P2P僵尸网络检测关键技术研究

僵尸网络已成为当今互联网面临的最大威胁之一，P2P僵尸网络因其结构的健壮性而更具生存能力和破坏性。对其进行检测面临如下困难：信道加密和协议多样化导致难以有效提取普适检测特征；基于行为特征检测的方法难以满足实时性要求；检测对象从点升级到面，缺乏有效的拓扑发现方法。基于以上问题，本项目首先对P2P僵尸网络的结构和命令与控制方式进行分类，结合频率统计、小波变换等特征分析方法，有效提取分类检测特征，并基于支持向量机等高维分类方法，将网络流量进行超平面二次分类，将检测对象由单一P2P僵尸网络扩展到同一类别，有效提高了预检能力和识别效率；其次提出面向多协议的P2P僵尸网络拓扑检测算法，基于复杂网络理论对其传播特点和拓扑属性进行研究，提供脆弱性分析；最后基于Side-Channel(隐通道)思想对僵尸节点的流量不对称性展开研究，为追溯控制源提供基础。

僵尸网络作为当今互联网面临的最主要安全威胁之一，已由传统的集中式僵尸网络发展成为分布式僵尸网络，即P2P僵尸网络。P2P僵尸网络在灵活性、健壮性和隐匿性等方面都得到了大大加强，因此威胁更大且更加难以被检测。.本项目以P2P僵尸网络为研究对象，对检测P2P僵尸网络的关键技术展开了研究。研究内容主要包括P2P僵尸程序的动态行为分析及变种识别，P2P僵尸网络流量的实时性检测，P2P僵尸网络的拓扑发现，P2P僵尸网络的关键节点识别及僵尸网络活动识别。针对这些领域，本项目分析了国内外相关研究现状，并提出了我们自己的方法和技术，在国内外学术期刊或会议上发表了相应的论文。本项研究对P2P僵尸网络的测量、检测和追踪具有重要的理论和现实意义。