僵尸网络( Botnet)是攻击者出于恶意目的,传播受控僵尸程序控制大量主机,并通过一对多的命令控制信道所组成的网络,例如IRC协议、P2P协议、HTTP协议。基于HTTP协议构建僵尸网络的C&C策略主要包含2个方面的优点:1)IRC协议是僵尸网络主流协议,安全研究领域对于IRC协议关注已久,并进行了深入的研究。基于HTTP协议构建的僵尸网络,其C&C通信可以隐藏在大量的互联网Web应用中,从而使得基于HTTP协议的僵尸网络更难以被检测。2)防火墙对于IRC协议的阻断。由于IRC协议已经不再是主流的协议,且被大量僵尸网络利用,许多企业、机构都在防火墙上过滤了该协议,而使用HTTP协议可以通过防火墙。
在僵尸网络中,为保持服务器的可用性和隐蔽性,与域名关联的Flux-Agent的IP地址需要不停地变动,而黑名单策略对于阻止Fast-Flux僵尸网络攻击已经失效。为解决该问题,基于域名系统流量的分析和识别技术,提出一种新的Fast-Flux僵尸网络检测方法,用于检测互联网中使用Fast-Flux技术的僵尸网络,且对域名的分析不局限于来自垃圾邮件、点击欺诈或黑名单列表的可疑域名。实验结果表明,该方法能够以较高的准确率检测Fast-Flux僵尸网络,并且有利于完善黑名单列表。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !