【摘要】：從僵尸程序執(zhí)行軌跡對(duì)二進(jìn)制代碼塊的覆蓋規(guī)律出發(fā),提出了一種僵尸網(wǎng)絡(luò)控制命令發(fā)掘方法。通過分析執(zhí)行軌跡對(duì)代碼塊的覆蓋率特征實(shí)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)控制命令空間的發(fā)掘,根據(jù)代碼空間是否被全覆蓋來驗(yàn)證發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)命令空間的全面性。對(duì)僵尸網(wǎng)絡(luò)Zeus、SdBot、AgoBot的執(zhí)行軌跡進(jìn)行了代碼塊覆蓋率分析,結(jié)果表明,該方法能夠快速準(zhǔn)確地發(fā)掘出僵尸網(wǎng)絡(luò)的控制命令集合,時(shí)間和空間開銷小,且該命令集合所對(duì)應(yīng)的執(zhí)行軌跡可以覆蓋僵尸程序95%以上的代碼空間。
[Abstract]:In this paper, a botnet control command mining method is proposed based on the coverage of binary code block by the execution trajectory of zombie program. The botnet control command space is excavated by analyzing the coverage characteristics of the execution track to the code block, and the comprehensiveness of the discovered botnet command space is verified according to whether the code space is completely covered or not. The block coverage of the execution trajectory of botnet Zeus,SdBot,AgoBot is analyzed. The results show that the proposed method can quickly and accurately discover the set of control commands of botnet with little time and space overhead. And the execution trajectory corresponding to the command set can cover more than 95% of the code space of the zombie program.
【作者單位】： 南開大學(xué)計(jì)算機(jī)與控制工程學(xué)院;
【基金】：國(guó)家自然科學(xué)基金資助項(xiàng)目(61300242,61272423,60973141) 國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(“973”計(jì)劃)基金資助項(xiàng)目(2013CB834204) 中央高�；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)基金資助項(xiàng)目(65121012) 南開大學(xué)—騰訊聯(lián)合基金資助項(xiàng)目(2011-11)~~
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 劉豫;王明華;蘇璞睿;馮登國(guó);;基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼通信協(xié)議逆向分析方法[J];電子學(xué)報(bào);2012年04期

2 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究進(jìn)展[J];計(jì)算機(jī)研究與發(fā)展;2010年12期

3 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計(jì)算機(jī)研究與發(fā)展;2011年08期

4 金鑫;李潤(rùn)恒;甘亮;李政儀;;基于通信特征曲線動(dòng)態(tài)時(shí)間彎曲距離的IRC僵尸網(wǎng)絡(luò)同源判別方法[J];計(jì)算機(jī)研究與發(fā)展;2012年03期

5 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測(cè)[J];計(jì)算機(jī)學(xué)報(bào);2009年10期

6 王天佐;王懷民;劉波;史佩昌;;僵尸網(wǎng)絡(luò)中的關(guān)鍵問題[J];計(jì)算機(jī)學(xué)報(bào);2012年06期

7 王志;賈春福;魯凱;;基于環(huán)境敏感分析的惡意代碼脫殼方法[J];計(jì)算機(jī)學(xué)報(bào);2012年04期

8 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報(bào);2008年03期

9 江健;諸葛建偉;段海新;吳建平;;僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J];軟件學(xué)報(bào);2012年01期

10 應(yīng)凌云;楊軼;馮登國(guó);蘇璞睿;;惡意軟件網(wǎng)絡(luò)協(xié)議的語(yǔ)法和行為語(yǔ)義分析方法[J];軟件學(xué)報(bào);2011年07期

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈利香;;僵尸網(wǎng)絡(luò)傳播模式分析和防治對(duì)策[J];常州工學(xué)院學(xué)報(bào);2008年06期

2 陸軍;杜蕾;;DDoS攻擊中傀儡機(jī)動(dòng)態(tài)分布策略研究[J];智能計(jì)算機(jī)與應(yīng)用;2011年05期

3 王永澤;熊家軍;;用于混合型P2P僵尸網(wǎng)絡(luò)的列表路由改進(jìn)算法[J];電腦編程技巧與維護(hù);2011年02期

4 張宇翔;孫繼銀;;基于HoneyNet的軍事信息網(wǎng)絡(luò)主動(dòng)防御能力實(shí)現(xiàn)[J];電腦與信息技術(shù);2008年05期

5 肖斌;張焱;汪永益;;基于蠕蟲的大規(guī)模BotNet傳播與控制研究[J];電腦與信息技術(shù);2009年03期

6 賈花萍;;僵尸網(wǎng)絡(luò)的危害及其應(yīng)對(duì)策略[J];電腦知識(shí)與技術(shù);2008年04期

7 梁其川;吳禮發(fā);;一種新穎的P2P僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)[J];電腦知識(shí)與技術(shù);2009年22期

8 馬文娟;;僵尸網(wǎng)絡(luò)工作機(jī)制淺析[J];電腦知識(shí)與技術(shù);2010年12期

9 王偉;;基于源端檢測(cè)的僵尸網(wǎng)絡(luò)防御模型研究[J];電腦知識(shí)與技術(shù);2010年18期

10 孔淼;史壽樂;;僵尸網(wǎng)絡(luò)的分類及其檢測(cè)技術(shù)[J];電腦知識(shí)與技術(shù);2011年05期

相關(guān)會(huì)議論文 前1條

1 季大臣;劉向東;;Botnet網(wǎng)絡(luò)組織機(jī)制研究[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

相關(guān)博士學(xué)位論文 前10條

1 余俊豐;Web程序與數(shù)據(jù)安全研究[D];華中科技大學(xué);2011年

2 王威;僵尸網(wǎng)絡(luò)對(duì)抗技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2010年

3 李潤(rùn)恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2010年

4 劉運(yùn);DDoS Flooding攻擊檢測(cè)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

5 王海龍;僵尸網(wǎng)絡(luò)檢測(cè)關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

6 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測(cè)[D];北京郵電大學(xué);2011年

7 鄧林;網(wǎng)絡(luò)信息安全防護(hù)理論與方法的研究[D];合肥工業(yè)大學(xué);2009年

8 蒿敬波;對(duì)等結(jié)構(gòu)的惡意蠕蟲網(wǎng)絡(luò)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2008年

9 王斌斌;僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];華中科技大學(xué);2010年

10 李雪峰;P2P僵尸網(wǎng)絡(luò)體系結(jié)構(gòu)研究[D];清華大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 蔡彬彬;P2P僵尸網(wǎng)絡(luò)的研究[D];長(zhǎng)春理工大學(xué);2010年

2 胥奇;基于P2P的僵尸網(wǎng)絡(luò)的實(shí)現(xiàn)與防御[D];華東師范大學(xué);2011年

3 劉帆;基于數(shù)據(jù)包特征的僵尸木馬檢測(cè)技術(shù)[D];天津理工大學(xué);2010年

4 左洪艷;僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D];北京郵電大學(xué);2011年

5 鐘銳;基于隱馬爾科夫模型的入侵檢測(cè)系統(tǒng)研究[D];江西理工大學(xué);2010年

6 戴維;基于IRC協(xié)議的僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)的實(shí)現(xiàn)[D];電子科技大學(xué);2010年

7 周海濤;中小型局域網(wǎng)中P2P僵尸網(wǎng)絡(luò)的檢測(cè)[D];東華大學(xué);2011年

8 冉宏敏;基于聚類分析的P2P僵尸網(wǎng)絡(luò)分析與檢測(cè)[D];吉林大學(xué);2011年

9 宋元章;基于MFFM模型檢測(cè)P2P僵尸網(wǎng)絡(luò)[D];吉林大學(xué);2011年

10 趙欣;僵尸網(wǎng)絡(luò)異常流量檢測(cè)[D];北京郵電大學(xué);2011年

【二級(jí)參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 張兆心;方濱興;胡銘曾;;支持IDS的高速網(wǎng)絡(luò)信息獲取體系結(jié)構(gòu)[J];北京郵電大學(xué)學(xué)報(bào);2006年02期

2 胡振宇,劉在強(qiáng),蘇璞睿,馮登國(guó);基于協(xié)議分析的IM阻斷策略及算法分析[J];電子學(xué)報(bào);2005年10期

3 肖輝,胡運(yùn)發(fā);基于分段時(shí)間彎曲距離的時(shí)間序列挖掘[J];計(jì)算機(jī)研究與發(fā)展;2005年01期

4 程杰仁;殷建平;劉運(yùn);鐘經(jīng)偉;;蜜罐及蜜網(wǎng)技術(shù)研究進(jìn)展[J];計(jì)算機(jī)研究與發(fā)展;2008年S1期

5 王海龍;龔正虎;侯婕;;僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究進(jìn)展[J];計(jì)算機(jī)研究與發(fā)展;2010年12期

6 王威;方濱興;崔翔;;基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測(cè)[J];計(jì)算機(jī)學(xué)報(bào);2009年10期

7 李潤(rùn)恒;王明華;賈焰;;基于通信特征提取和IP聚集的僵尸網(wǎng)絡(luò)相似性度量模型[J];計(jì)算機(jī)學(xué)報(bào);2010年01期

8 孫彥東;李東;;僵尸網(wǎng)絡(luò)綜述[J];計(jì)算機(jī)應(yīng)用;2006年07期

9 嚴(yán)芬;王佳佳;趙金鳳;殷新春;;DDoS攻擊檢測(cè)綜述[J];計(jì)算機(jī)應(yīng)用研究;2008年04期

10 文偉平,卿斯?jié)h,蔣建春,王業(yè)君;網(wǎng)絡(luò)蠕蟲研究與進(jìn)展[J];軟件學(xué)報(bào);2004年08期

相關(guān)博士學(xué)位論文 前1條

1 李潤(rùn)恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2010年

相關(guān)碩士學(xué)位論文 前1條

1 馮永亮;結(jié)構(gòu)化P2P僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)的研究[D];華中科技大學(xué);2008年

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 沈利香;;僵尸網(wǎng)絡(luò)傳播模式分析和防治對(duì)策[J];常州工學(xué)院學(xué)報(bào);2008年06期

2 徐原;;惡意代碼數(shù)量激增 警惕其傳播擴(kuò)散[J];信息網(wǎng)絡(luò)安全;2009年03期

3 蔡彬彬;趙巍;;國(guó)際互聯(lián)網(wǎng)安全的重要威脅之一:僵尸網(wǎng)絡(luò)[J];科技信息;2010年03期

4 蔡敏;;僵尸網(wǎng)絡(luò)流的識(shí)別[J];信息網(wǎng)絡(luò)安全;2010年04期

5 王明華;;網(wǎng)絡(luò)安全波瀾不驚[J];信息網(wǎng)絡(luò)安全;2010年04期

6 于曉聰;董曉梅;于戈;秦玉海;;僵尸網(wǎng)絡(luò)在線檢測(cè)技術(shù)研究[J];武漢大學(xué)學(xué)報(bào)(信息科學(xué)版);2010年05期

7 朱帆;;僵尸網(wǎng)絡(luò)檢測(cè)和防范研究[J];現(xiàn)代商貿(mào)工業(yè);2010年12期

8 張潔;;基于P2P的僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)[J];商場(chǎng)現(xiàn)代化;2011年03期

9 李基初;唐俊;;基于多智能體社會(huì)的僵尸網(wǎng)絡(luò)協(xié)同防御模型[J];微電子學(xué)與計(jì)算機(jī);2011年03期

10 陳周國(guó);;僵尸網(wǎng)絡(luò)分析及其防御[J];信息安全與通信保密;2011年06期

相關(guān)會(huì)議論文 前10條

1 畢經(jīng)存;;匯編程序覆蓋測(cè)試中不可達(dá)指令檢測(cè)算法[A];2008’“先進(jìn)集成技術(shù)”院士論壇暨第二屆儀表、自動(dòng)化與先進(jìn)集成技術(shù)大會(huì)論文集[C];2008年

2 劉琪;牛文靜;顧兆軍;;基于API調(diào)用序列的惡意代碼動(dòng)態(tài)分析方法研究[A];2009年研究生學(xué)術(shù)交流會(huì)通信與信息技術(shù)論文集[C];2009年

3 劉威;;DNS放大攻擊的研究[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷）[C];2009年

4 楊明;任崗;張建偉;;淺談僵尸網(wǎng)絡(luò)[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

5 蔡雋;童崢嶸;;淺談“花生殼”在僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)中的妙用[A];中國(guó)通信學(xué)會(huì)第五屆學(xué)術(shù)年會(huì)論文集[C];2008年

6 蔡雋;童崢嶸;;淺談僵尸網(wǎng)絡(luò)及其檢測(cè)方案的研究[A];四川省通信學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2007年

7 周強(qiáng);李玉梅;;漢語(yǔ)塊分析評(píng)測(cè)任務(wù)設(shè)計(jì)[A];中國(guó)計(jì)算機(jī)語(yǔ)言學(xué)研究前沿進(jìn)展（2007-2009）[C];2009年

8 韓心慧;郭晉鵬;周勇林;諸葛建偉;曹東志;鄒維;;僵尸網(wǎng)絡(luò)活動(dòng)調(diào)查分析[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（上冊(cè)）[C];2007年

9 金雙民;段海新;鄭輝;;IRC僵尸網(wǎng)絡(luò)控制端識(shí)別系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（上冊(cè)）[C];2007年

10 張廣梅;陳蕊;李曉維;;面向軟件故障檢測(cè)的數(shù)據(jù)流分析[A];全國(guó)第13屆計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)（CAD/CG）學(xué)術(shù)會(huì)議論文集[C];2004年

相關(guān)重要報(bào)紙文章 前1條

1 記者 吳苡婷;國(guó)內(nèi)首款商用反編譯器上海造[N];上�？萍紙�(bào);2010年

相關(guān)博士學(xué)位論文 前10條

1 王祥根;自修改代碼逆向分析方法研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2009年

2 吳艷霞;基于匯編語(yǔ)言的控制流錯(cuò)誤檢測(cè)算法研究[D];哈爾濱工程大學(xué);2008年

3 葛琳;可信軟件開發(fā)框架下的出具證明編譯研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2007年

4 王斌斌;僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];華中科技大學(xué);2010年

5 王莉;類數(shù)據(jù)流驅(qū)動(dòng)的分片式處理器上的編譯及優(yōu)化技術(shù)[D];中國(guó)科學(xué)技術(shù)大學(xué);2009年

6 胡俊;在線社會(huì)網(wǎng)絡(luò)上SPAM行為檢測(cè)方法研究[D];華中科技大學(xué);2011年

7 蘇銘;對(duì)IA-64結(jié)構(gòu)特性優(yōu)化代碼的二進(jìn)制翻譯技術(shù)研究[D];解放軍信息工程大學(xué);2006年

8 蔣烈輝;固件代碼逆向分析關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2007年

9 閆昭;程序并行識(shí)別方法及應(yīng)用研究[D];吉林大學(xué);2009年

10 唐鋒;動(dòng)態(tài)二進(jìn)制翻譯優(yōu)化研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2006年

相關(guān)碩士學(xué)位論文 前10條

1 張?jiān)?一個(gè)基于即時(shí)編譯器的GBA模擬器[D];電子科技大學(xué);2006年

2 唐科;軟件仿真環(huán)境下的嵌入式軟件測(cè)試的研究[D];電子科技大學(xué);2005年

3 陳兆沖;僵尸工具類惡意代碼的檢測(cè)研究[D];電子科技大學(xué);2009年

4 李建立;空間輻射環(huán)境下軟件實(shí)現(xiàn)的硬件故障檢測(cè)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2008年

5 吳浩;二進(jìn)制翻譯系統(tǒng)QEMU的優(yōu)化技術(shù)[D];上海交通大學(xué);2007年

6 李金良;僵尸網(wǎng)絡(luò)及其防御研究[D];曲阜師范大學(xué);2007年

7 史輝輝;動(dòng)態(tài)二進(jìn)制翻譯中基于profile的優(yōu)化算法研究[D];上海交通大學(xué);2008年

8 吳玲;蠕蟲型僵尸工具的傳播模型及檢測(cè)技術(shù)研究[D];電子科技大學(xué);2008年

9 滿萍;受控僵尸網(wǎng)絡(luò)攻擊實(shí)驗(yàn)平臺(tái)的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2009年

10 張定飛;指令Cache優(yōu)化中代碼重排技術(shù)的研究與實(shí)現(xiàn)[D];國(guó)防科學(xué)技術(shù)大學(xué);2005年

，

本文編號(hào)：2449754