技術領域

本實用新型涉及網絡入侵領域一種僵尸網絡監測和應對系統，具體涉及一種P2P僵尸網絡檢測和應對系統。

背景技術

隨著P2P僵尸網絡的不斷增加和P2P技術的不斷成熟，針對P2P僵尸網絡的防御技術也在不斷的發展。有很多的學者在研究如何探測僵尸網絡，如何監控并且關閉僵尸網絡。僵尸網絡是一種從傳統惡意代碼進化而來的新型攻擊形式。低成本高效地僵尸網絡通過發送垃圾郵件、拒絕服務攻擊、竊取敏感信息等惡意活動已對正常的網絡服務造成嚴重威脅。僵尸網絡研究涉及防御或抑制、遷移、傳播、檢測、可視化等各個方面，而其中的僵尸網絡檢測是對其進行有效防御和反制的基本前提。現有多數檢測算法均基于包或流方式。雖然這類算法在很多實際環境中取得了較高的準確率等性能，但導致了諸如檢測率低、特征敏感、處理數據量大及無法識別未知僵尸等問題。

實用新型內容

本實用新型提供了一種P2P僵尸網絡檢測和應對系統，該實用新型采用關鍵節點檢測并通過“惡意”節點主機侵入P2P僵尸網絡，逐步將僵尸主機與節點主機分離的方式，有效檢測并應對P2P僵尸網絡的蔓延，網絡結構設計合理，僵尸網絡的控制效果顯著。

為了達到上述目的，本實用新型有如下技術方案：

本實用新型一種P2P僵尸網絡檢測和應對系統，包括關鍵節點探測服務器、引導服務器、控制服務器和惡意節點主機，所述關鍵節點探測服務器和所述引導服務器并行與控制服務器連接，所述控制服務器與所述網絡入侵檢測引擎連接，所述惡意節點主機與網絡入侵檢測引擎連接并接入網絡。

其中，所述惡意節點主機可以為一臺或多臺串聯接入網絡。

其中，所述引導服務器包含一個無效IP列表定時與惡意節點主機保持更新。

由于采取了以上技術方案，本實用新型的優點在于：

1、網絡結構設計合理；

2、僵尸網絡的控制效果好。

附圖說明

圖1為本實用新型的一種整體網絡結構示意圖。

圖中：1、關鍵節點探測服務器2、引導服務器3、控制服務器4、惡意節點主機5、網絡入侵檢測引擎

具體實施方式

以下實施用于說明本實用新型，但不用來限制本實用新型的范圍。

參見圖1，本實用新型的一種P2P僵尸網絡檢測和應對系統，包括關鍵節點探測服務器1、引導服務器2、控制服務器3和惡意節點主機4，所述關鍵節點探測服務器1和所述引導服務器2并行與控制服務器3連接，所述引導服務器2包含一個無效IP列表定時與惡意節點主機4保持更新，所述控制服務器3與所述網絡入侵檢測引擎5連接，所述惡意節點主機4與網絡入侵檢測引擎5連接并接入網絡，所述惡意節點主機4可以為一臺或多臺串聯接入網絡。

工作原理：

P2P僵尸網絡關鍵節點探測關鍵節點集就是一個或者多個節點的最小集合，在它們不參與轉發命令時，可以導致P2P僵尸網絡的其它超級節點產生不可達關系，從而導致某些超級節點收不到命令。在此使用兩種方法來檢測P2P僵尸網絡中關鍵節點的存在：分布式檢測和集中式檢測。

幾乎所有的P2P僵尸網絡都有一個弱點，那就是所有的對等主機會使用相同的運行機制。節點主機需要維護包含其他節點的列表，同時共享給工作機，使它們能夠分布式地連接到一系列節點上。如果主控者手動為每個節點提供其他節點的地址，將耗費難以估計的時間，甚至是不可能做到的，因此交給節點自動完成。當一個僵尸節點被認定可以接受連入請求時，節點主機便連接到它，并給它共享一個節點列表。那么如果引入一臺對僵尸網絡來說居心叵測的計算機，它有條件作為節點主機，并且向其他節點共享一個包含無效IP的列表。很可能效果不是很大，節點會校驗新獲取的IP以確保它們可用。引入許多這樣的“惡意”計算機，并非提供無效的節點IP，而是提供它們各自的IP。資源充足的情況下，“惡意”計算機會成為僵尸網絡中重要的一部分，并且把僵尸主機和節點主機分離。通過這樣的方式，可以使工作機只能獲取“惡意”的節點，從而顯著降低它們重新成為僵尸網絡一員的可能性。在一定的時間內，“惡意”節點會阻止正常節點傳播命令，于是工作機也無法接收到指令，打了主控者一個措手不及。這個辦法不太可能將所有的工作機分離出來，但已大大削弱了僵尸網絡的影響程度。保持“惡意”節點持續運行能夠將更多的主機占為己有，也時刻監視著那些可能存有“正常”節點IP地址的僵尸主機。

顯然，本實用新型的上述實施例僅僅是為清楚地說明本實用新型所作的舉例，而并非是對本實用新型的實施方式的限定。對于所屬領域的普通技術人員來說，在上述說明的基礎上還可以做出其它不同形式的變化或變動。這里無法對所有的實施方式予以窮舉。凡是屬于本實用新型的技術方案所引伸出的顯而易見的變化或變動仍處于本實用新型的保護范圍之列。