基于HTTP协议的僵尸程序检测研究

作     者：杨智兴 

作者单位：安徽理工大学 

学位级别：硕士

导师姓名：方贤进

授予年度：2014年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：Bot BotDetection 树突细胞算法 僵尸网络 

摘      要：近年来,随着网络的普及,网络安全也面临着越来越大的威胁,各种木马病毒层出不穷。其中,僵尸网络在分布式拒绝服务攻击(DDoS)、垃圾邮件(Spam)、网络钓鱼(phishing)、蠕虫(1worm)传播、窃取敏感信息等方面有着特有的优势,成为网络安全的重大威胁之一。据国家互联网应急中心统计,在中国大陆有近74万台主机被僵尸网络控制着。 早期的僵尸网络都是使用IRC协议来构建其控制与命令信道,但是随着研究人员对基于IRC协议的Bot认识不断深入,基于IRC协议的Bot越来越难以生存,于是黑客们开始用更加复杂的P2P协议与HTTP协议构建命令与控制信道。 基于新协议的Bot大量出现,研究新的检测技术来发现Bot的问题迫在眉睫。在检测IRC Bot中使用的终端检测、网络流量分析检测等具有良好的检测性能。本文首先学习了僵尸网络方面的相关知识,对僵尸网络有了比较全面的了解,分析了HTTP Bot的行为;然后研究了DCA算法的原理及应用;最后研究了APIHOOK技术。在对以上三种知识有了比较全面的了解后,总结前人研究Bot检测的方法,给出了一种检测HTTP Bot的方法。方法描述如下：用API HOOK工具截获系统中特定函数的调用,这些函数通常是Bot为完成其功能所必须要调用的函数。在获得了函数的调用序列后,将其映射为DCA算法的输入信号,将产生函数调用的进程PID号映射为抗原,经过DCA算法处理后得到输出数据,根据输出数据计算M(CAV值,MCAV表示抗原的异常指标,将MCAV值与异常阀值进行比较,判断抗原是否异常。在异常指标方面,引入了新的异常指标MAC,并与MCAV进行比较。 通过实验将DCA应用于HTTP Bot的检测,实验结果表明能够在感染主机上发现其异常进程,同时还表明使用异常指标MAC比使用MCAV具有更低的误报率。