1、僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的傳播僵尸程序控制大量主機(jī)，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)，實(shí)現(xiàn)信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等攻擊目的。P2P僵尸網(wǎng)絡(luò)是利用P2P網(wǎng)絡(luò)傳播或控制僵尸程序的網(wǎng)絡(luò)，它擺脫了中心服務(wù)器的限制，采用P2P技術(shù)構(gòu)建新的命令與控制信道，大大增加了生存性、隱蔽性和健壯性，使檢測和防范變得更加困難，對因特網(wǎng)的安全造成了嚴(yán)重威脅，但目前國內(nèi)外對其檢測的研究相對滯后，尚無通用化檢測方法。 本研究對P

2、2P僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)、命令與控制機(jī)制和體系結(jié)構(gòu)進(jìn)行了剖析，利用蜜網(wǎng)采集僵尸程序，并對其做了分析，建立特征庫。在蠕蟲傳播模型的理論基礎(chǔ)上建立了P2P僵尸程序傳播模型。基于靜態(tài)特征、流量監(jiān)測、蜜網(wǎng)分析和主動探測四種檢測技術(shù)，對僵尸網(wǎng)絡(luò)跟蹤做了改進(jìn)，使之可以應(yīng)用于P2P僵尸網(wǎng)絡(luò)的檢測，并設(shè)計(jì)了可行的試驗(yàn)方案。設(shè)計(jì)了一個基于主動測量的P2P僵尸網(wǎng)絡(luò)檢測試驗(yàn)系統(tǒng)，完成了主動探測蠕蟲的算法設(shè)計(jì)和編碼工作，對試驗(yàn)系統(tǒng)的詳細(xì)設(shè)計(jì)框架做了描述，對試驗(yàn)結(jié)

3、果做了分析。系統(tǒng)以DHT架構(gòu)的P2P網(wǎng)絡(luò)Overnet為試驗(yàn)環(huán)境，以P2P僵尸程序Peacomm為實(shí)例作出檢測。在蜜網(wǎng)中部署可控P2P僵尸程序，對進(jìn)出蜜網(wǎng)的疑似流量進(jìn)行捕獲，得到P2P僵尸程序命令與控制流的特征。主動探測是核心模塊，使用爬蟲主動加入Overnet網(wǎng)絡(luò)，獲取整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和所有節(jié)點(diǎn)的路由信息。若蜜網(wǎng)中的僵尸程序與外界僵尸網(wǎng)絡(luò)發(fā)生通信，通過截獲的疑似流量，再結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可以有效檢測出P2P僵尸網(wǎng)絡(luò)，并對其作出準(zhǔn)確的