本文關(guān)鍵詞：僵尸網(wǎng)絡(luò)控制命令發(fā)掘與應(yīng)用研究，，由筆耕文化傳播整理發(fā)布。

【摘要】：僵尸網(wǎng)絡(luò)(Botnet)利用僵尸程序(Bots)傳播、感染并控制大量的終端計(jì)算機(jī),可以獲取大量的信息資源和強(qiáng)大的分布式計(jì)算能力,因此逐漸成為攻擊者手中最有效的攻擊平臺(tái)之一。攻擊者和僵尸程序之間通過命令與控制信道形成一對(duì)多的控制關(guān)系,命令與控制機(jī)制使得僵尸網(wǎng)絡(luò)具有高度的可控性及更強(qiáng)的靈活性、私密性,僵尸程序的行為取決于從命令與控制信道獲取的控制命令信息,因此,掌握僵尸程序的控制命令及其控制機(jī)制對(duì)于僵尸網(wǎng)絡(luò)的分析與防治具有重要的意義。利用約束求解、路徑空間遍歷等技術(shù)提取僵尸網(wǎng)絡(luò)控制命令的方法存在復(fù)雜耗時(shí)、面臨路徑空間爆炸、無(wú)法處理混淆后的僵尸程序等缺點(diǎn)。本文在已有研究工作的基礎(chǔ)上,對(duì)如何從二進(jìn)制僵尸程序中發(fā)掘出其所在僵尸網(wǎng)絡(luò)的控制命令這一課題進(jìn)行了進(jìn)一步研究,結(jié)合二進(jìn)制動(dòng)態(tài)分析技術(shù),提出了一種利用污點(diǎn)傳播信息和代碼覆蓋率特征,從僵尸程序的執(zhí)行軌跡中識(shí)別出其命令控制邏輯,并基于命令控制邏輯信息提取僵尸網(wǎng)絡(luò)控制命令集合的新方法。與原有方法相比,該方法具有時(shí)間開銷小、不依賴于API、需要的先驗(yàn)知識(shí)少等優(yōu)點(diǎn),而且可以有效地避免加殼、代碼混淆等技術(shù)對(duì)分析結(jié)果的干擾。本文選取了Zeus、Citadel、 Agobot、Ice Ⅸ等六種典型的僵尸程序的樣本進(jìn)行了實(shí)驗(yàn),實(shí)驗(yàn)結(jié)果表明該方法能夠快速有效地提取出僵尸網(wǎng)絡(luò)的控制命令集合。此外,本文還對(duì)提取出的控制命令的應(yīng)用進(jìn)行了探索,提出了將僵尸網(wǎng)絡(luò)的控制命令應(yīng)用到僵尸程序行為分析中進(jìn)行主動(dòng)探測(cè)的新思路,指出了利用控制命令去主動(dòng)觸發(fā)僵尸程序執(zhí)行以觀測(cè)其行為的可行性,并對(duì)其實(shí)現(xiàn)方式和步驟進(jìn)行了闡述；對(duì)利用控制命令來(lái)輔助構(gòu)造主動(dòng)探測(cè)數(shù)據(jù)包以支持僵尸主機(jī)的檢測(cè)工作的思路,進(jìn)行了分析和討論。
【關(guān)鍵詞】：惡意代碼分析 僵尸網(wǎng)絡(luò) 控制命令 命令與控制邏輯
【學(xué)位授予單位】：南開大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-13
• 第一章 緒論13-20
• 第一節(jié) 論文背景及意義13-16
• 1.1.1 僵尸網(wǎng)絡(luò)概述13
• 1.1.2 僵尸網(wǎng)絡(luò)的命令與控制機(jī)制13-15
• 1.1.3 本文研究?jī)?nèi)容與意義15-16
• 第二節(jié) 國(guó)內(nèi)外研究現(xiàn)狀16-19
• 1.2.1 對(duì)僵尸網(wǎng)絡(luò)命令與控制機(jī)制的研究17
• 1.2.2 僵尸網(wǎng)絡(luò)控制命令的識(shí)別、提取17-18
• 1.2.3 對(duì)僵尸網(wǎng)絡(luò)服務(wù)器及僵尸程序的主動(dòng)探測(cè)18-19
• 第三節(jié) 本文組織結(jié)構(gòu)19-20
• 第二章 相關(guān)技術(shù)20-26
• 第一節(jié) 二進(jìn)制惡意代碼分析技術(shù)20-23
• 2.1.1 二進(jìn)制惡意代碼分析技術(shù)概述20-21
• 2.1.2 動(dòng)態(tài)污點(diǎn)分析技術(shù)21-22
• 2.1.3 代碼插裝技術(shù)22-23
• 第二節(jié) 二進(jìn)制代碼分析平臺(tái)BitBlaze23-25
• 第三節(jié) 本章小結(jié)25-26
• 第三章 僵尸網(wǎng)絡(luò)控制命令提取方法26-40
• 第一節(jié) 基本思想26-32
• 3.1.1 相關(guān)概念26-28
• 3.1.2 本方法的基本思想與原理28-32
• 第二節(jié) 僵尸網(wǎng)絡(luò)控制命令提取方法32-39
• 3.2.1 整體流程32-33
• 3.2.2 執(zhí)行軌跡的捕獲與處理33-36
• 3.2.3 污點(diǎn)與覆蓋率信息的分析36-37
• 3.2.4 命令控制邏輯的識(shí)別37-38
• 3.2.5 控制命令提取38-39
• 第三節(jié) 本章小結(jié)39-40
• 第四章 實(shí)驗(yàn)設(shè)計(jì)與分析40-59
• 第一節(jié) 原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)40-43
• 第二節(jié) 實(shí)驗(yàn)數(shù)據(jù)及實(shí)驗(yàn)分析43-57
• 4.2.1 實(shí)驗(yàn)環(huán)境43-45
• 4.2.2 實(shí)驗(yàn)樣本及樣本特征45-46
• 4.2.3 實(shí)驗(yàn)數(shù)據(jù)及分析46-54
• 4.2.4 實(shí)驗(yàn)評(píng)估與討論54-57
• 第三節(jié) 本章小結(jié)57-59
• 第五章 對(duì)控制命令的應(yīng)用的探索59-67
• 第一節(jié) 基于主動(dòng)探測(cè)的僵尸程序行為分析方法59-64
• 第二節(jié) 基于主動(dòng)探測(cè)的僵尸主機(jī)檢測(cè)方法64-66
• 第三節(jié) 本章小結(jié)66-67
• 第六章 總結(jié)與展望67-69
• 第一節(jié) 本文總結(jié)67
• 第二節(jié) 不足與展望67-69
• 參考文獻(xiàn)69-72
• 附錄72-75
• 附錄A Agobot代碼塊覆蓋次數(shù)72
• 附錄B SDBot代碼塊覆蓋次數(shù)72-73
• 附錄C Citadel代碼塊覆蓋次數(shù)73
• 附錄D Ice Ⅸ代碼塊覆蓋次數(shù)73-74
• 附錄E Zeus2.1代碼塊覆蓋次數(shù)74-75
• 致謝75-76
• 個(gè)人簡(jiǎn)歷、在學(xué)期間發(fā)表的學(xué)術(shù)論文及研究成果76
• 個(gè)人簡(jiǎn)歷76
• 碩士期間參與的科研項(xiàng)目76
• 碩士期間完成的論文76

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 陳明奇,崔翔;“僵尸網(wǎng)絡(luò)”的威脅及應(yīng)對(duì)策略[J];信息網(wǎng)絡(luò)安全;2005年05期

2 ;TrustedSource 3.0摧毀僵尸網(wǎng)絡(luò)[J];信息安全與通信保密;2005年04期

3 范春風(fēng);;淺析“僵尸網(wǎng)絡(luò)”[J];大學(xué)時(shí)代論壇;2006年02期

4 劉冬梅;;跟蹤僵尸網(wǎng)絡(luò)[J];信息技術(shù)與信息化;2006年06期

5 張輝;;僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與追蹤[J];電腦知識(shí)與技術(shù)(學(xué)術(shù)交流);2007年19期

6 韓心慧;郭晉鵬;周勇林;諸葛建偉;鄒維;;僵尸網(wǎng)絡(luò)活動(dòng)調(diào)查分析[J];通信學(xué)報(bào);2007年12期

7 縱鑫;李玉德;;“僵尸網(wǎng)絡(luò)”的危害、特點(diǎn)及新型控制方式[J];法制與社會(huì);2008年36期

8 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報(bào);2008年03期

9 蔡慧梅;;僵尸網(wǎng)絡(luò)的研究與發(fā)現(xiàn)[J];計(jì)算機(jī)安全;2008年04期

10 杜躍進(jìn);;僵尸網(wǎng)絡(luò)關(guān)鍵字[J];信息網(wǎng)絡(luò)安全;2008年05期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 諸葛建偉;韓心慧;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與跟蹤[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

2 韓心慧;郭晉鵬;周勇林;諸葛建偉;曹東志;鄒維;;僵尸網(wǎng)絡(luò)活動(dòng)調(diào)查分析[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（上冊(cè)）[C];2007年

3 周勇林;崔翔;;僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與對(duì)策[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

4 楊明;任崗;張建偉;;淺談僵尸網(wǎng)絡(luò)[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

5 劉海燕;王維鋒;李永亮;;一個(gè)基于馬爾可夫鏈的僵尸網(wǎng)絡(luò)演化模型[A];2006年全國(guó)理論計(jì)算機(jī)科學(xué)學(xué)術(shù)年會(huì)論文集[C];2006年

6 季大臣;劉向東;;Botnet網(wǎng)絡(luò)組織機(jī)制研究[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

7 蔡雋;童崢嶸;;淺談“花生殼”在僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)中的妙用[A];中國(guó)通信學(xué)會(huì)第五屆學(xué)術(shù)年會(huì)論文集[C];2008年

8 朱敏;鐘力;何金勇;李蒙;;基于主機(jī)與網(wǎng)絡(luò)協(xié)同的僵尸網(wǎng)絡(luò)事件驗(yàn)證技術(shù)[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十三卷）[C];2008年

9 蔡雋;童崢嶸;;淺談僵尸網(wǎng)絡(luò)及其檢測(cè)方案的研究[A];四川省通信學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2007年

10 李杰;;淺述物聯(lián)網(wǎng)設(shè)備系統(tǒng)存在的安全風(fēng)險(xiǎn)及僵尸家電網(wǎng)絡(luò)[A];第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2012年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前10條

1 Frank Hayes;直面僵尸網(wǎng)絡(luò)威脅[N];計(jì)算機(jī)世界;2006年

2 記者　邊歆;打擊僵尸網(wǎng)絡(luò)刻不容緩[N];網(wǎng)絡(luò)世界;2006年

3 ;僵尸網(wǎng)絡(luò)成罪惡之源[N];網(wǎng)絡(luò)世界;2007年

4 郭川;僵尸網(wǎng)絡(luò)：吞噬電信網(wǎng)流量的黑色暗流[N];人民郵電;2008年

5 李若怡;信息官大戰(zhàn)僵尸網(wǎng)絡(luò)[N];人民郵電;2012年

6 FortiGuard 威脅研究與響應(yīng)實(shí)驗(yàn)室;多重感染幫助僵尸網(wǎng)絡(luò)深層攫利[N];網(wǎng)絡(luò)世界;2013年

7 陳翔;警報(bào)：驚現(xiàn)僵尸網(wǎng)絡(luò)[N];中國(guó)計(jì)算機(jī)報(bào);2005年

8 陳翔;僵尸網(wǎng)絡(luò)也可以租賃[N];中國(guó)計(jì)算機(jī)報(bào);2005年

9 ;警惕僵尸網(wǎng)絡(luò)“還魂”[N];計(jì)算機(jī)世界;2005年

10 本報(bào)記者 張琳;刺向僵尸網(wǎng)絡(luò)的劍[N];網(wǎng)絡(luò)世界;2005年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 臧天寧;僵尸網(wǎng)絡(luò)協(xié)同檢測(cè)與識(shí)別關(guān)鍵技術(shù)研究[D];哈爾濱工程大學(xué);2011年

2 王穎;僵尸網(wǎng)絡(luò)對(duì)抗關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2014年

3 王威;僵尸網(wǎng)絡(luò)對(duì)抗技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2010年

4 李潤(rùn)恒;大規(guī)模網(wǎng)絡(luò)中僵尸網(wǎng)絡(luò)分析技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2010年

5 王海龍;僵尸網(wǎng)絡(luò)檢測(cè)關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2011年

6 王新良;僵尸網(wǎng)絡(luò)異常流量分析與檢測(cè)[D];北京郵電大學(xué);2011年

7 耿貴寧;移動(dòng)僵尸網(wǎng)絡(luò)安全分析關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2012年

8 蔣鴻玲;基于流量的僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];南開大學(xué);2013年

9 于曉聰;基于網(wǎng)絡(luò)流量分析的僵尸網(wǎng)絡(luò)在線檢測(cè)技術(shù)的研究[D];東北大學(xué);2011年

10 王斌斌;僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];華中科技大學(xué);2010年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 劉彬斌;一種僵尸網(wǎng)絡(luò)的拓?fù)浞治黾胺粗扑惴ㄑ芯縖D];電子科技大學(xué);2009年

2 糜利敏;僵尸網(wǎng)絡(luò)建模研究[D];吉林大學(xué);2010年

3 李喬;可控僵尸網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2009年

4 李躍;面向移動(dòng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];西南交通大學(xué);2013年

5 劉興龍;應(yīng)用于互聯(lián)網(wǎng)攻防測(cè)試平臺(tái)的僵尸網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2012年

6 邢麗;基于支持向量機(jī)的僵尸網(wǎng)絡(luò)檢測(cè)方法的研究[D];大連海事大學(xué);2015年

7 席瑞;基于相似性分析的僵尸網(wǎng)絡(luò)檢測(cè)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

8 張可;基于BP神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究[D];電子科技大學(xué);2014年

9 周琦;基于ESM模型的P2P僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];蘭州大學(xué);2015年

10 謝舜;基于流量分析的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究[D];西安電子科技大學(xué);2014年

  本文關(guān)鍵詞：僵尸網(wǎng)絡(luò)控制命令發(fā)掘與應(yīng)用研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：281853