网站大量收购闲置独家精品文档,联系QQ:2885784924

关于僵尸程序劫持等应对策略的可行性分析.pdf

关于僵尸程序劫持等应对策略的可行性分析.pdf

  1. 1、本文档共56页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
关于僵尸程序劫持等应对策略的可行性分析

摘 要 关于僵尸程序劫持等应对策略的可行性分析 Robot network ,简称为Botnet ,国内称之为僵尸网络,是互联网发展到今天形成的 新型综合性攻击平台,它是由多个被植入bot程序(僵尸程序)的主机构成。从最初的基 于IRC方式扩展到P2P (peer-to-peer ,对等网络)方式,再到基于Http 以及DNS 的模式, botnet逐渐向简单化、模块化发展,拥有各种先进的木马程序、后门程序、隐藏痕迹的 rootkit ,手段越来越专业,防控越来越无力。也正因为如此,在信息化战争中,僵尸网 络已逐步成为各国信息安全部门竞相研究的一个课题。Botnet所带来的威胁是巨大的, 它的爆发性和隐蔽性,可以有效的发动各种规模的网络攻击,如DDOS 、窃取敏感信息、 利用垃圾邮件散播反动政治言论等等。 我国对僵尸网络的研究和监控始于2004年末,主要是CNCERT/CC和清华大学的 CCERT恶意代码研究项目组,军队目前还未有专门的研究机构。 研究表明,任何一个僵尸网络都有命令与控制信道,即C2信道(CommandControl Channel )。通过该信道,黑客可以对僵尸主机进行实时控制,按照C2模式的不同,一般 将僵尸网络区分为3大模式: (1)集中式僵尸网络; (2 )分布式僵尸网络; (3 )复合式僵尸网络。 本文综合运用文献研究、比较研究、实验分析、案例研究、信息搜集等方法,结合 当前国内外研究成果,将主流检测手段归纳为三种: (1)基于特征的僵尸网络检测技术; (2 )基于流量的僵尸网络检测技术; (3 )基于仿真的僵尸网络检测技术。 上述3种检测方法,主要集中在反向追踪来破坏CC (CommandControl,指挥与 控制)结构,从而达到瘫痪僵尸网络的目的。存在以下几个不足: 1、成本高昂:运行时开销监视网络通信量,开销空间存放数据包日志等。 2 、容易回避:各种反检测手段层出不穷。 I 3、无法彻底破坏清除僵尸网络结构,bot程序代码可重复使用,攻击者仅需修改CC 命令就可以提高被检测和反控制的能力。 此外,斩首行动(切除黑客和僵尸主机之间的联系)即使获得成功,也会在网络上 遗留大量的被感染主机,仍然会被其他的黑客捕捉,从而重新被控制,增加到新的更秘 密的僵尸网络中。 因此针对主流应对策略的优缺点,本文提出了僵尸网络劫持策略,即运用虚拟机技 术、蜜罐技术捕获bot程序,运用沙盘、OllDbg分析bot程序模块功能,逐步掌握它僵尸 程序生命周期中使用的反检测技术,从而进一步摸清代码结构和功能,对是否可以控制 僵尸网络进行可行性分析。 文章结论提出了一个构思,就是利用可劫持的僵尸网络为我们服务,发挥僵尸网络 的技术特点,充当网络机器警察的角色,主动寻找易被攻破的主机,植入漏洞更新程序、 恶意软件扫描模块等。 关键词: 僵尸网络,检测手段,代码劫持 II Abstract The feasibility analysis of zombies program hijacked Robot network, referred to as Botnet, domestic called zombie network, is the development of the Internet today to form new comprehensive attack platform, which is composed of a plurality of implanted BOT program ( bots

文档评论(0)

xy88118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档