[01256176]基于流量分析的僵尸网络动态检测系统的研究

1.课题来源和背景 僵尸网络（Botnet）是一种从传统恶意代码形态进化而来的目前最为复杂的攻击方式之一，它为攻击者提供了更加隐匿、灵活且高效的一对多的命令与控制机制。僵尸网络检测与防御技术目前是一个较新而具有挑战性的研究领域。僵尸网络目前得到攻击者的青睐和进一步的发展，从而已成为因特网最为严重的威胁之一，这对公安系统的网络监管部门提出了严峻的考验。目前，国内对僵尸网络的关注和研究工作还比较少，目前还没有研究工作考虑实时快速检测，然而由于网络环境在不断变化和更新，只有收集不断实时更新的数据才能掌握最新的网络动态。针对以上情况，本课题针对僵尸网络的动态检测系统开展相关研究。

2.技术原理及性能指标 当前僵尸网络的检测技术很难满足实时性需要，针对这一现状提出实时检测僵尸网络的思想。

本课题涉及网络安全技术、数据库技术、机器学习技术、实时技术等，交叉应用和发展这些领域的研究成果，在理论和技术上取得了一定的突破，基于流量分析的僵尸网络动态检测系统的主要性能指标如下：

（1）利用数据流处理技术构建网络流量的特征数据流，从而可以高效、动态地表示网络流量数据;

（2）针对网络特征数据流的实时分类技术，可以将满足特定应用协议的特征数据流分离出来，从而将数据空间大幅约减，该技术在满足实时处理要求的同时可以最大限度地提高分类精度;

（3）基于僵尸主机行为相似性的动态聚类技术，结合特征数据流的动态性，可以将僵尸主机特征数据流进行抽取;

（4）独立于协议的僵尸网络拓扑结构分析技术，可以分析僵尸网络的规模和攻击规律。

3.技术的创造性与先进性

目前国际上僵尸网络检测技术大多集中在对数据库中存储的历史数据进行分析与检测上，无法满足僵尸网络泛滥成灾、快速发展的现状。目前还没有研究工作考虑动态检测。本课题提出僵尸网络的动态检测技术，考虑网络环境的动态特性和时变特性，通过在线分析当前的网络动态获取最新的僵尸攻击行为。

本课题采用实时数据流处理技术的高效算法，同时针对网络流量数据的特点以及僵尸活动的内在属性，应用网络安全防御领域中的技术，如数字水印等，进行僵尸网络的高效探测，即可以满足检测的精度和可靠性，还可以满足系统快速处理的实时性要求。

本课题设计的原型系统针对不同的应用层协议的僵尸网络具有较强的适应性，尤其针对较为复杂的基于P2P协议的僵尸网络仍然可以进行有效的动态检测。

4. 技术的成熟程度，适用范围和安全性

本课题针对僵尸网络动态检测的基础原理问题进行了深入研究，原型系统的设计和开发还处于初级阶段，暂时无法直接应用到公安系统的实时检测。由于僵尸网络具有较强的攻击性，在检测过程中可能面临一定的威胁。

具体主要存在的安全性问题：

（1）动态检测系统需要检测的网络环境较为复杂，网络流量数据的规模极为庞大，而且随时可能存在数据流量激增的情况，这就可能给系统的处理造成较大的延迟，无法满足实时性要求;

（2）系统需要对网络环境进行24小时不间断监听，但在整个监听过程中，可能并没有僵尸活动，所以系统的处理可能存在较多的冗余操作，给系统的动态检测带来较大的开销;

（3）由于网络环境的动态性和时变形，可能存在正常的网络活动与僵尸行为具有相似的特征，从而造成检测过程中的错误报警现象;

（4）在追踪僵尸攻击者过程中，可能被攻击者发现，从而控制其僵尸网络对系统所在服务器进行Ddos攻击等，造成系统的瘫痪。

5.应用情况及存在的问题

通过对僵尸网络的动态检测系统的研究，可以更加深入了解基于僵尸网络犯罪的运行机制和行为模式，为以后的僵尸网络防御和反制提供强有力的技术支持，大大减少被攻击目标的经济损失，从而获取较大的经济效益。

僵尸网络动态检测系统的研究成果，可以使网络威胁大幅降低，使网络环境得到进一步的净化。

能够使公众更加有效地使用网络资源，而不必过分担心由于黑客的袭击使自己的隐私权得到侵害，从而为社会维护一个更加和谐的网络环境。

我们国家的很多计算机多数是被其他国家或地区的黑客所控制，对国家安全造成严重危害，其后果是不可估量的，通过僵尸网络动态检测技术的研究能够促进检测技术更进一步发展，并尽可能地避免国家机密的丢失，为维护国家安全提供强有力的保障。

本课题需要继续深入研究P2P僵尸网络新型的攻击模式，并与地方公安实战部门进行合作，将原型系统的开发与实际应用相结合。