[发明专利]基于周期性通讯行为分析的P2P僵尸网络检测方法、系统

说明书

本发明公开了基于周期性通讯行为分析的P2P僵尸网络检测方法、系统，获取局域网内所有主机的网络流量并根据采集的网络流量识别出与P2P相关的网络流量；针对识别出的与P2P相关的网络流量，识别出数据流在线时间接近于底层操作系统运行时间的数据流，将上述数据进行周期性通讯行为检测识别出有周期性的数据流，所述有周期性的数据流所属的网络即为P2P僵尸网络。本发明检测多种情况下的P2P僵尸网络数据。即使一台主机既在运行正常的P2P应用程序，又在运行的P2P僵尸网络程序，它们产生的流量混在一起，该发明也能检测出该主机。

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及基于周期性通讯行为分析的P2P僵尸网络检测方法、系统。

背景技术

僵尸网络是由大量被病毒感染并由攻击者远程控制的机器组成的网络。受感染的机器被称为僵尸机。近年来，僵尸网络对互联网安全的威胁不断增加。僵尸网络构成了一个可以有效地发起各种各样攻击的攻击平台，这些网络攻击包括发送垃圾邮件，启动分布式拒绝服务攻击，执行点击欺诈和身份盗用。高度协调和大规模的攻击使得僵尸网络难以发现并屏蔽。

检测僵尸网络十分重要，因为它们已经成为网络世界的严重威胁。但是，设计一个有效的P2P僵尸网络检测系统面临着许多挑战。首先，一些僵尸机可能偷偷地进行恶意活动，其行为不易被发现。其次，受感染的主机可能同时运行合法的P2P应用程序，这导致了合法的流量和僵尸网络流量的混合。第三，网络流量的增长速度很快，这就要求检测系统能有效地处理大量的信息。

P2P僵尸网络越来越流行，导致大量的研究尝试追踪和屏蔽它们。P2P僵尸网络的检测机制可以分为两类：基于主机的方法和基于网络的方法。基于主机的方法操作类似于反病毒系统，检测主机系统中僵尸主机的活动，并且要求对所有主机单独进行监控，这在实际网络环境中是不切实际的，而基于网络的方法则依赖于被动监控网络流量。

基于网络的方法可以分为两类：基于流量特征的方法和基于组行为的方法。基于网络的方法由于相对容易部署而最受欢迎。

Coskun[B.Coskun,S.Dietrich,and N.Memon,“Friends of an enemy:identifying local members of peer-to-peer botnets using mutual contacts,”In26th Annual Computer Security Applications Conference,ACSAC 10,pages 131140,2010]等人提出了一种方法来识别僵尸机。该方法从已知的僵尸机开始逐步寻找网络中的非结构P2P僵尸网络的潜在成员。方该法的弱点在于它需要在检测之前知道网络中的一台僵尸机。

文献[G.Gu,V.Yegneswaran,P.Porras,et al.Active botnet probing toidentify obscure command and control channels[C].Computer SecurityApplications Conference,2009.ACSAC'09.Annual.IEEE,2009:241-253]提了一种名为BotProbe的主动探测方法，作者认为僵尸机在与CC服务器通信时有与众不同的特有的命令-响应模式，因此该方法会主动向被检测的主机发送特定的探测包来检测该主机是否为僵尸机。基于主动探测的僵尸网络检测方法能够有效并及时地检测网络中存在的僵尸机，但是该方法会增加网络链路的负担，造成网络拥堵，并且容易引起botmaster的注意从而更换僵尸网络的响应方式来绕过检测。