技術領域：

本技術屬于計算機安全領域，具體的說是在需要檢測的網(wǎng)絡內(nèi)檢測和發(fā)現(xiàn)p2p?botnet是否存在以及存在于哪些主機的方法和系統(tǒng)。本發(fā)明亦涉及網(wǎng)絡入侵檢測系統(tǒng)(NIDS：Network?Intrusion?DetectionSystem)，所采用的方法可以與NIDS無縫集成。?

背景技術：

僵尸網(wǎng)絡(botnet)是黑客出于某些惡意目的，傳播僵尸程序(bot)來控制許多主機，并通過一對多的命令來控制僵尸程序所組成的網(wǎng)絡。僵尸網(wǎng)絡是從傳統(tǒng)惡意代碼包括病毒、網(wǎng)絡蠕蟲、特洛伊木馬和后門工具的基礎上進化，并通過相互融合發(fā)展而成的目前最為復雜的攻擊方式之一。由于為攻擊者提供了隱匿、靈活且高效的控制機制，僵尸網(wǎng)絡得到極大的發(fā)展，從而成為因特網(wǎng)最為嚴重的威脅之一。利用僵尸網(wǎng)絡，攻擊者可以方便的控制大量主機對因特網(wǎng)任意站點或者主機發(fā)起分布式拒絕服務攻擊(DDOS)，并發(fā)送大量垃圾郵件，從受控主機上偷取敏感信息或進行點擊欺詐以牟取經(jīng)濟利益。當前主要使用的僵尸網(wǎng)絡命令與控制機制包括：基于IRC協(xié)議的命令與控制機制，基于HTTP協(xié)議的命令與控制機制，以及基于P2P協(xié)議的命令與控制機制這三大類。?

IRC協(xié)議是Internet早期使用的一種網(wǎng)絡聊天協(xié)議，由于它提供了簡單、低延遲、匿名的實時通信方式，因此在botnet發(fā)展初期，IRC協(xié)議很自然成為構(gòu)建一對多命令與控制信道的主流協(xié)議。目前大部分研究都針對IRC協(xié)議的僵尸網(wǎng)絡展開。HTTP協(xié)議則是近年來除IRC協(xié)議外的另一種流行的僵尸網(wǎng)絡命令與控制協(xié)議，由于IRC協(xié)議已經(jīng)是僵尸網(wǎng)絡主流控制協(xié)議，研究機構(gòu)更加關注監(jiān)測IRC通信以檢測其中隱藏的僵尸網(wǎng)絡活動，使用HTTP協(xié)議構(gòu)建控制信道則可以讓僵尸網(wǎng)絡控制流量隱藏在大量的Web通信中，從而使得基于HTTP協(xié)議的僵尸網(wǎng)絡活動更難以被檢測。?

基于IRC和HTTP協(xié)議的控制機制都具有集中控制點，這使得這種基于客戶端-服務器架構(gòu)的僵尸網(wǎng)絡容易被跟蹤、檢測和反制，一旦防御者獲得僵尸程序，他們就能很容易地發(fā)現(xiàn)僵尸網(wǎng)絡控制器的位置，并使用監(jiān)測和跟蹤手段掌握僵尸網(wǎng)絡的全局信息，通過關閉這些集中的僵尸網(wǎng)絡控制器也能夠比較容易地消除僵尸網(wǎng)絡所帶來的威脅。為了讓僵尸網(wǎng)絡更具韌性和隱蔽性，一些新型僵尸程序(例如Peacomm、Nugache、Sinit等)開始使用P2P協(xié)議構(gòu)建其命令與控制機制。?

目前，由于IRC協(xié)議是僵尸網(wǎng)絡的主流控制協(xié)議，所以大部分的相關研究工作都是關注IRC僵尸網(wǎng)絡控制信道的檢測?；赑2P協(xié)議的僵尸網(wǎng)絡不具有集中式控制中心，并且具有極強的隱蔽性和個性化，目前各類機構(gòu)針對p2p新型僵尸網(wǎng)絡的檢測方法的研究剛剛開始，對p2p僵尸網(wǎng)絡的研究還主要停留在初始階段。基于P2P協(xié)議的僵尸網(wǎng)絡由于具有較強的分布性和隱蔽性，科研單位和安全機構(gòu)還無法給出準確、高效、實時的檢測方法，隨著新型p2p僵尸網(wǎng)絡近年來的不斷發(fā)展，構(gòu)建相關有效的檢測方法將是一個重要的研究課題。發(fā)明人研究的以p2p技術為核心的新型p2p?botnet檢測方法與系統(tǒng)，具有準確、高效、實時等特點，能夠防止待檢網(wǎng)絡更多主機感染p2p?botnet，為快速響應新型p2p?botnet攻擊提供相關基礎和應急策略。?

現(xiàn)在對p2p?botnet的檢測主要有兩類方法：?

一、基于主機的檢測方法。目前，各種殺病毒軟件將各種p2p?botnet及其變種當作木馬或者病毒處理，主要采用特征碼匹配技術或者惡意行為分析來檢測各種僵尸程序。優(yōu)點是對于大規(guī)模流行botnet能夠相對及時發(fā)現(xiàn)并處理，缺點是對于智能變種botnet不能發(fā)現(xiàn)并處理，不能對遠程控制主機進行報告和反制等，另外各種殺病毒軟件能力不同、終端用戶需要安全殺病毒軟件、終端用戶安全意識淡薄都影響僵尸程序的檢測。?

二、基于網(wǎng)絡的檢測方法。該種方法主要針對網(wǎng)絡流量數(shù)據(jù)進行分析，通過流量數(shù)據(jù)的異常特征來判斷網(wǎng)絡內(nèi)主機是否感染p2p僵尸網(wǎng)絡。目前該種方法按照實時性也可分為兩種：一種是離線非實時檢測，即預先收集一段時間內(nèi)的網(wǎng)絡流量數(shù)據(jù)，然后利用各種算法對離線數(shù)據(jù)進行分析與檢測；另一種是在線實時檢測，即實時監(jiān)控待檢網(wǎng)絡，接收相關流量數(shù)據(jù)，對數(shù)據(jù)實時分析并檢測，然?后報告疑似感染主機。實時檢測與非實時檢測相比，具有高效、快速檢測、快速發(fā)現(xiàn)等特點，適合應用在安全等級較高的網(wǎng)絡。本發(fā)明即為一種實時p2p?botnet檢測方法與系統(tǒng)。?

根據(jù)能檢索到的文獻記錄，目前針對p2p?botnet的離線非實時檢測方法主要有：?