1、僵尸網(wǎng)絡(luò)可被攻擊者用來(lái)實(shí)施覆蓋范圍大、攻擊力度強(qiáng)、防范難度高的網(wǎng)絡(luò)攻擊，對(duì)互聯(lián)網(wǎng)正常運(yùn)行造成嚴(yán)重威脅。由于僵尸網(wǎng)絡(luò)是在互聯(lián)網(wǎng)上通過(guò)命令控制機(jī)制將感染僵尸程序的設(shè)備組織成一個(gè)邏輯的可受控網(wǎng)絡(luò)平臺(tái)，因而命令控制機(jī)制是僵尸網(wǎng)絡(luò)正常運(yùn)行的核心所在，且隨著僵尸網(wǎng)絡(luò)的不斷演進(jìn)而發(fā)生變化。研究僵尸網(wǎng)絡(luò)命令控制機(jī)制對(duì)理解僵尸網(wǎng)絡(luò)運(yùn)行機(jī)理、探索未來(lái)僵尸網(wǎng)絡(luò)可能的組織方式、識(shí)別與檢測(cè)未知僵尸網(wǎng)絡(luò)類(lèi)型、遏制僵尸網(wǎng)絡(luò)的蔓延等具有重要作用。
　　已揭示的僵

2、尸網(wǎng)絡(luò)命令控制機(jī)制采用固定IP或者域名、Domain-Flux、Fast-Flux及P2P方式來(lái)查找命令控制服務(wù)器節(jié)點(diǎn)，且使用明文或密文的方式來(lái)傳送命令控制信息。主要存在命令控制服務(wù)器節(jié)點(diǎn)查找過(guò)程隱蔽性較弱、命令控制信息明文傳送安全性較低而加密方式時(shí)空復(fù)雜度高、本地網(wǎng)絡(luò)同類(lèi)僵尸節(jié)點(diǎn)通信行為具有相似性等問(wèn)題。
　　本文針對(duì)上述問(wèn)題，圍繞新型命令控制機(jī)制的構(gòu)建，從命令控制服務(wù)器節(jié)點(diǎn)信息查找、命令控制信息隱蔽傳送及本地網(wǎng)絡(luò)同類(lèi)僵尸節(jié)點(diǎn)命

3、令控制信息分發(fā)等內(nèi)容展開(kāi)研究，論文具體主要工作及創(chuàng)新分為如下四個(gè)方面:
　　(1)針對(duì)僵尸節(jié)點(diǎn)查找命令控制服務(wù)器節(jié)點(diǎn)過(guò)程隱蔽性較差的問(wèn)題，提出基于Web搜索服務(wù)的命令控制服務(wù)器節(jié)點(diǎn)信息查找方法，并通過(guò)較長(zhǎng)時(shí)間的實(shí)驗(yàn)測(cè)試，驗(yàn)證了該方法的可行性與有效性。該方利用正常Web搜索服務(wù)來(lái)偽裝命令控制服務(wù)器節(jié)點(diǎn)查找過(guò)程，攻擊者事先通過(guò)免費(fèi)博客發(fā)布以日期MD5值為標(biāo)題、命令控制服務(wù)器節(jié)點(diǎn)信息（如IP地址、域名等）為內(nèi)容的博文，且這些博文可被We

4、b搜索引擎收錄。其次，僵尸節(jié)點(diǎn)通過(guò)關(guān)鍵字生成算法產(chǎn)生日期的MD5值，并作為搜索關(guān)鍵字遞交給Web搜索服務(wù)獲取搜索記錄集合。最后，利用Top-K算法對(duì)該記錄集合進(jìn)行過(guò)濾，選取排名前K條與含有命令控制服務(wù)器節(jié)點(diǎn)信息博文相關(guān)的記錄，并提取這些記錄摘要部分中的命令控制服務(wù)器節(jié)點(diǎn)信息。
　　(2)針對(duì)命令控制信息明文傳送安全性較低、加密傳送時(shí)空復(fù)雜度大問(wèn)題，提出基于信息隱藏思想的命令控制信息傳送方法，克服了明文傳送方式易被檢測(cè)與識(shí)別問(wèn)題，且

5、有效避免了加密傳送方式造成的時(shí)空開(kāi)銷(xiāo)較大的問(wèn)題。該方法以Web頁(yè)面HTML代碼為載體，借用信息隱藏技術(shù)來(lái)傳送命令控制信息。首先分析了當(dāng)前Web頁(yè)面HTML代碼的內(nèi)在特征，根據(jù)自定義的字符編碼表將命令控制信息進(jìn)行序列化以形成二進(jìn)制串，并對(duì)該二進(jìn)制串進(jìn)行Arnold置亂變換以增加其隱蔽性。然后通過(guò)改變載體Web頁(yè)面HTML代碼中每行/列字符數(shù)量的奇偶性來(lái)表示置亂二進(jìn)制串中每個(gè)比特，實(shí)現(xiàn)命令控制信息在載體Web頁(yè)面中的隱藏。最后，當(dāng)僵尸節(jié)點(diǎn)獲

6、取該載體Web頁(yè)面后，通過(guò)判斷其HTML代碼的奇偶性與Arnold逆變換即可提取出所隱藏的命令控制信息，完成命令控制信息傳送。
　　(3)針對(duì)本地網(wǎng)絡(luò)同類(lèi)僵尸節(jié)點(diǎn)獲取命令控制信息過(guò)程存在通信行為相似性的問(wèn)題，提出面向本地網(wǎng)絡(luò)同類(lèi)僵尸節(jié)點(diǎn)的命令控制信息分發(fā)方法，提高了同類(lèi)型僵尸節(jié)點(diǎn)通信流量的隱蔽性，從而有效避免其通信行為相似性，且具有較好的魯棒性。該方法通過(guò)本地網(wǎng)絡(luò)選舉出的僵尸節(jié)點(diǎn)代表來(lái)獲取與分發(fā)命令控制信息。首先，定義開(kāi)機(jī)時(shí)間比與

7、CPU利用率比作為評(píng)價(jià)僵尸節(jié)點(diǎn)性能的兩個(gè)指標(biāo)。其次，本地網(wǎng)絡(luò)內(nèi)同類(lèi)型僵尸節(jié)點(diǎn)通過(guò)LLMNR Query報(bào)文將自身的兩個(gè)評(píng)價(jià)指標(biāo)數(shù)值進(jìn)行相互通告后，結(jié)合證據(jù)理論選出該同類(lèi)型僵尸節(jié)點(diǎn)的臨時(shí)代表BTL。然后，BTL通過(guò)Web搜索服務(wù)來(lái)查找命令控制服務(wù)器節(jié)點(diǎn)，并利用Web頁(yè)面信息隱藏方式獲取命令控制信息。最后，BTL構(gòu)造含有命令控制信息的LLMNR Query報(bào)文以告知其它同類(lèi)僵尸節(jié)點(diǎn)，從而完成命令信息在本地網(wǎng)絡(luò)內(nèi)的分發(fā)。
　　(4)基于