僵尸網絡研究畢業(yè)論文

1、<p><b>　　XXXXXXX</b></p><p>　　畢 業(yè) 論 文</p><p>　　課題名稱: 僵尸網絡研究 </p><p>　　學生姓名： </p><p>　　學 號 ： </p>

2、<p>　　專 業(yè)： 網絡系統(tǒng)管理 </p><p>　　班 級： </p><p>　　指導教師： </p><p><b>　　2012年3 月</b></p><p><b>　　僵尸

3、網絡研究</b></p><p><b>　　摘 要</b></p><p>　　網絡，作為當代生活中不可缺少的一部分，與人類的日常生活聯(lián)系的愈發(fā)的緊密，也越來越多的涉及到人們的私密生活中。隨之誕生的網絡安全問題也成為了整個社會關注的公共問題。</p><p>　　垃圾郵件在網上盛行，DDOS （DDOS--Distributed

4、 Denial of service (分布式拒絕服務攻擊),是指很多DOS攻擊源一起攻擊某臺服務器）攻擊成為當前網絡安全上的主要問題，。那么何為僵尸網絡呢，僵尸網絡又會給人們帶來什么呢。本文中將會帶您了解僵尸網絡的演化過程和基本定義,深入剖析了僵尸網絡的功能結構與工作機制,討論了僵尸網絡的命令與控制機制和傳播模型,并歸納總結了目前跟蹤、檢測和防御僵尸網絡的最新研究成果,最后探討了僵尸網絡的發(fā)展趨勢和進一步的研究方向.。</p&g

5、t;<p>　　關鍵詞：僵尸網絡 DDOS攻擊 網絡安全 bot程序</p><p>　　Zombie network of research</p><p><b>　　Abstract</b></p><p>　　Network, as a contemporary the indispensable part in l

6、ife, and the daily life of human contact more close together, also more and more related to people's private life. Then the birth of the network security has become the entire society public issues of concern.</p&

7、gt;<p>　　Spam in online popular, DDOS (DDOS--Distributed Denial of service (Distributed Denial of service attack), it is to point to a lot of DOS attack against a source with server) attack become the network secu

8、rity problems,. So what is a botnet? Botnet and will bring people? This article will show you know the botnet evolution process and the basic definition, analyzed the function of the botnet structure and working mechanis

9、m, and discussed the botnet command and control mechanism and propagation mo</p><p>　　Keywords: botnets DDOS attack network security bot program</p><p><b>　　目錄</b></p><

10、;p>　　第一章 僵尸網絡的介紹.5</p><p>　　1.1 僵尸網絡的定義.5</p><p>　　1.2 僵尸網絡的危害.5</p><p>　　1.3 僵尸網絡的特點和分類.5</p><p>　　第二章 僵尸網絡的起源與發(fā)展過程.7</p><p>　　2.1 僵尸網絡的起源.7</

11、p><p>　　2.2 發(fā)展過程.7</p><p>　　第三章 僵尸網絡的工作原理.7</p><p>　　3.1基于IRC控制方式的原理.7</p><p>　　3.2 基于HTTP協(xié)議的原理.9</p><p>　　3.3基于P2P通信方式原來.9</p><p>　　第四章 僵尸網

12、絡的檢測與防御.9</p><p>　　4.1 基于IRC控制方式的僵尸網絡檢測.9</p><p>　　4.2 基于HTTP控制方式的僵尸網絡檢測.10</p><p>　　4.3基于P2P控制方式的僵尸網絡檢測.10</p><p>　　4.4 應對措施.10</p><p>　　第五章 總結與展望.1

13、3</p><p>　　5.1 僵尸網絡的研究現(xiàn)狀.13</p><p>　　5.2 發(fā)展前景與總結 .13</p><p><b>　　致謝.14</b></p><p><b>　　參考文獻.14</b></p><p>　　第一章 僵尸網絡的介紹</p&g

14、t;<p><b>　　1.1僵尸網絡定義</b></p><p>　　目前，僵尸網絡是近年來興起的危害互聯(lián)網的重大安全威脅之一。它是一種從傳統(tǒng)惡意代碼形態(tài)進化而來的新型攻擊方式，為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，可以控制大量僵尸主機實現(xiàn)信息竊取、分布式拒絕服務攻擊和垃圾郵件發(fā)送等惡意攻擊。</p><p>　　僵尸網絡是攻擊者出于惡

15、意目的，采用一種或多種傳播手段，將互聯(lián)網上的大量主機感染僵尸程序，從而在控制者和被感染主機之間形成一個一對多控制的網絡。僵尸網絡與其他攻擊方式最大的區(qū)別在于攻擊者和僵尸主機之間存在著一對多的控制關系，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源并為其服務，這也是僵尸網絡攻擊模式近年來受到黑客青睞的根本原因。</p><p>　　1.2僵尸網絡的危害</p><p&

16、gt;　　網絡的危害主要分為以下幾個方面：</p><p><b>　　(1)二次本地感染</b></p><p>　　由于Bot植入被害主機后，會主動能過控制節(jié)點和攻擊者取得聯(lián)系，執(zhí)行攻擊者的命令，攻擊者可利用此功能向被控主機傳送新的Bot程序或者其它的惡意軟件。</p><p><b>　　(2)竊取資源</b><

17、;/p><p>　　攻擊者可在被害主機植入專門的程序，不僅可以竊取被害主機的機密文件，還可以記錄用戶的各種帳號、密碼等身份數(shù)據資源，這就有可能給用戶造成直接的經濟損失。</p><p>　　(3)發(fā)起新的蠕蟲攻擊</p><p>　　攻擊者可以預先在被害主機內植入蠕蟲代碼，然后讓大量的被害主機同時運行蠕蟲代碼，這樣不僅增強了蠕蟲攻擊的破壞性，而且攻擊速度明顯加快，更加難

18、以防范。</p><p>　　(4)分布式拒絕服務攻擊(DDoS)：</p><p>　　攻擊者通過控制大量的僵尸計算機，可以發(fā)起TCP、UDP、ICMP、SYN Flood等多種高強度的拒絕服務攻擊，并且源IP地址和數(shù)據包結構隨機變化，更加加大了檢測的難度。</p><p>　　(5)發(fā)送垃圾郵件(spam)</p><p>　　用僵尸網絡

19、發(fā)送垃圾郵件，可以隱藏自身的真實IP，躲避法律的追究。據CERT和MessageLab統(tǒng)計，僵尸網絡已成為發(fā)送垃圾郵件主要手段之一。</p><p><b>　　(6)其他違法行為</b></p><p>　　比如利用僵尸主機騙取網站廣告點擊等其他違法操作。</p><p>　　1.3僵尸網絡的特點和分類</p><p>

20、;　　僵尸網絡是從傳統(tǒng)惡意代碼形態(tài)包括計算機病毒，網絡蠕蟲，特洛伊木馬和后門工具的基礎上進化，并通過相互融合發(fā)展而成的目前最為復雜的攻擊方式之一。這就使得僵尸網絡具有以下特點：</p><p>　　首先，僵尸網絡是一個可控制的網絡，這個網絡并不是指物理意義上具有拓撲結構的網絡，它具有一定的分布性，隨著bot程序的不斷傳播，找到那些在互聯(lián)網上沒有受到保護的電腦，而不斷有新位置的僵尸計算機添加到這個網絡中來，通過數(shù)百

21、萬發(fā)送垃圾郵件的家庭電腦來不斷的擴展。</p><p>　　其次，惡意程序（或者說bot程序）通常經過應用軟件，像游戲、文件共享程序、定制的工具欄等被自由的下載。有時，當您訪問不良的網站時，它們也會被自動的下載并安裝進您的電腦中?；蛘咄ㄟ^垃圾郵件發(fā)送者發(fā)送給您有附件、鏈接或圖片的郵件，當您點擊它們的時候，就會悄悄地安裝惡意軟件。這樣僵尸網絡有很多的傳播手段，來侵入到您的電腦中，不知不覺中您的電腦也成為其中的一員，

22、向您所知的用戶繼續(xù)傳播，所以僵尸網絡在出現(xiàn)后得到了急速的發(fā)展，威脅著網絡的安全。</p><p>　　Botnet最主要的特點可以說是可以一對多地執(zhí)行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務（DDos）攻擊，同時發(fā)送大量的垃圾郵件等，而正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時候，B

23、otnet充當了一個攻擊平臺的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。</p><p>　　常見的僵尸網絡通信控制方式分類有如下3種：</p><p><b>　　IRC通信控制方式</b></p><p>　　即攻擊者在公共或者私密的IRC聊天服務器中開辟私有聊天頻道作為控制頻道，僵尸程序在運行時會根據

24、預置的連接認證信息自動尋找和連接這些IRC控制頻道，收取頻道中的控制信息。攻擊者則通過控制頻道向所有連接的僵尸程序發(fā)送指令。</p><p>　　(2)HTTP協(xié)議的命令與控制</p><p>　　由于用IRC方式比較容易被發(fā)現(xiàn)，于是出現(xiàn)了另一種方式，就是HTTP基于的連接和共享數(shù)據方式。僵尸主機通過HTTP協(xié)議連接到服務器上，控制者也連接到服務器上發(fā)送控制命令。由于現(xiàn)在網路上有大量的HT

25、TP數(shù)據包，所以這種方式不容易被防火墻發(fā)現(xiàn)而截獲。</p><p>　　(3)P2P通信方式</p><p>　　以上兩種方式，如果中心服務器被發(fā)現(xiàn)而斷掉，整個僵尸網絡就垮掉了，所以出現(xiàn)了第三種僵尸網絡。該類僵尸網絡中使用的程序本身包含了P2P的客戶端，可以連入采用了Gnutella技術(一種開放源碼的文件共享技術)的服務器，利用WASTE文件共享協(xié)議進行相互通信。由于這種協(xié)議分布式地進行

26、連接，就使得每一個僵尸主機可以很方便地找到其他的僵尸主機并進行通信，而當有一些僵尸主機被發(fā)現(xiàn)時，并不會影響到僵尸主機的生存，所以這類的僵尸網絡具有不存在單點失效但實現(xiàn)相對復雜的特點。Agobot和Phatbot采用了P2P的方式。</p><p>　　第二章 僵尸網絡的起源與發(fā)展過程</p><p>　　2.1僵尸網絡的起源</p><p>　　Botnet是隨著自

27、動智能程序的應用而逐漸發(fā)展起來的。最初，bot是用于在UNIX環(huán)境中自動執(zhí)行那些系統(tǒng)管理員要經常執(zhí)行的無聊的任務。</p><p>　　在早期的IRC聊天網絡中，有一些服務是重復出現(xiàn)的，如防止頻道被濫用、管理權限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993 年，在IRC 聊天網絡中出現(xiàn)了Bot 工具——Eggdrop，這是第一個bot程序，能夠幫助用戶方便地使用IRC 聊天網絡。這

28、種bot的功能是良性的，是出于服務的目的，然而這個設計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機進行控制，利用他們的資源以達到惡意目標。</p><p>　　2.2僵尸網絡的發(fā)展過程</p><p>　　20世紀90年代末，隨著分布式拒絕服務攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感

29、染主機，發(fā)動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。 </p><p>　　1999 年，在第八屆DEFCON 年會上發(fā)布的SubSeven 2.1 版開始使用IRC 協(xié)議構建攻擊者對僵尸主機的控制信道，也成為第一個真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。 </p>

30、<p>　　2003 年之后，隨著蠕蟲技術的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術，從而能夠快速構建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎上，開始獨立使用P2P 結構構建控制信道。</p><p>　　至于目前網絡上流傳的bot，更是各種情況傳播手段的混合體，如結合病毒、木馬、蠕

31、蟲、間諜軟件、搜索引擎等傳播手段。黑客對僵尸程序不斷進行創(chuàng)新和發(fā)展，如使用加密控制信道、使用P2P網絡傳播、使用Http隧道加密、定期更新bot程序的免殺功能等，使得我們對僵尸網絡的發(fā)現(xiàn)、跟蹤和反制更加困難了。 </p><p>　　從良性bot的出現(xiàn)到惡意bot的實現(xiàn)，從被動傳播到利用蠕蟲技術主動傳播，從使用簡單的IRC協(xié)議構成控制信道到構建復雜多變P2P結構的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣

32、、不易檢測的惡意網絡。</p><p>　　第三章 僵尸網絡的工作原理</p><p>　　3.1 基于IRC控制方式的僵尸網絡原理</p><p>　　IRC協(xié)議采用C/S模式，用戶可以通過客戶端連接到IRC服務器，建立、選擇并加入感興趣的頻道，每個用戶都可以將消息發(fā)送給頻道內所有其他用戶，也可以單獨發(fā)給某個用戶。頻道的管理員可以設置頻道的屬性，例如：設置密碼、設

33、置頻道為隱藏模式。</p><p>　　如上圖所示，攻擊者首先通過各種傳播方式使得目標主機感染僵尸程序。通常編寫自己的僵尸程序，它只支持部分IRC命令，并將收到的消息作為命令進行解釋執(zhí)行。編寫好僵尸程序，建立起自己的IRC服務器后，攻擊者會采用不同的方式將僵尸程序植入用戶計算機，例如：通過蠕蟲進行主動傳播、利用系統(tǒng)漏洞直接侵入計算機、通過電子郵件或者即時聊天工具，欺騙用戶下載并執(zhí)行僵尸程序、利用IRC協(xié)議的DCC

34、命令，直接通過IRC服務器進行傳播，還可以在網頁中嵌入惡意代碼等待用戶瀏覽等。</p><p>　　當bot在被感染計算機上運行后，以一個隨機的匿名和內置密碼連接到特定的IRC服務器，并加入指定的頻道。</p><p>　　攻擊者普遍使用動態(tài)域名服務將僵尸程序連接的域名映射到他所控制的多臺IRC服務器上，從而避免由于單一服務器被摧毀后導致整個僵尸網絡癱瘓的情況。</p>&l

35、t;p>　　僵尸程序加入到攻擊者私有的IRC命令與控制信道中。加入信道的大量僵尸程序監(jiān)聽控制指令。</p><p>　　攻擊者隨時登陸該頻道，并發(fā)送認證消息，認證通過后，隨即向活躍的僵尸程序(或者暫時非活躍的僵尸程序)發(fā)送控制指令。bot讀取所有發(fā)送到頻道的消息或者是頻道的標題，如果是已通過認證的攻擊者的可識別的指令，則立即執(zhí)行。通常這些指令涉及更新bot程序、傳輸或下載指定文件、遠程控制連接、發(fā)起拒絕服務

36、攻擊、開啟代理服務器等等。</p><p>　　僵尸程序接受指令，并調用對應模塊執(zhí)行指令，從而完成攻擊者的攻擊目標。</p><p>　　通過上面的過程，攻擊者把原本不相關的很多主機關聯(lián)到一起，發(fā)起信息盜取，攻擊等操作。</p><p>　　3.2 基于HTTP協(xié)議的原理</p><p>　　由于IRC有特定端口和特定的特征，所以容易被跟蹤和

37、發(fā)現(xiàn)，這樣就出現(xiàn)了另外一種方式，基于HTTP的方式。這種方式和IRC方式差別不大，只是把IRC服務器換成了HTTP服務器。</p><p>　　3.3 基于P2P通信方式原理</p><p>　　如上圖所示p2p僵尸網絡沒有固定服務器做主機，分散式主機。P2P僵尸網絡或者使用已存在的P2P協(xié)議，或者使用自定義的 P2P協(xié)議。由于 P2P 網絡本身具有的對等節(jié)點特性，在 P2P僵尸網絡中不

38、存在只充當服務器角色的僵尸網絡控制器 ,而是由僵尸程序同時承擔客戶端和服務器的雙重角色。每個僵尸主機(節(jié)點)接受攻擊者的命令時扮演的是客戶端角色。同時 ,它把接收到的命令傳播到其它節(jié)點，這時扮演的是服務端角色。僵尸主機中又分為兩種：一種是有公網IP，另一種沒有公網IP。沒有公網IP的主機只能做被控主機。</p><p>　　P2P僵尸網絡目前還沒有固定的形式，有多種形式，例如：分層構建、分片構建等</p&g

39、t;<p>　　第四章 僵尸網絡的檢測與防御</p><p>　　4.1基于IRC控制方式的僵尸網絡檢測</p><p>　　目前國內外的IRC僵尸網絡監(jiān)控技術主要包括：基于蜜罐，蜜網的監(jiān)控方法、基于網絡流量特征分析的監(jiān)控方法和基于頻道特征分析的監(jiān)控方法。</p><p>　　國內外有很多蜜罐研究機構，蜜罐檢測是在互聯(lián)網上部署蜜罐引誘來自僵尸網絡的攻擊

40、、搜集僵尸程序樣本。通過監(jiān)控和分析蜜罐主機的詳細日志來發(fā)現(xiàn)和跟蹤僵尸網絡。但無法發(fā)現(xiàn)已有的并不再傳播的僵尸網絡</p><p>　　基于網絡流量特征分析的僵尸網絡主要利用分布部署的互聯(lián)網監(jiān)測平臺收集僵尸網絡的通信流量。通過特征匹配（IRC僵尸網絡有很鮮明的特征）和關聯(lián)分析技術發(fā)現(xiàn)僵尸網絡。影響較大的包括國外的Ddos。Vax組織、CAIDA組織和FORNET項目組織，以及國內的CNCERT／CC組織?；诰W絡流量

41、特征分析的方法不僅可以發(fā)現(xiàn)和跟蹤正在傳播的僵尸網絡，還可以發(fā)現(xiàn)和跟蹤不再傳播的僵尸網絡。但對網絡流量采集器的部署要求較高。一般研究組織無法具備這個條件。</p><p>　　基于IRC頻道特征分析的僵尸網絡發(fā)現(xiàn)和跟蹤方法是的主要原理是收集（包括主動和被動收集）某些IRC頻道的特征屬性，并通過先前建立的知識庫信息來判別該IRC頻道是否為僵尸網絡。J.R.Binkey采用被動方式對波特蘭州立大學校園網絡進行監(jiān)控。統(tǒng)計

42、IRC服務器頻道內各客戶端的消息發(fā)送行為和網絡掃描行為，最后根據網絡掃描數(shù)量比例對這些IRC頻道進行排序，將那些包含多數(shù)掃描節(jié)點的頻道判定為僵尸頻道。</p><p>　　數(shù)據挖掘的僵尸網絡測量，利用大量數(shù)據提取僵尸程序的特征。</p><p>　　4.2基于HTTP控制方式的僵尸網絡檢測</p><p>　　因為該方式和IRC的通信和管理相似，可以用IRC的一些技

43、術實現(xiàn)檢測。</p><p>　　4.3基于P2P控制方式的僵尸網絡檢測</p><p>　　對于P2P的檢測，不同的研究者提出了不同的測量方式。</p><p>　　基于簽名的檢測，用DPI技術檢測僵尸網絡。但是不能檢測未知僵尸</p><p>　　基于反常情況的檢測，該方法同樣需要在主干網上進行流量統(tǒng)計與分析，此方法可以檢測未知僵尸程序，

44、但是該方法也有缺陷，不能檢測沒有發(fā)起攻擊的僵尸網絡。</p><p><b>　　4.4 應對措施</b></p><p><b>　　采用Web過濾服務</b></p><p>　　Web過濾服務是迎戰(zhàn)僵尸網絡的最有力武器。這些服務掃描Web站點發(fā)出的不正常的行為，或者掃描已知的惡意活動，并且阻止這些站點與用戶接觸。 &

45、lt;/p><p><b>　　轉換瀏覽器</b></p><p>　　防止僵尸網絡感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox.當然這兩者確實是最流行的，不過正因為如此，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)。據統(tǒng)計，Macs很少受到僵尸網絡的侵擾，正如桌面Lin

46、ux操作系統(tǒng)，因為大多數(shù)僵尸的罪魁禍首都把目標指向了流行的Windows. </p><p><b>　　禁用腳本</b></p><p>　　另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利于工作效率，特別是如果雇員們在其工作中使用了定制的、基于Web的應用程序時，更是這樣。 </p><p>　　部署入侵檢測和入侵防御系

47、統(tǒng)</p><p>　　另一種方法是調整你的IDS(入侵檢測系統(tǒng))和IPS(入侵防御系統(tǒng))，使之查找有僵尸特征的活動。 </p><p><b>　　保護用戶生成的內容</b></p><p>　　還應該保護你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒有朝著WEB 2.0社會網絡邁進，你公司的公共博客和論壇就應該

48、限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網絡軟件和主機服務的創(chuàng)造者。 </p><p><b>　　使用補救工具</b></p><p>　　如果你發(fā)現(xiàn)了一臺被感染的計算機，那么一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測并清除即使隱藏最深的rootkit感染。S

49、ymantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統(tǒng)的API(API是被操作系統(tǒng)所控制的，因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統(tǒng)免受rootkit的危害，如McAfee 和FSecure等。 </p><p><b>　　第五章 總結與展望</b>

50、;</p><p>　　5.1 僵尸網絡的研究現(xiàn)狀</p><p>　　對于Botnet的研究是最近幾年才逐漸開始的，從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發(fā)，將其視為一種由后后門工具、蠕蟲、Spyware 等技術結合的惡意軟件而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個重要的bot程序特征碼寫入到病毒庫

51、中。賽門鐵克從2004 年開始，在其每半年發(fā)布一次的安全趨勢分析報告中，以單獨的章節(jié)給出對Botnet活動的觀測結果?？ò退够苍趷阂廛浖厔莘治鰣蟾嬷兄赋?，僵尸程序的盛行是2004年病毒領域最重大的變化。</p><p>　　國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目，對收集到的惡意軟件樣本，采用了沙箱、蜜網這兩種各有優(yōu)

52、勢的技術對其進行分析，確認其是否為僵尸程序，并對僵尸程序所要連接的Botnet控制信道的信息進行提取，最終獲得了60,000 多個僵尸程序樣本分析報告，并對其中500多個仍然活躍的Botnet進行跟蹤，統(tǒng)計出所屬國分布、規(guī)模分布等信息可以看出，從國內到國外，自2004年以來對Botnet的研究越來越多地受到網絡安全研究人員的重視，研究工作已經大大加強。但是這些工作還遠遠不夠，在檢測和處置Botnet方面還有許多工作要做。。</p&

53、gt;<p>　　5.2 發(fā)展前景與總結</p><p>　　種統(tǒng)計數(shù)字和安全事件都表明一個趨勢：僵尸網絡的數(shù)量、規(guī)模和危害級別正在迅速增長。面對日漸嚴重的網絡安全形勢，面向網絡安全的關于僵尸網絡的研究已經成為一個具有重大應用價值的熱點課題。</p><p>　　IRC僵尸網絡這兩年僵尸網絡中的占有率比較大，但是也可以看出，IRC僵尸網絡有很大的局限性：①單點失效，整個僵尸網

54、絡依賴于IRC服務器的中心控制,網絡健壯性很差；②規(guī)模受限，受到IRC服務器軟硬件資源限制，中心控制點無法承載大規(guī)模的并發(fā)網絡連接；③明文傳播:由于IRC協(xié)議通過明文傳輸,流量比較容易檢測,容易暴露中心控制服務器位置和網絡活動信息。</p><p>　　P2P僵尸網絡在隱蔽性、 可控性和健壯性方面比 IRC僵尸網絡有明顯的優(yōu)勢,未來僵尸網絡是P2P占主導地位。</p><p>　　未來的

55、P2P僵尸網絡將在拓展方式、命令與控制機制、 通信機制等方面有更大的改進,對P2P僵尸網絡的檢測、跟蹤、分析將更加困難。</p><p>　　經過在畢業(yè)實習中的學習和實踐，使我對三年大學的理論知識有了更系統(tǒng)更全面的掌握，對僵尸網絡知識有了更進一步的認識，讓我了解到理論聯(lián)系實際的重要性。 致謝</p><p>　　本論文是在我的導師XX老師的

56、親切關懷和細心指導下完成的，他嚴肅的指導態(tài)度，嚴謹?shù)闹螌W精神以及精益求精的工作作風深深地感染和激勵著我。從課題選擇到論文的最終完成，孫老師都始終給予我悉心的指導和不懈的支持，在此謹向秦老師致以誠摯的謝意和崇高的敬意。</p><p>　　在此，我還要感謝一起愉悅度過大學生活的XXXX的老師和同學們，正是由于你們的支持我才能克服一個一個的困難和疑惑。</p><p><b>　　參

57、考文獻</b></p><p>　　[1]孔雪輝，王述洋，黎粵華等. 面向網絡安全的關于僵尸網絡的研究，中國安全科學學報2009（7）</p><p>　　[2]張 冰，杜躍進，段海新，焦緒錄. 僵尸網絡(NOTNET)監(jiān)控技術研究，信息安全,2008</p><p>　　[3] Maryam Feily, Alireza Shahrestani . A

58、 Survey of Botnet and Botnet Detection. 2009 Third International Conference on Emerging Security Information, Systems and Technologies</p><p>　　[4]Chung-Huang Yang，Kuang-Li Ting. Fast Deployment of Botnet De

59、tection with Traffic Monitoring. 2009 Fifth International Conference on Intelligent Information Hiding and Multimedia Signal Processing</p><p>　　[5]蔡慧梅. 僵尸網絡的研究與發(fā)現(xiàn)，計算機安全,2008.4</p><p>　　[6]陸偉宙，余

60、順爭.僵尸網絡檢測方法研究，電信科學,2007.12</p><p>　　[7] Dafan Dong, Ying Wu, Liang He etc.Deep Analysis of Intending Peer-to-Peer Botnet，2008 Seventh International Conference on Grid and Cooperative Computing</p><

61、;p>　　[8] Elizabeth Van Ruitenbeek and William H. Sanders. Modeling Peer-to-Peer Botnets，Quantitative Evaluation of SysTems，2008</p><p>　　[9] Su Chang, Linfeng Zhang, Yong Guan, Thomas E. Daniels. A Framew

62、ork for P2P Botnets，2009 International Conference on Communications and Mobile Computin</p><p>　　[10]黃萍，譚良.半分布式P2P Botnet控制服務器的設計與實現(xiàn). 計算機應用,2009（9）</p><p>　　[11]應凌云,馮登國,蘇璞睿. 基于P2P的僵尸網絡及其防御. 電子學報