透的方式加入僵尸網(wǎng)絡(luò)以求掌握僵尸網(wǎng)絡(luò)內(nèi)部的活動(dòng)情況; （2）結(jié)合C&C協(xié)議，在可控環(huán)境中運(yùn)行Sandbo，通過對(duì)其通信的內(nèi)容進(jìn)行審計(jì)，從而獲知僵尸網(wǎng)絡(luò)的活動(dòng)。針對(duì)IRC僵尸網(wǎng)絡(luò)，Rajab[6]和Freiling等[7]通過Infiltrator滲入僵尸網(wǎng)絡(luò)記錄其內(nèi)部活動(dòng)。Cho等[8]在自動(dòng)獲取MegaD C&C協(xié)議的基礎(chǔ)上，通過Infiltrator對(duì)MegaD進(jìn)行長(zhǎng)達(dá)4個(gè)月的追蹤。通過追蹤，不僅及時(shí)掌握了發(fā)送垃圾郵件相關(guān)指令和郵件模板，還結(jié)合Google Hacking獲得了MegaD完整的、演進(jìn)中拓?fù)浣Y(jié)構(gòu)。更進(jìn)一步，通過分析不同控制服務(wù)器的垃圾郵件策略，可以發(fā)現(xiàn)MegaD是被兩組不同控制者管理的。

2? ? 僵尸網(wǎng)絡(luò)檢測(cè)與追蹤解決方案

2.1? 僵尸網(wǎng)絡(luò)檢測(cè)子系統(tǒng)

如圖2所示，整個(gè)僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)系統(tǒng)方案由3個(gè)子系統(tǒng)組成：分別為協(xié)議特征分析子系統(tǒng)、內(nèi)容和流量特征分析子系統(tǒng)及決策算法子系統(tǒng)。這3個(gè)部分相互協(xié)作、有機(jī)協(xié)調(diào)，共同完成對(duì)僵尸網(wǎng)絡(luò)的檢測(cè)。

2.1.1? 協(xié)議特征分析子系統(tǒng)

協(xié)議分析子系統(tǒng)主要功能是協(xié)議分析引擎在協(xié)議特征數(shù)據(jù)庫(kù)的輔助下，通過對(duì)路由節(jié)點(diǎn)數(shù)據(jù)的采集與分析，從中分析出僵尸網(wǎng)絡(luò)特用的協(xié)議，并把協(xié)議相關(guān)數(shù)據(jù)通過采集與預(yù)處理模塊做規(guī)范化處理后提交給決策算法子系統(tǒng)[9]。若在提供聊天服務(wù)的IRC協(xié)議中植入了Botnet，可以通過檢測(cè)路由節(jié)點(diǎn)那些不占用應(yīng)用資源但是消耗流量資源巨大的服務(wù)，符合這種性質(zhì)的大多數(shù)為非法的“僵尸”服務(wù)。

2.1.2? 內(nèi)容和流量特征分析子系統(tǒng)

內(nèi)容和流量分析子系統(tǒng)的主要功能是內(nèi)容和流量分析引擎在僵尸網(wǎng)絡(luò)數(shù)據(jù)樣本庫(kù)的輔助下，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行內(nèi)容和流量分析，然后將分析得到的可疑數(shù)據(jù)提交給訓(xùn)練與自我學(xué)習(xí)模塊，進(jìn)而進(jìn)行數(shù)據(jù)挖掘處理，將數(shù)據(jù)挖掘與分析得到的結(jié)果提交給決策算法子系統(tǒng)。其中的僵尸網(wǎng)絡(luò)數(shù)據(jù)樣本庫(kù)主要是用來存儲(chǔ)已經(jīng)采集到的僵尸網(wǎng)絡(luò)通信內(nèi)容和流量特征，該樣本庫(kù)的內(nèi)容在檢測(cè)系統(tǒng)檢測(cè)過程中不斷得到更新與豐富，使該內(nèi)容和流量分析子系統(tǒng)能夠不斷適應(yīng)新的情況，檢測(cè)與發(fā)現(xiàn)新的僵尸網(wǎng)絡(luò)。

2.1.3? 決策算法子系統(tǒng)

決策算法子系統(tǒng)的主要功能是接收來自協(xié)議特征分析子系統(tǒng)和內(nèi)容、流量特征分析子系統(tǒng)的數(shù)據(jù)，通過決策算法模塊，采用神經(jīng)網(wǎng)絡(luò)與模糊數(shù)學(xué)技術(shù)，對(duì)兩個(gè)子系統(tǒng)提交的數(shù)據(jù)進(jìn)行檢測(cè)，這樣既可以在不依賴外部系統(tǒng)的前提下檢測(cè)加密以后的僵尸網(wǎng)絡(luò)，又能跨越僵尸網(wǎng)絡(luò)的惡意行為，在僵尸主機(jī)停滯狀態(tài)下檢測(cè)出僵尸網(wǎng)絡(luò)。特征提取會(huì)將非正常流量的數(shù)據(jù)特征存儲(chǔ)到僵尸網(wǎng)絡(luò)捕獲數(shù)據(jù)庫(kù)中，被僵尸網(wǎng)絡(luò)樣本庫(kù)使用[10]。

2.2? 僵尸網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)

如圖3所示，僵尸網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)由3個(gè)子系統(tǒng)組成，數(shù)據(jù)采集和探測(cè)子系統(tǒng)、中間層處理子系統(tǒng)和拓?fù)淝岸孙@示子系統(tǒng)。

2.2.1? 數(shù)據(jù)采集和探測(cè)子系統(tǒng)

數(shù)據(jù)采集和探測(cè)子系統(tǒng)的數(shù)據(jù)來源主要是由圖3中的多個(gè)僵尸網(wǎng)絡(luò)捕獲數(shù)據(jù)庫(kù)中的節(jié)點(diǎn)連接數(shù)據(jù)，經(jīng)過預(yù)處理和規(guī)范化模塊去噪后存入拓?fù)溥B接總表。由很多個(gè)路由節(jié)點(diǎn)捕獲到數(shù)據(jù)，聚集在一起組成一個(gè)大的數(shù)據(jù)倉(cāng)庫(kù)，我們利用現(xiàn)有的數(shù)據(jù)挖掘技術(shù)，采用人工智能處理方式，提取出對(duì)拓?fù)滹@示有用的數(shù)據(jù)，大大提高了查詢的效率。

2.2.2? 中間層處理子系統(tǒng)研究

中間層處理子系統(tǒng)根據(jù)路徑總表及IP地理信息等輔助信息表生成相應(yīng)的拓?fù)溥B接關(guān)系表存放在拓?fù)湫畔?kù)中[11]。

2.2.3? 拓跋圖前段顯示子系統(tǒng)研究

拓?fù)湫畔?kù)中存放著所有捕獲到的僵尸網(wǎng)絡(luò)中的傀儡主機(jī)和服務(wù)器，傀儡主機(jī)和傀儡主機(jī)之間，以及服務(wù)器和服務(wù)器之間的關(guān)系。拓?fù)滹@示模塊從拓?fù)湫畔?kù)中提取拓?fù)溥B接信息，以中國(guó)地圖為背景，顯示這些點(diǎn)與線之間的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。同時(shí)可以顯示出僵尸網(wǎng)絡(luò)的層次結(jié)構(gòu)圖，這樣可以根據(jù)每個(gè)節(jié)點(diǎn)的度把所有節(jié)點(diǎn)分成傀儡主機(jī)、中心服務(wù)器和總控制機(jī)3種類型[12]，更有利于對(duì)僵尸網(wǎng)絡(luò)的反制和防御。

3? ? 結(jié)語

僵尸網(wǎng)絡(luò)以其靈活、高效和復(fù)雜的網(wǎng)絡(luò)攻擊特性，已經(jīng)對(duì)網(wǎng)絡(luò)購(gòu)物的各個(gè)領(lǐng)域造成了巨大損失，這也是僵尸網(wǎng)絡(luò)在近幾年迅速成為網(wǎng)絡(luò)安全研究熱點(diǎn)的原因。本文首先深入剖析了僵尸網(wǎng)絡(luò)的產(chǎn)生及危害，進(jìn)而分析了以協(xié)議、內(nèi)容、流量為三大特征的分析檢測(cè)技術(shù)，深入探討了利用數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)挖掘以及大規(guī)模拓跋可視化為技術(shù)出發(fā)點(diǎn)的追蹤技術(shù)，總結(jié)了國(guó)內(nèi)外僵尸網(wǎng)絡(luò)的追蹤技術(shù)，并在總結(jié)僵尸網(wǎng)絡(luò)的演變規(guī)律的基礎(chǔ)上提出了一個(gè)基于路由節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)檢測(cè)與追蹤解決方案，結(jié)合最新的僵尸網(wǎng)絡(luò)的研究，力圖提煉出僵尸網(wǎng)絡(luò)的未來研究方向，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)演化趨勢(shì)下的新技術(shù)。

[參考文獻(xiàn)]

[1]張蕾.僵尸網(wǎng)絡(luò)特性與發(fā)展研究分析[J].河西學(xué)院學(xué)報(bào)，2010（5）：76-80.

[2]王志，蔡亞運(yùn)，劉露，等.基于覆蓋率分析的僵尸網(wǎng)絡(luò)控制命令發(fā)掘方法[J].通信學(xué)報(bào)，2014（1）：156-166.

[3]臧天寧，云曉春，張永錚，等.僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J].武漢大學(xué)報(bào)（信息科學(xué)版），2012（2）：247-251.

[4]王海龍，胡寧，龔正虎.Bot_CODA：僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J].武漢大學(xué)學(xué)報(bào)（信息科學(xué)版），2012（2）：247-251.

[5]方濱興，崔翔，王威.僵尸網(wǎng)絡(luò)綜述[J].計(jì)算機(jī)研究與發(fā)展，2011（8）：1315-1331.

[6]RAJAB M，ZARFOSS J，MONROSE F，et al.A multifaceted approach to understanding the botnet phenomenon[C]//New York： Proc of the 6th ACM SIGCOMM Conf on Internet Measurement.ACM，2006.

[7]FREILING F，HOLZ T，WICHERSKI G.Botnet tracking： Wxploring a root-cause methodology to prevent denial of service attacks[C]//Berlin：proc of the 10th European Symp on Research in Computer Security，2005.

[8]CHO C Y，CABALLERO J，GRIER C，et al.Insights from the inside，A view of botnet management from infiltration[C]// Berkeley：Proc of the 3rd USENIX Conf on Large-Scale Exploits and Emergent Threats： Botnets，Spyware，Worms and More，2010.

[9]江健，諸葛建偉，段海新，等.僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J].軟件學(xué)報(bào)，2012（1）：82-96.

[10]李躍，翟立東，王宏霞，等.一種基于社交網(wǎng)絡(luò)的移動(dòng)僵尸網(wǎng)絡(luò)研究[J].計(jì)算機(jī)研究與發(fā)展，2012（5）：1-8.

[11]蔣鴻玲，邵秀麗.基于神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)[J].智能系統(tǒng)學(xué)報(bào)，2013（2）：113-118.

[12]李光正，史定華.小世界網(wǎng)絡(luò)上隨機(jī)SIS模型分析[J].計(jì)算機(jī)工程，2009（12）：281-288.

（編輯王雪芬）

Research on online shopping security technology based on Botnet tracking

Hu Bowen

（School of Computer Technology， Qingdao University， Qingdao 266071， China）

Abstract：With the development of the Internet and e-commerce platforms， online shopping has become an indispensable daily behavior in peoples social life. Botnets are an emerging Internet threat that is rapidly growing in number， size and level of harm and has put global networks into a new state of alert.Especially in the aspect of online shopping， Botnets are often used by criminals to launch network attacks on online shopping platforms. Many real cases show that using Botnet tracking technology to ensure the security of online shopping has become the focus of researchers engaged in the field of network security. In this paper， based on the current Botnet research technology， thus the Botnet detection and tracking technology are summarized and the summary， provide reference for the study of the academic field research， and for the network shopping platform in research， development and deployment in the routing node Botnet detection and tracking in real time monitoring system to lay the foundation.

Key words：Botnet; network security; detection technology; tracking technology; online shopping security