基于局域网协作的僵尸主机检测技术研究

恶意代码对现行网络安全造成了极其严重的威胁，僵尸作为一类重要的恶意代码，攻击形式更为隐蔽，攻击手段更为灵活和高效，造成的危害也更为严重。相对基于僵尸网络流量的检测不能从根本上清除僵尸网络的危害，基于单个僵尸主机的检测对于保护主机安全方面显得尤为具体和实际，然而，由于僵尸具有深度隐蔽、迅速更新和灵活通信的特点，对其检测的准确率、有效性还亟待提高。本项目提出基于局域网信息的僵尸主机检测技术研究，将紧密结合未知僵尸检测的目标本质，深度挖掘检测过程的特征。主要研究：基于主机和局部网络两种模式合作的单个主机僵尸检测技术，使主机检测系统掌握更多的全局关联信息，提高检测有效性；使用主机行为分层与警报关联的未知僵尸检测技术，降低检测误报率和漏报率；单个主机僵尸检测系统的开销优化技术，降低检测开销。最终目标是发现已知和未知僵尸，用于尽早清除其对主机的感染，防止其造成更大的破坏。

基于僵尸主机的检测对于保护主机安全方面显得尤为具体和实际，由于僵尸具有深度隐蔽、迅速更新和灵活通信的特点，对其检测的准确率、有效性还亟待提高。提出了基于局域网信息的僵尸主机检测技术研究，紧密结合未知僵尸检测的目标本质，深度挖掘了检测过程的特征。主要工作包括：1、提出了一个新的关联检测方法BotInfer。针对延迟僵尸的网络活动和主机行为可能分散在不同时间窗口的问题，使用滑动时间窗口迭代算法，使用推荐算法关联网络和主机行为。分析了滑动时间窗口大小和主机检测工具部署率对检测准确率的影响。通过模拟实验分析，当检测工具的部署率达到80%时，部署检测工具的主机的检测准确率大约为90%,没有部署检测工具的主机的检测准确率约为86%。2、提出了一种关联签名和行为检测僵尸的多反馈方法BotCatch。分析引擎负责将可疑文件分给签名或行为分析模块，检测结果送交关联引擎生成最终检测结果。实验结果表明：关联算法能够有效的关联签名和行为检测结果；多反馈机制自适应于样本并逐渐变得更加稳定和准确。使用636个僵尸150个正常样本对进行测试，结果显示，可以达到97.1%的准确性和0.982的F-measure值，优于没有反馈的现有检测方法。由于多反馈机制，能够随着样本数增加逐渐变得稳定和准确。3、提出了单个主机僵尸检测系统的优化技术。使用几个重要的评价指标详细对比分析了检测方法的特点；对影响主机性能的因素进行理论分析；根据实验数据探讨了影响因素及优化措施。4、建立了一个完整的社交僵尸分析系统。收集了大部分样本和它们的运行记录，分析社交僵尸主机上的活动，提出了基于行为树的检测方法，它利用树结构表示主机行为。使用特征向量和编辑距离两种方法，其中，特征向量方法有70%的检测精度，行为树方法有90%的检测精度，并且都能检测到新型社交僵尸。结果表明，这两种方法均具有较高的检测精度，而行为树方法更加准确和稳定。通过对现有社交僵尸躲避检测机制的深入分析，设计两种关联机制，时间关联和空间关联机制，。实验结果表明，设计的新型特征和关联机制能够有效的应对不断演变的社交僵尸，使用随机森林分类器得到检测结果为0.3% 误报率、4.7% 漏报率、0.963 F-measure值和99.2%检测率。已发表论文10篇，待发表1篇。本项目所取得的成果可用于发现已知和未知僵尸，用于尽早清除其对主机的感染，防止其造成更大的破坏。