[发明专利]一种p2p_botnet实时检测方法及系统

说明书

技术领域：

本技术属于计算机安全领域，具体的说是在需要检测的网络内检测和发现p2p botnet是否存在以及存在于哪些主机的方法和系统。本发明亦涉及网络入侵检测系统(NIDS：Network Intrusion DetectionSystem)，所采用的方法可以与NIDS无缝集成。 

背景技术：

僵尸网络(botnet)是黑客出于某些恶意目的，传播僵尸程序(bot)来控制许多主机，并通过一对多的命令来控制僵尸程序所组成的网络。僵尸网络是从传统恶意代码包括病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化，并通过相互融合发展而成的目前最为复杂的攻击方式之一。由于为攻击者提供了隐匿、灵活且高效的控制机制，僵尸网络得到极大的发展，从而成为因特网最为严重的威胁之一。利用僵尸网络，攻击者可以方便的控制大量主机对因特网任意站点或者主机发起分布式拒绝服务攻击(DDOS)，并发送大量垃圾邮件，从受控主机上偷取敏感信息或进行点击欺诈以牟取经济利益。当前主要使用的僵尸网络命令与控制机制包括：基于IRC协议的命令与控制机制，基于HTTP协议的命令与控制机制，以及基于P2P协议的命令与控制机制这三大类。 

IRC协议是Internet早期使用的一种网络聊天协议，由于它提供了简单、低延迟、匿名的实时通信方式，因此在botnet发展初期，IRC协议很自然成为构建一对多命令与控制信道的主流协议。目前大部分研究都针对IRC协议的僵尸网络展开。HTTP协议则是近年来除IRC协议外的另一种流行的僵尸网络命令与控制协议，由于IRC协议已经是僵尸网络主流控制协议，研究机构更加关注监测IRC通信以检测其中隐藏的僵尸网络活动，使用HTTP协议构建控制信道则可以让僵尸网络控制流量隐藏在大量的Web通信中，从而使得基于HTTP协议的僵尸网络活动更难以被检测。 

基于IRC和HTTP协议的控制机制都具有集中控制点，这使得这种基于客户端-服务器架构的僵尸网络容易被跟踪、检测和反制，一旦防御者获得僵尸程序，他们就能很容易地发现僵尸网络控制器的位置，并使用监测和跟踪手段掌握僵尸网络的全局信息，通过关闭这些集中的僵尸网络控制器也能够比较容易地消除僵尸网络所带来的威胁。为了让僵尸网络更具韧性和隐蔽性，一些新型僵尸程序(例如Peacomm、Nugache、Sinit等)开始使用P2P协议构建其命令与控制机制。 

目前，由于IRC协议是僵尸网络的主流控制协议，所以大部分的相关研究工作都是关注IRC僵尸网络控制信道的检测。基于P2P协议的僵尸网络不具有集中式控制中心，并且具有极强的隐蔽性和个性化，目前各类机构针对p2p新型僵尸网络的检测方法的研究刚刚开始，对p2p僵尸网络的研究还主要停留在初始阶段。基于P2P协议的僵尸网络由于具有较强的分布性和隐蔽性，科研单位和安全机构还无法给出准确、高效、实时的检测方法，随着新型p2p僵尸网络近年来的不断发展，构建相关有效的检测方法将是一个重要的研究课题。发明人研究的以p2p技术为核心的新型p2p botnet检测方法与系统，具有准确、高效、实时等特点，能够防止待检网络更多主机感染p2p botnet，为快速响应新型p2p botnet攻击提供相关基础和应急策略。 

现在对p2p botnet的检测主要有两类方法： 

一、基于主机的检测方法。目前，各种杀病毒软件将各种p2p botnet及其变种当作木马或者病毒处理，主要采用特征码匹配技术或者恶意行为分析来检测各种僵尸程序。优点是对于大规模流行botnet能够相对及时发现并处理，缺点是对于智能变种botnet不能发现并处理，不能对远程控制主机进行报告和反制等，另外各种杀病毒软件能力不同、终端用户需要安全杀病毒软件、终端用户安全意识淡薄都影响僵尸程序的检测。 

二、基于网络的检测方法。该种方法主要针对网络流量数据进行分析，通过流量数据的异常特征来判断网络内主机是否感染p2p僵尸网络。目前该种方法按照实时性也可分为两种：一种是离线非实时检测，即预先收集一段时间内的网络流量数据，然后利用各种算法对离线数据进行分析与检测；另一种是在线实时检测，即实时监控待检网络，接收相关流量数据，对数据实时分析并检测，然 后报告疑似感染主机。实时检测与非实时检测相比，具有高效、快速检测、快速发现等特点，适合应用在安全等级较高的网络。本发明即为一种实时p2p botnet检测方法与系统。 

根据能检索到的文献记录，目前针对p2p botnet的离线非实时检测方法主要有：