基于流角色檢測P2P botnet

宋元章，何俊婷，張波，王俊杰，王安邦

(1.中國科學(xué)院 長春光學(xué)精密機械與物理研究所，吉林 長春 130033；2.中國第一汽車股份有限公司 技術(shù)中心汽車電子部電控產(chǎn)品設(shè)計室，吉林 長春 130011)

1 引言

僵尸網(wǎng)絡(luò)（botnet）是攻擊者(botmaster)通過bot程序控制的惡意計算機群。它是從傳統(tǒng)惡意代碼形態(tài)進化而來的目前對Internet最有效的攻擊方式。攻擊者可以通過改變botnet的負(fù)載方便地發(fā)起DDoS攻擊、發(fā)送垃圾郵件(spamming)等。非集中控制的分散式網(wǎng)絡(luò)結(jié)構(gòu)將是botnet未來的發(fā)展趨勢。2007年出現(xiàn)的Storm botnet是新型P2P botnet的代表，它使用基于P2P的Overnet/eDonkey網(wǎng)絡(luò)維持C&C(command and control)[1]。

新型分散式botnet將P2P網(wǎng)絡(luò)的分散式拓?fù)浣Y(jié)構(gòu)引入到botnet的C&C機制中，在整個botnet中沒有控制中心，即使一部分bot節(jié)點被剔除，剩余的bot節(jié)點仍能構(gòu)成有效的攻擊網(wǎng)絡(luò)，因此針對傳統(tǒng)的集中式botnet的單個控制中心的檢測和防御方法已經(jīng)失效。新型P2P botnet的檢測已成為當(dāng)前網(wǎng)絡(luò)安全研究的重大問題。

在詳細(xì)分析Storm botnet行為與特征的基礎(chǔ)上，本文提出了一種新型的基于流角色的實時檢測P2P botnet模型—RF。流角色是指基于網(wǎng)絡(luò)流自身的特性所決定的其在檢測P2P botnet時所起的作用，假設(shè)P2P botnet發(fā)動攻擊時會導(dǎo)致某種網(wǎng)絡(luò)流的異常，那么就可通過檢測該網(wǎng)絡(luò)流的特征來檢測P2P botnet導(dǎo)致的“攻擊異常”，這就可以看作是該網(wǎng)絡(luò)流在檢測P2P botnet時的角色。本文提出的RF模型從流本身的特性出發(fā)，使其在檢測P2P botnet時處于不同的角色，以發(fā)現(xiàn)P2P botnet的本質(zhì)異常和攻擊異常：通過對UDP流和ICMP流的處理發(fā)現(xiàn)botnet的固有特征導(dǎo)致的“本質(zhì)異?！保驗閁DP流和ICMP流與botnet的C&C機制直接相關(guān)；通過對SMTP流的處理發(fā)現(xiàn)是botnet的攻擊流導(dǎo)致的異常，因為P2P botnet經(jīng)常用來發(fā)動垃圾郵件攻擊，從而導(dǎo)致SMTP流的異常；考慮到網(wǎng)絡(luò)應(yīng)用程序?qū)z測的影響，利用TCP流的特征來區(qū)分流量異常是由網(wǎng)絡(luò)應(yīng)用程序引起的還是因為爆發(fā)P2P botnet引起的。為了進一步降低檢測的誤報率和漏報率，本文提出了一種基于滑動窗口的實時估算Hurst指數(shù)的方法，并且采用Kaufman算法來動態(tài)調(diào)整閾值。實驗表明，該模型能夠有效檢測新型P2P botnet，適應(yīng)更復(fù)雜的網(wǎng)絡(luò)環(huán)境。

2 相關(guān)研究

目前，對新型分散式P2P botnet的分析和檢測研究剛剛展開。

Grizzard J B等人[2]對P2P botnet的特征進行了詳細(xì)分析，以Storm botnet為例對其感染、傳播和通信機制進行了深入研究和闡述，對以后的研究工作有很大的啟發(fā)意義。

Sarat S等人[3]和Holz T等人[4]使用類似的方法分析Storm botnet。前者的研究結(jié)果表明Storm的Peer ID非常不規(guī)律，有很多不可達的IP地址，為檢測和防御提供了一定的基礎(chǔ)。后者通過發(fā)布偽造的key來混淆bot主機間的通信以抑制botnet規(guī)模。

STEGGINK M等人[5]通過對比Storm與其他軟件的流量情況，提出了基于網(wǎng)絡(luò)特征（例如Storm分組特定長度）的檢測方法。

Phillip Porras等人[6]通過分析Storm會話特征，提出通過使用BotHunter對會話和交互過程進行模式匹配以檢測P2P botnet的方法。

王海龍等人[7]提出了一種botnet檢測層次協(xié)同模型，它能夠在信息、特性以及決策3個級別上進行協(xié)同。

王勁松等人[8]提出了一種基于組特征過濾器的檢測botnet的方法，使用多個成員特征對內(nèi)網(wǎng)主機數(shù)據(jù)分組進行過濾，可以在不需要開發(fā)新的模式匹配算法的前提下實現(xiàn)對bot主機間的通信數(shù)據(jù)的識別以檢測bot主機。

考慮到僵尸網(wǎng)絡(luò)的遷移問題，臧天寧[9]等人關(guān)注的是不同的僵尸群之間的關(guān)系，利用云模型對僵尸群的通信特征進行分析，從而判斷它們是否屬于同一個僵尸網(wǎng)絡(luò)。

諸葛建偉等人[10,11]分析和總結(jié)了botnet的演化過程，國內(nèi)外目前跟蹤、檢測和防御botnet的方法，并對botnet的發(fā)展趨勢和進一步的研究方向進行了探討。

綜上所述，當(dāng)前P2P botnet分析和檢測研究仍處于初期階段，主要存在以下問題。

1) 對于網(wǎng)絡(luò)流采取類似的處理方法，忽視了網(wǎng)絡(luò)流本身的特性，使得它們在P2P botnet檢測中的充當(dāng)相同的角色：UDP流異常是botnet的C&C過程導(dǎo)致的，這是botnet本質(zhì)的流量異常；ICMP流異常是bot主機固有的bootstrap過程導(dǎo)致的，這也是botnet本質(zhì)的流量異常；SMTP流異常是攻擊者利用botnet發(fā)送大量垃圾郵件導(dǎo)致的，這是botnet的攻擊流導(dǎo)致的異常，所以不同種類的流在檢測P2P botnet時應(yīng)處于不同的角色。

2) 沒有考慮到網(wǎng)絡(luò)應(yīng)用程序，尤其是P2P應(yīng)用對P2P botnet檢測的影響。從本質(zhì)上看，P2P botnet是一個可以發(fā)動網(wǎng)絡(luò)攻擊的P2P網(wǎng)絡(luò)，所以兩者有較強的相似性，因此正常P2P應(yīng)用對P2P botnet的檢測會產(chǎn)生很大的誤差影響。

3 Storm botnet分析

Storm botnet是P2P botnet的典型代表，其生命周期如下。

1) 侵染受害主機。

① 通過傳播bot程序侵染網(wǎng)絡(luò)中易感主機。

② bootstrap過程：主機感染bot程序后，會周期性通過連接相應(yīng)bot節(jié)點嘗試加入P2P botnet。

③ 二次注入過程：bot主機通過P2P網(wǎng)絡(luò)查詢事先約定的key以下載攻擊負(fù)載、更新自身代碼和更新P2P節(jié)點列表等。

④ keep alive：bot主機通過定期與其他bot主機通信來保證其一直處于P2P botnet中。

2) 攻擊者發(fā)送攻擊命令，以催動botnet中的bot主機執(zhí)行攻擊負(fù)載向攻擊目標(biāo)發(fā)動攻擊。

這些過程中有幾個流量方面的特征。

1) UDP流主要用來C&C：在botnet中keep alive、發(fā)現(xiàn)其他bot節(jié)點等，這會導(dǎo)致UDP流大量增加，由于botnet固有的特性C&C過程導(dǎo)致的UDP流異常是botnet的本質(zhì)異常。

2) 在bootstrap過程中，bot主機會隨機連接某些bot節(jié)點，這時會發(fā)生較多的連接失敗，導(dǎo)致ICMP流異常，這是botnet固有的特性（bot主機的bootstrap過程）導(dǎo)致的本質(zhì)異常。

3) bot主機發(fā)送大量垃圾郵件會大量使用SMTP協(xié)議[5]進而導(dǎo)致SMTP流異常，這是botnet發(fā)動的攻擊流導(dǎo)致的異常。

因此，對于網(wǎng)絡(luò)流應(yīng)從流本身的特性出發(fā)，使其在檢測P2P botnet時處于不同的角色，不應(yīng)不做區(qū)分就做相似的處理。在第4章將從流本身的特性出發(fā)，使其在檢測P2P botnet時處于不同的角色，分別檢測P2P botnet的本質(zhì)異常和攻擊異常，并用一定的手段消除正常P2P應(yīng)用對P2P botnet的檢測產(chǎn)生的誤差影響。

4 RF模型

4.1 發(fā)現(xiàn)P2P botnet的本質(zhì)異常

4.1.1 C&C機制導(dǎo)致的異常

由第3節(jié)知，C&C過程是botnet的根本，而UDP流是botnet進行C&C過程的主要手段，盡管實現(xiàn)C&C過程的P2P協(xié)議和botnet發(fā)動的攻擊多種多樣，但是從UDP流的角度來看是類似的，所以UDP流異常是最能反映botnet流量特征的本質(zhì)異常。在RF模型中，通過檢測UDP流的異常來發(fā)現(xiàn)botnet的本質(zhì)異常，首先采用反映網(wǎng)絡(luò)自相似性的Hurst指數(shù)來獲取UDP流的情況以發(fā)現(xiàn)其異常，再將處理后的數(shù)據(jù)輸入到Multi-chart CUSUM中以提高檢測的靈敏度。

4.1.1.1 網(wǎng)絡(luò)自相似性

近年來，許多研究發(fā)現(xiàn)，相比于傳統(tǒng)短時相關(guān)模型，網(wǎng)絡(luò)流量自相似性過程能更好地描述網(wǎng)絡(luò)流量的特征[12,13]。特別地，KIM J S 等人[14]研究發(fā)現(xiàn)UDP流有明顯的自相似性，這是UDP流自身所固有的特征。

自相似性指的是總體結(jié)構(gòu)和局部結(jié)構(gòu)在某種程度上有一致性。網(wǎng)絡(luò)流量可以看作是在時間維度上具有自相似性的時間序列。

若對所有的a＞0，一個連續(xù)時間隨機過程X(t)都有

式(1)中的等號代表統(tǒng)計意義上的相等，則X(t)具有自相似性。式(1)中的參數(shù)H(0.5≤H＜1)稱為Hurst指數(shù)，反映自相似的程度。自相似程度越低，H值越接近0.5。

假設(shè)當(dāng)前時刻為k，定義

由第3節(jié)知，Storm會導(dǎo)致UDP分組增多，而且bot主機在bootstrap、keep alive時，會周期性地與某些bot節(jié)點聯(lián)系，這會導(dǎo)致UDP流自相似性的減弱，進而引起Hurst值減小，HPk增大，故可通過檢測參數(shù)HPk來發(fā)現(xiàn)這些異常：首先對UDP流量采樣，然后計算其Hurst值，再計算參數(shù)HPk，當(dāng)HPk增大時表示UDP流發(fā)生了異常。計算Hurst指數(shù)的方法詳見4.1.1.2節(jié)。為了提高檢測的靈敏度，將HPk輸入到Multi-chart CUSUM中以放大異常，詳見4.1.2節(jié)。

4.1.1.2 一種基于滑動窗口的實時估算Hurst指數(shù)的方法

Karagiannis等人[15,16]對估算Hurst指數(shù)的方法研究發(fā)現(xiàn)，相比于小波分析法(abry-veitch method)和周期圖法(periodogram method), R/S法(rescaled range method)受噪聲等因素的影響更小，具有更好的穩(wěn)定性，因此本文使用R/S法。為了進一步提高估算的精度，保證實時性，本文對R/S方法進行了改進，提出了一種基于滑動窗口的實時估算Hurst指數(shù)的方法，如圖1所示。

圖1 滑動窗口示意

假設(shè)滑動窗口的長度為L，每使用R/S法估算一次Hurst指數(shù)需要一個滑動窗口大小的時間序列，每估算完一次Hurst指數(shù)后向前滑動步長step,即：使用原先的L-step長度的數(shù)據(jù)和新采樣的step長度的數(shù)據(jù)計算下一個Hurst指數(shù)。

假設(shè)長度L的時間序列為{X1,…,XL}，利用R/S法估算Hurst值的過程具體如下：將該時間序列劃分成長度為n的子序列，那么得到子序列的個數(shù)d=L/n。對于每一個子序列m=1,…,d。

1) 求其期望Em：

2) 求其標(biāo)準(zhǔn)差Sm：

3) 求其極差Rm：

Yj,m代表第m個子序列第j個元素的值。Zi,m代表第m個子序列前i個元素與Em偏差的累計。

4) 求各子序列的Rm/Sm(m=1,…,d)的期望

研究表明，(R/S)n與子序列長度n的關(guān)系可表示為

C為常數(shù)，H為Hurst值(式(8)中的等號代表統(tǒng)計意義上的相等)。

式(8)兩邊取對數(shù)得

對于一個給定的n值，可得一個(R/S)n。對于不同的n值，若以logn為橫坐標(biāo)，log(R/S)n為縱坐標(biāo)，則在直角坐標(biāo)系中可得到許多點，那么Hurst指數(shù)的估算值就是進行直線擬合后所得直線的斜率。

4.1.2 Bootstrap過程導(dǎo)致的異常

在bootstrap過程中，bot主機會隨機連接某些bot節(jié)點，這時會發(fā)生較多的連接失敗，導(dǎo)致ICMP流異常，這是botnet固有的特性導(dǎo)致的本質(zhì)異常。在RF模型中，通過利用Multi-chart CUSUM來檢測ICMP流的異常以檢測該botnet本質(zhì)異常。

一維非參數(shù)CUSUM算法已經(jīng)在異常檢測和改變點檢測方面有廣泛的應(yīng)用，本文將其擴展為Multi-chart CUSUM[17]，它可以同時考慮網(wǎng)絡(luò)流量多種特征，放大流量異常，以提高檢測的靈敏度。

對于隨機序列{X1,…,Xn}，令Pki代表第i(i=1,…,n)個觀測序列在k時刻檢測到異常，P∞代表未檢測到異常。代表ikP的累計評價，第i個觀測序列的累計評價和Sn(i)為

為使用CUSUM算法，需要對gi,s(Xi(n))做如下變換，使得正常情況下觀測序列的均值為負(fù)數(shù)，在變化發(fā)生后其均值為正數(shù)：

式(11)中，μi=E∞Xi(n)代表在正常情況下觀測序列的均值?？蓪⑹剑?0）遞歸表示如下：

定義判定函數(shù)

當(dāng)Sn(i)大于閾值時，表示發(fā)生異常。為了提高檢測精度，使用Kaufman算法[18]動態(tài)調(diào)整M。

當(dāng)上述的隨機序列{X1,…,Xn}是ICMP流的比例值CICMP和UDP流在第一階段處理后的結(jié)果HPk時，Multi-chart CUSUM可以及時檢測到ICMP流和UDP流的異常。

4.2 發(fā)現(xiàn)攻擊流導(dǎo)致的異常

Bot主機在發(fā)送大量垃圾郵件時會大量使用SMTP協(xié)議進而導(dǎo)致SMTP流異常，這是botnet發(fā)動的攻擊流導(dǎo)致的異常。在RF模型中，通過檢測SMTP流的異常來發(fā)現(xiàn)botnet的攻擊異常，對于SMTP流采用與ICMP流相同的處理方式，詳見4.1.2節(jié)。

4.3 區(qū)分異常產(chǎn)生的原因

從本質(zhì)上看，P2P botnet是一個可以發(fā)動網(wǎng)絡(luò)攻擊的P2P網(wǎng)絡(luò)，所以P2P botnet和P2P應(yīng)用程序有較強的相似性，應(yīng)采用一定的手段消除正常P2P應(yīng)用對P2P botnet的檢測產(chǎn)生的誤差影響。

正常P2P應(yīng)用大多用來進行文件的傳輸和共享，通常利用超過1 300byte的TCP長分組傳輸數(shù)據(jù)。而botnet大多數(shù)的數(shù)據(jù)傳輸是二次注入時下載負(fù)載利用HTTP協(xié)議進行的，數(shù)據(jù)量不大。因此，可利用時間Δt內(nèi)剔除與正常網(wǎng)絡(luò)應(yīng)用程序相關(guān)的TCP分組后的TCP長分組的比例PTCP來區(qū)分導(dǎo)致第3節(jié)中流量異常出現(xiàn)的原因，TCP長分組的比例越小，異常是P2P botnet爆發(fā)引起的概率越大。

假設(shè)當(dāng)前要處理的TCP分組記為Pi，TCP分組的數(shù)目為N，TCP長分組的數(shù)目為NTCP，具體處理過程如圖2所示。

定義判定函數(shù)

fTCP值為1，說明第3節(jié)中流量異常是P2P botnet爆發(fā)引起的概率較大。閾值MTCP可通過Kaufman算法[18]進行動態(tài)修改。

4.4 RF模型的流程

假設(shè)當(dāng)前時刻為k，RF模型處理流程如圖3所示。

1) 獲取ICMP流的比例值CICMP、SMTP流的比例值CSMTP和UDP流的比例值CUDP，同時計算得出TCP流的fTCP值，以消除網(wǎng)絡(luò)應(yīng)用對P2P botnet檢測產(chǎn)生的誤差影響。

圖2 處理TCP流的流程

圖3 RF模型示意

2) 從流本身的特性出發(fā)，使其在檢測P2P botnet時處于不同的角色，發(fā)現(xiàn)botnet導(dǎo)致不同的流量異常。

① 利用基于滑動窗口的實時估算Hurst指數(shù)的方法得到HPk；

② 將CICMP、CSMTP和HPk輸入到Multi-chart CUSUM中計算出d(Si(ICMP))、d(Si(SMTP))和d(Si(HPk))。

3) 最終判定：

T是判定P2P botnet是否存在的閾值，當(dāng)D≤T時表示網(wǎng)絡(luò)狀態(tài)正常，否則表示P2P botnet存在。

5 實驗

5.1 網(wǎng)絡(luò)流量實驗

該實驗主要是監(jiān)測網(wǎng)絡(luò)流量：每10s采集一次網(wǎng)絡(luò)數(shù)據(jù)分組，在一段時間后注入Storm bot程序。

分析圖4可得，當(dāng)bot主機開始通信時，UDP分組數(shù)目比一般情況下增多了20倍左右，主要因為botnet的C&C機制通過UDP流進行。ICMP分組數(shù)目從100增加到900，主要因為bot主機在bootstrap過程連接某些bot節(jié)點時發(fā)生了較多的連接失敗。因為botnet在Spamming時發(fā)送垃圾郵件的延遲，該實驗幾乎未發(fā)現(xiàn)SMTP流，所以接下來的實驗暫不考慮SMTP流。

圖4 網(wǎng)絡(luò)流量數(shù)據(jù)

5.2 參數(shù)HP實驗

該實驗主要觀測UDP流自相似性程度的變化。一般情況下UDP流自相似性程度非常明顯，Hurst指數(shù)保持在[0.65, 0.85]，參數(shù)HP保持在[0.15, 0.35]，同時會有一定的波動。

分析圖5可得，在一段時間注入Storm bot程序后，參數(shù)HP在420s增大到了0.45，在460s甚至增大到了最高點0.59，這充分說明UDP流已經(jīng)喪失了自相似性，出現(xiàn)了異常。因為bot主機數(shù)目的逐步增大，P2P botnet規(guī)模的逐步擴大，原先UDP流表現(xiàn)出的與一般情況不同的異常特征卻變成了它的一種新的自相似性行為，進而導(dǎo)致參數(shù)HP下降。

5.3 RF模型實時性實驗

將實驗1中UDP流、ICMP流輸入到RF模型中的處理結(jié)果如圖6所示。與實驗1相比，圖6中檢測到UDP分組和ICMP分組增加的時刻均有一定的延遲，基本在[25s,50s]區(qū)間內(nèi)。因此，RF模型具有較小的檢測延遲，可以滿足實時檢測P2P botnet的要求。

圖6 基于UDP流和ICMP流的RF的輸出

5.4 漏報率和誤報率實驗

為檢驗本文提出的RF模型在不同情況下的檢測能力，該實驗選擇了4組數(shù)據(jù)，分別使用不同的檢測方法檢測botnet：前2組未注入bot程序，僅僅改變了各種數(shù)據(jù)分組的流量比，其中第2組數(shù)據(jù)中有大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組；后2組注入了bot程序，其中第4組數(shù)據(jù)有大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組。實驗結(jié)果如表1所示。

表1 漏報率和誤報率對比

在第1組和第3組數(shù)據(jù)中RF模型的檢測結(jié)果非常理想，接近真實情況。第2組數(shù)據(jù)和第4組數(shù)據(jù)分別是在正常和存在bot程序的網(wǎng)絡(luò)環(huán)境中注入了大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組，此時所有的檢測方法都出現(xiàn)了一定的漏報和誤報，但是RF模型的漏報率和誤報率較低，因為RF模型充分考慮到了網(wǎng)絡(luò)中正在運行的應(yīng)用程序?qū)2P botnet檢測的影響。特別地，表中的“113:77”表示RF模型在第4組數(shù)據(jù)中檢測到了113次攻擊，但是其中有77次是真正的攻擊。

綜上所述，利用RF模型檢測P2P botnet，其表現(xiàn)出較低的漏報率和誤報率，具有較小的檢測延遲。

6 結(jié)束語

本文在詳細(xì)分析Storm botnet行為與特征的基礎(chǔ)上，提出了一種新型的基于流角色的實時檢測P2P botnet模型—RF，該模型從流本身的特性出發(fā)，使其在檢測P2P botnet時處于不同的角色，同時考慮到了網(wǎng)絡(luò)應(yīng)用程序?qū)z測的影響。為了進一步減小檢測的漏報率和誤報率，本文提出了一種基于滑動窗口的實時估算Hurst指數(shù)的方法，并且采用Kaufman算法來動態(tài)調(diào)整閾值。實驗表明，該模型能夠有效檢測新型P2P botnet，檢測的誤報率和漏報率較低，適應(yīng)更復(fù)雜的網(wǎng)絡(luò)環(huán)境。

下一步的研究重點，更詳細(xì)地研究P2P應(yīng)用與P2P botnet流量特征的差異，進一步提高檢測的精度和實時性。

[1] JOE STEWART. Storm Worm DDOS Attack[R]. SecureWorks, Inc,Atlanta GA, 2007.

[2] GRIZZARD J B, SHARMA V, NUNNERY C. Peer-to-peer botnets:overview and case study[A]. HotBots ’07 conference[C]. 2007.

[3] SARAT S, TERZIS A. Measuring the Storm Worm Network[R]. Technical Report 01-10-2007, HiNRG Johns Hopkins University, 2007.

[4] HOLZ T, STEINER M, DAHL F. Measurements and mitigation of peer-to-peer-based botnets: a case study on storm worm[A]. 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats[C].San Francisco, 2008.

[5] STEGGINK M, IDZIEJCZAK I. Detection of Peer-to-Peer Botnets[R].University of Amsterdam, Netherlands, 2007.

[6] PORRAS P, SAIDI H, YEGNESWARAN V. A multi-perspective analysis of the storm (peacomm)worm[A]. Computer Science Laboratory, SRI International[C]. CA, 2007.

[7] 王海龍, 胡寧, 龔正虎. Bot_CODA:僵尸網(wǎng)絡(luò)協(xié)同檢測體系結(jié)構(gòu)[J].通信學(xué)報, 2009, 30(10A): 15-22.WANG H L, HU N, GONG Z H. Bot_CODA: botnet collaborative detection architecture[J]. Journal on Communications, 2009, 30(10A):15-22.

[8] 王勁松，劉帆，張健. 基于組特征過濾器的僵尸主機檢測方法的研究[J]. 通信學(xué)報, 2010, 31(2): 29-35.WANG J S, LIU F, ZHANG J. Botnet detecting method based on group-signature filter[J]. Journal on Communications, 2010, 31(2):29-35.

[9] 臧天寧, 云曉春, 張永錚. 僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J]. 武漢大學(xué)學(xué)報(信息科學(xué)版), 2012, 37(2): 247-251.ZANG T N, WANG X CCC, ZHANG Y Z. A botnet relationship analyzer based on cloud model[J]. Geomatics and Information Science of Wuhan University, 2012, 37(2): 247-251.

[10] 諸葛建偉, 韓心慧, 周勇林. 僵尸網(wǎng)絡(luò)研究[J]. 軟件學(xué)報, 2008,19(3): 702-715.ZHUGE J W, HAN X H, ZHOU Y L. Research and development of botnets[J]. Journal of Software, 2008, 19(3): 702-715.

[11] 江健, 諸葛建偉, 段海新. 僵尸網(wǎng)絡(luò)機理與防御技術(shù)[J].軟件學(xué)報,2012, 23(1): 82-96.JIANG J, ZHUGE J W, DUAN H X. Research on botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96.

[12] LELAND W E, TAQQU M S, WILLINGER W. On the self-similar nature of Ethernet traffic(extended version)[J]. IEEE/ACM Trans on Networking, 1994, 2(1): 1-15.

[13] BERAN J, SHERMAN R, TRAQQU M S. Long range dependence in variable bit rate video traffic[A]. IEEE Trans on Communication[C].1995, 43(234): 1566-1579.

[14] KIM J S, KAHNG B, KIM D. Self-similarity in fractal and non-fractal networks[J]. Journal of the Korean Physical Society, 2008, 52:350-356.

[15] KARAGIANNIS T, MOLLE M, FALOUTSOS M. Understanding the Limitations of Estimation Methods for Long-range Dependence[R].University of Califomia,Tech ReP:TRUCR-CS-2006-10245,2006.

[16] KARAGIANNIS T, MOLLE M, FALOUTSOS M. Long-range dependence: Ten years of Internet traffic modeling[J]. IEEE Intenet Computing, 2004,8(5):57-64.

[17] TARTAKOVSKY A G, ROZOVSKII B, SHAH K. A Nonparametric Multichart CUSUM test for rapid intrusion detection[A]. Proceedings of Joint Statistical Meetings[C]. 2005.

[18] KASERA S, PINHEIRO J, LOADER C. Fast and robust signaling overload control[A]. Proceedings of Ninth International Conference on Network Protocols[C]. 2001. 323-331.

[19] SEN S, SPATSCHECK O, WANG D M. Accurate, scalable in-network identification of P2P traffic using application signatures[A]. Proceedings of the 13th international conference on World Wide Web[C]. New York, 2004.512-521.