基于P2P僵尸主機(jī)網(wǎng)絡(luò)行為的檢測與監(jiān)控方案設(shè)計(jì)

樊郁徽，徐 寧

中國上網(wǎng)用戶數(shù)已經(jīng)達(dá)到4.5億.中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)發(fā)布的《2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》稱，2012年我國共有1 419.7萬多臺主機(jī)被感染僵尸網(wǎng)絡(luò)，并受控于境外的約7.3萬個(gè)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，較上一年度分別增長了59.6﹪和56.9﹪［1］.由僵尸網(wǎng)絡(luò)而引發(fā)的在網(wǎng)絡(luò)失竊、發(fā)動(dòng)拒絕服務(wù)式攻擊和發(fā)送大量的垃圾郵件等方面，對政府部門、商業(yè)機(jī)構(gòu)以及普通用戶造成了嚴(yán)重危害，甚至給國家信息安全帶來極大的威脅，目前已成為影響互聯(lián)網(wǎng)安全的重要因素.

1 相關(guān)研究

僵尸網(wǎng)絡(luò)的命令與通信機(jī)制通過多年的演變逐漸形成了3種形式:(1)基于IRC協(xié)議的僵尸網(wǎng)絡(luò);(2)基于HTTP、DNS協(xié)議的僵尸網(wǎng)絡(luò);(3)基于P2P協(xié)議的僵尸網(wǎng)絡(luò).

基于IRC協(xié)議和HTTP協(xié)議的僵尸網(wǎng)絡(luò)在命令與控制機(jī)制方面具有集中控制點(diǎn)，通過對僵尸程序進(jìn)行分析就能輕易獲得僵尸網(wǎng)絡(luò)控制器所在位置.對于這種基于客戶端—服務(wù)器架構(gòu)的僵尸網(wǎng)絡(luò)來說，容易被跟蹤、檢測和反制，當(dāng)該僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)控制器被關(guān)閉，則該僵尸網(wǎng)絡(luò)帶來的威脅也就會被消除.而當(dāng)前很多新型的僵尸程序開始使用P2P協(xié)議來構(gòu)建網(wǎng)絡(luò)，如圖1所示，基于P2P協(xié)議的僵尸網(wǎng)絡(luò)的控制節(jié)點(diǎn)分布在整個(gè)僵尸網(wǎng)絡(luò)的多個(gè)位置，當(dāng)其中的一個(gè)或幾個(gè)節(jié)點(diǎn)被破壞，并不會對整個(gè)僵尸網(wǎng)絡(luò)造成實(shí)質(zhì)上的破壞，因此基于P2P協(xié)議的僵尸網(wǎng)絡(luò)較前兩種僵尸網(wǎng)絡(luò)更具隱蔽性和抗打擊性.

圖1 基于P2P協(xié)議的僵尸網(wǎng)絡(luò)模型

目前針對基于P2P協(xié)議僵尸網(wǎng)絡(luò)的檢測方法主要有兩種形式:一種采用離線檢測方式，通過先抓取一段時(shí)間內(nèi)的網(wǎng)絡(luò)流量數(shù)據(jù)，再借助于各種分析算法對離線數(shù)據(jù)進(jìn)行檢測;另一種采用在線檢測方式，通過實(shí)時(shí)在線監(jiān)控的方式對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分析并檢測，然后分離出疑似的僵尸主機(jī).前一種方法在檢測過程中只能發(fā)現(xiàn)存在的僵尸網(wǎng)絡(luò)而難以及時(shí)采取控制措施，后一種方法雖然實(shí)時(shí)性較好，但面臨海量網(wǎng)絡(luò)數(shù)據(jù)時(shí)往往力不從心.因此，對P2P僵尸網(wǎng)絡(luò)的檢測、發(fā)現(xiàn)與控制是當(dāng)前僵尸網(wǎng)絡(luò)研究中的重要方面.

2 P2P僵尸網(wǎng)絡(luò)的生存狀態(tài)及特征行為分析

現(xiàn)有的一些P2P僵尸網(wǎng)絡(luò)檢測方法主要針對P2P僵尸網(wǎng)絡(luò)產(chǎn)生的特征網(wǎng)絡(luò)流量進(jìn)行分析［2-7］，從而將其從眾多P2P應(yīng)用中區(qū)分出來，并進(jìn)行判斷分析，找出感染P2P僵尸網(wǎng)絡(luò)控制程序的主機(jī)，通常采用離線檢測和在線檢測兩種方法.本文從P2P僵尸網(wǎng)絡(luò)在其生存的各個(gè)不同時(shí)期所表現(xiàn)出的特征行為出發(fā)，進(jìn)行綜合判斷，從而準(zhǔn)確獲得P2P僵尸主機(jī)信息，但對于其中的一些不活躍或者沒有進(jìn)行危害行為的僵尸主機(jī)只是進(jìn)行持續(xù)監(jiān)測，而對于處在攻擊階段的P2P僵尸主機(jī)才會采取相應(yīng)措施，阻斷其與僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的聯(lián)系.

2.1 P2P僵尸網(wǎng)絡(luò)的生存周期

Wang［2］等人根據(jù)僵尸程序的執(zhí)行順序?qū)2P僵尸網(wǎng)絡(luò)分為3個(gè)階段:成員選擇、組建網(wǎng)絡(luò)和等待指令.成員選擇階段的主要表現(xiàn)形式為利用各種病毒傳播的方式感染大量主機(jī)，組建網(wǎng)絡(luò)階段即通過僵尸程序中的內(nèi)置指令將被感染的主機(jī)通過P2P協(xié)議組建成一個(gè)僵尸網(wǎng)絡(luò)，等待指令階段即構(gòu)成僵尸網(wǎng)絡(luò)的被感染主機(jī)保持靜默狀態(tài)等待來自于僵尸網(wǎng)絡(luò)控制者發(fā)布的指令.文獻(xiàn)［3］從網(wǎng)絡(luò)數(shù)據(jù)流檢測的角度將P2P僵尸網(wǎng)絡(luò)分為初始階段、發(fā)呆階段和攻擊階段.在初始階段，P2P僵尸網(wǎng)絡(luò)會產(chǎn)生大量具有明顯特征的網(wǎng)絡(luò)數(shù)據(jù)，如連接數(shù)很多、連接成功率低等特點(diǎn)，可以針對這些網(wǎng)絡(luò)特征進(jìn)行檢測.發(fā)呆階段的僵尸主機(jī)在接入其僵尸網(wǎng)絡(luò)后開始與其對等結(jié)點(diǎn)進(jìn)行連接，與所在的僵尸網(wǎng)絡(luò)只保持了簡單的通信和連接，而不發(fā)生其他行為.處在發(fā)呆階段的P2P僵尸主機(jī)存在會話數(shù)據(jù)流多、通信量相似和通信量較小等特征.當(dāng)僵尸主機(jī)處于攻擊階段時(shí)，會接收到P2P僵尸網(wǎng)絡(luò)控制者的指令，然后開始進(jìn)行網(wǎng)絡(luò)攻擊或破壞活動(dòng)，如對指定目標(biāo)進(jìn)行DDOS攻擊、竊取當(dāng)前主機(jī)的資料、大量發(fā)送垃圾電子郵件等行為，其中發(fā)送垃圾電子郵件的行為具有明顯的流量特征，檢測起來也相對較容易.

2.2 P2P僵尸網(wǎng)絡(luò)的重要特征

通過上面的分析發(fā)現(xiàn)，按照文獻(xiàn)［3］的生存階段分類標(biāo)準(zhǔn)，P2P僵尸網(wǎng)絡(luò)在其生存的各個(gè)階段都存在一些可供分析和檢測的典型特征，可以作為制定檢測方案的重要依據(jù).其主要特點(diǎn)如下:

(1)僵尸主機(jī)產(chǎn)生大量ICMP錯(cuò)誤報(bào)文，且連接成功率低.(初始階段)

(2)僵尸主機(jī)與大量連接節(jié)點(diǎn)的發(fā)生大小相似的通信量.(發(fā)呆階段)

(3)僵尸主機(jī)產(chǎn)生大量SMTP連接和目的地址相同的SMTP數(shù)據(jù)包.(攻擊階段)

綜合上述特征，對于(1)、(2)兩個(gè)特征行為可以通過離線分析的方法進(jìn)行提煉，得到P2P僵尸主機(jī)的地址信息，并對這些主機(jī)進(jìn)行在線監(jiān)測，如果發(fā)現(xiàn)其存在(3)中的行為，則可以進(jìn)行阻斷.

3 基于僵尸主機(jī)網(wǎng)絡(luò)行為的檢測方案設(shè)計(jì)

3.1 設(shè)計(jì)思路

考慮到P2P僵尸主機(jī)在其生存周期的大部分時(shí)間中都處在初始階段和發(fā)呆階段，并不產(chǎn)生任何危害行為，當(dāng)僵尸主機(jī)接收到僵尸網(wǎng)絡(luò)控制者的指令后開始進(jìn)行攻擊行為(包括發(fā)送垃圾郵件和進(jìn)行DDOS攻擊)，才會對網(wǎng)絡(luò)上其他用戶產(chǎn)生影響.現(xiàn)階段，P2P僵尸網(wǎng)絡(luò)的檢測方法多是依據(jù)P2P僵尸網(wǎng)絡(luò)在初始階段和發(fā)呆階段的相應(yīng)網(wǎng)絡(luò)特征行為進(jìn)行檢測［4］，往往會與網(wǎng)絡(luò)中的正常P2P業(yè)務(wù)發(fā)生混淆，出現(xiàn)誤報(bào)的情況.

為了將P2P僵尸主機(jī)對網(wǎng)絡(luò)中正常用戶的影響降到最低，本文設(shè)計(jì)了一種對P2P僵尸主機(jī)進(jìn)行離線檢測和在線監(jiān)控相結(jié)合的方法，如圖2所示.

圖2 離線檢測和在線監(jiān)控P2P僵尸主機(jī)的方案

3.2 離線檢測設(shè)計(jì)

通過流量采集的方法從網(wǎng)絡(luò)出口處獲得一段較長時(shí)間的網(wǎng)絡(luò)流量數(shù)據(jù)，以連接成功率低和大量連接節(jié)點(diǎn)產(chǎn)生相似通信量作為兩個(gè)階段的行為特征進(jìn)行連續(xù)檢測，將符合上述兩個(gè)條件的源主機(jī)地址從中分離出來作為可疑P2P僵尸主機(jī)地址列表.

(1)連接成功率檢測

當(dāng)內(nèi)網(wǎng)中的P2P僵尸主機(jī)開始連接P2P僵尸網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，由于受到防火墻阻擋、網(wǎng)絡(luò)地址轉(zhuǎn)換或主機(jī)不在線等多種因素影響，導(dǎo)致連接成功率很低，網(wǎng)絡(luò)上會出現(xiàn)大量的“目的地址不可達(dá)”ICMP包和TCP重置包，與主機(jī)的正常網(wǎng)絡(luò)通信存在明顯差異，因此計(jì)算該源地址收到的連接成功數(shù)據(jù)包數(shù)量與發(fā)送的請求連接數(shù)據(jù)包數(shù)量之比，即連接成功率，就可以初步判斷該主機(jī)存在異常網(wǎng)絡(luò)行為.若連接成功率值處于較低的水平(在0～0.1之間)［4-5］，則反映出該源地址與外部目的地址連接成功率不高，存在疑似僵尸主機(jī)行為.

定義檢測數(shù)據(jù)周期為T為60 s，并將采集到的流量數(shù)據(jù)，按照源地址(Srcip)、目的地址(Dstip)、協(xié)議類型(Protocol)、數(shù)據(jù)包發(fā)送時(shí)間(Times)、數(shù)據(jù)包字節(jié)數(shù)(Bytes)、源端口(Sport)和目的端口(Dport)建立七元數(shù)據(jù)流集合.

定義本地可疑主機(jī)集合G{Srcip 1，Srcip 2，…，Srcip n}

統(tǒng)計(jì)數(shù)據(jù)流源地址收到的連接成功數(shù)據(jù)包數(shù)量與發(fā)送的請求連接數(shù)據(jù)包數(shù)量之比V，若V＜0．1，則將該地址加入集合G中.

基于連接成功率的檢測可以獲得存在異常網(wǎng)絡(luò)行為的內(nèi)網(wǎng)主機(jī)，但僅通過這一手段進(jìn)行判斷，會出現(xiàn)大量誤報(bào)情況，需要在此基礎(chǔ)上進(jìn)一步分析，從而獲得更為準(zhǔn)確的P2P僵尸主機(jī)信息.

(2)通信量相似性檢測

由于P2P僵尸主機(jī)在與僵尸網(wǎng)絡(luò)節(jié)點(diǎn)建立連接后，會持續(xù)保持連接，等待接收控制指令;而P2P僵尸主機(jī)在其生存周期的大部分時(shí)間內(nèi)都處于該階段，即發(fā)呆階段.處于這一階段的P2P僵尸主機(jī)的網(wǎng)絡(luò)行為特征表現(xiàn)為存在與大量節(jié)點(diǎn)的連接、節(jié)點(diǎn)間通信量相似且通信量較少.

文獻(xiàn)［6］中提出的一種基于多相通信流模型(Multi-Phased Flow Model)的P2P僵尸網(wǎng)絡(luò)檢測方法設(shè)計(jì)檢測方案:

定義采樣周期為T1=T+1，即完成連接成功率檢測后下移一個(gè)采樣周期.

定義采樣時(shí)間Time=60 s，獲取采樣流量的七元數(shù)據(jù)流集合.

通過對前一項(xiàng)檢測獲得的本地可疑主機(jī)集合，以其中的源IP地址為篩選依據(jù)，獲得單一源地址在60 s內(nèi)的七元數(shù)據(jù)流集合.

使用馬爾可夫鏈計(jì)算數(shù)據(jù)流在各狀態(tài)值之間的變化情況，并將結(jié)果與正常網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行比較，以此來判斷是否存在P2P僵尸主機(jī).

將符合條件的源IP地址進(jìn)行重新統(tǒng)計(jì)，形成集合Y．集合Y中包含經(jīng)過進(jìn)一步篩檢的疑似P2P僵尸主機(jī)的源IP地址.

(3)離線檢測的可行性

由于通信量相似性檢測是在完成連接成功率檢測之后，因此檢測范圍大大縮小，提高了檢測速度，降低了檢測的誤報(bào)率，但由于這兩項(xiàng)檢測的結(jié)果只是建立在2個(gè)采樣時(shí)間周期內(nèi)，因此漏報(bào)的可能性很高.為了解決這個(gè)問題，可以設(shè)定一個(gè)采樣時(shí)間間隔，重復(fù)采樣并進(jìn)行檢測.當(dāng)然，采樣間隔越小，獲得的可疑病毒主機(jī)數(shù)量越多，降低了漏報(bào)的幾率，但采樣過密會大大影響計(jì)算的速度.因此，本文通過使用離線檢測的方法完成上述兩項(xiàng)檢測，對獲取到的集合Y中的本地主機(jī)IP地址則作為在線監(jiān)控的對象.

3.3 在線監(jiān)控設(shè)計(jì)

通過離線檢測的方法獲得了本地網(wǎng)絡(luò)中疑似P2P僵尸主機(jī)的地址集合Y.該集合中的主機(jī)都是處于P2P僵尸主機(jī)生存周期的初始階段和發(fā)呆階段，并沒有對正常主機(jī)及網(wǎng)絡(luò)產(chǎn)生危害行為，若簡單判斷為P2P僵尸主機(jī)的話，會出現(xiàn)一定程度的誤報(bào).因此本文提出繼續(xù)采用在線監(jiān)控的方法對上述主機(jī)進(jìn)行持續(xù)監(jiān)控，當(dāng)其出現(xiàn)危害行為時(shí)再采取阻斷策略，從而更加準(zhǔn)確地定位P2P僵尸主機(jī)并降低其危害.

由于P2P僵尸主機(jī)進(jìn)行感染節(jié)點(diǎn)、信息竊取和監(jiān)聽網(wǎng)絡(luò)流量的工作往往在本地網(wǎng)絡(luò)內(nèi)部完成，在出口路由器端難以檢測，進(jìn)行DDOS攻擊的行為也只在P2P僵尸主機(jī)生存周期中占極小的一部分時(shí)間，而發(fā)送垃圾郵件是僵尸網(wǎng)絡(luò)的控制者的主要獲利行為［7］，其網(wǎng)絡(luò)特征行為也更為顯著，更利于進(jìn)行檢測.

(1)監(jiān)控方案設(shè)計(jì)

P2P僵尸主機(jī)在接收到控制者發(fā)送垃圾郵件的指令后，會建立大量與郵件服務(wù)器間的SMTP連接，而屬于同一僵尸網(wǎng)絡(luò)的P2P僵尸主機(jī)會產(chǎn)生相同地址的SMTP的報(bào)文.因此，本方案的設(shè)計(jì)基于以上兩點(diǎn):大量SMTP連接和相同目的地址的SMTP報(bào)文.

根據(jù)文獻(xiàn)［8］中設(shè)計(jì)的方案，定義采樣周期To，To為60 min.每個(gè)T2周期內(nèi)采集SMTP協(xié)議數(shù)據(jù)流量，按照七元數(shù)據(jù)流建立集合，統(tǒng)計(jì)Y集合中的每個(gè)源地址產(chǎn)生的SMTP協(xié)議數(shù)據(jù)流條數(shù)，若數(shù)據(jù)流數(shù)量較大(100條以上)，則可判斷該主機(jī)正在發(fā)送垃圾郵件，將該源地址加入黑名單;同時(shí)統(tǒng)計(jì)所有SMTP數(shù)據(jù)流中相同的目的地址(Dstip)條數(shù)，若存在相同目的地址而其源地址不同的數(shù)據(jù)流數(shù)量較多(10條以上)，則可判斷這些源地址主機(jī)屬于同一P2P僵尸網(wǎng)絡(luò)，將這些源地址加入黑名單.

(2)確認(rèn)P2P僵尸主機(jī)的控制

黑名單中的主機(jī)地址可確認(rèn)為P2P僵尸網(wǎng)絡(luò)成員，對這些屬于本地網(wǎng)絡(luò)中的主機(jī)可以直接在出口路由器端進(jìn)行封堵，阻斷其外網(wǎng)連接，從而切斷與僵尸網(wǎng)絡(luò)的連接，將其產(chǎn)生的風(fēng)險(xiǎn)降到最低.

(3)在線監(jiān)控方案實(shí)現(xiàn)的可能性

由于上述的在線監(jiān)控方案是在通過離線檢測獲得疑似P2P僵尸主機(jī)集合的前提下完成的，因此監(jiān)控的實(shí)施更有針對性，獲得的結(jié)果也更為準(zhǔn)確，當(dāng)然在實(shí)現(xiàn)的過程中，針對不以發(fā)送垃圾郵件為主要功能的P2P僵尸主機(jī)或產(chǎn)生一定的漏報(bào)，但誤報(bào)的可能性會很低.

4 實(shí)驗(yàn)結(jié)果

4.1 實(shí)驗(yàn)設(shè)置

使用二臺4G內(nèi)存的聯(lián)網(wǎng)PC機(jī)作為實(shí)驗(yàn)平臺，在其中一臺PC機(jī)A上安裝Vmware軟件，虛擬出4臺 P2P僵尸主機(jī)，分別是 A1、A2、A3、A4，在另外一臺PC機(jī)B上安裝控制程序，用來向P2P僵尸主機(jī)發(fā)送控制指令.將上述主機(jī)組成一個(gè)小型網(wǎng)絡(luò)，如圖3所示.

圖3 實(shí)驗(yàn)環(huán)境

在A1-A4上部署Peacomm P2P僵尸病毒，并分別采集各虛擬機(jī)中的通信流量，以1 min為時(shí)間間隔，連續(xù)采集2 min，獲取P2P僵尸主機(jī)在初始階段和發(fā)呆階段的網(wǎng)絡(luò)特征流量數(shù)據(jù).第一次實(shí)驗(yàn)將采樣的數(shù)據(jù)混入來自于網(wǎng)絡(luò)出口的正常網(wǎng)絡(luò)的網(wǎng)絡(luò)流量中，采用離線檢測的手段對混合數(shù)據(jù)進(jìn)行檢測，獲得疑似P2P僵尸主機(jī)地址.第二次實(shí)驗(yàn)將獲得的網(wǎng)絡(luò)特征流量數(shù)據(jù)復(fù)制3遍，并混入正常的網(wǎng)絡(luò)流量中進(jìn)行檢測，獲得疑似P2P僵尸主機(jī)地址.

通過B上的控制程序向各僵尸主機(jī)下達(dá)發(fā)送垃圾郵件指令，并對各主機(jī)產(chǎn)生的通信流量進(jìn)行采集，并將采集的網(wǎng)絡(luò)特征流量混入正常的網(wǎng)絡(luò)流量中.采用在線監(jiān)控的手段分別對2次離線檢測實(shí)驗(yàn)獲得的疑似P2P僵尸主機(jī)地址進(jìn)行監(jiān)控，獲得P2P僵尸主機(jī)黑名單.

4.2 實(shí)驗(yàn)結(jié)果

2次離線檢測獲得的疑似P2P僵尸主機(jī)的地址數(shù)量如表1所示.

表1 離線檢測結(jié)果

從表1中可以發(fā)現(xiàn)，在第一次實(shí)驗(yàn)中，由于采樣的樣本較少，在檢測過程中存在較高的誤報(bào)率和漏報(bào)率.在第二次實(shí)驗(yàn)中，由于樣本數(shù)量的增加，有效降低了漏報(bào)率.

2次在線監(jiān)控獲得的P2P僵尸主機(jī)黑名單如表2所示.

表2 在線監(jiān)控結(jié)果

從表2的結(jié)果中可以發(fā)現(xiàn):在線檢測的結(jié)果主要依據(jù)離線檢測獲得的疑似僵尸主機(jī)名單，如果在離線檢測過程中出現(xiàn)漏報(bào)，那么在線監(jiān)控階段也無法對漏報(bào)地址進(jìn)行監(jiān)控;而離線檢測中的誤報(bào)主機(jī)地址因?yàn)闆]有發(fā)送垃圾郵件行為，因此在在線監(jiān)控階段也不會被檢測到，也就不存在誤報(bào)的情況.

通過對實(shí)驗(yàn)結(jié)果的分析發(fā)現(xiàn)，提高離線檢測的采樣頻率，能有效降低檢測的漏報(bào)率，進(jìn)而影響到整個(gè)方案的實(shí)施效果.

5 結(jié)語

通過上述方案的設(shè)計(jì)，在檢測P2P僵尸網(wǎng)絡(luò)主機(jī)時(shí)利用離線檢測和在線檢測相結(jié)合的辦法，可以大為減輕檢測平臺的負(fù)載.離線檢測階段可以按時(shí)間周期分布實(shí)施，從而獲取疑似僵尸主機(jī)的黑名單，而在線檢測階段只需抓取SMTP協(xié)議數(shù)據(jù)流量并分析，這一部分的協(xié)議流量在整個(gè)網(wǎng)絡(luò)出口處所占比重很小，因此執(zhí)行效果較好.特別是在出口流量很大的網(wǎng)絡(luò)中，實(shí)施難度較小.根據(jù)該算法獲得的僵尸主機(jī)都必須在攻擊階段被確診，因此可能有一些僵尸主機(jī)并沒有處在攻擊階段而被漏報(bào)，但考慮到僵尸主機(jī)產(chǎn)生的危害主要是發(fā)生在攻擊階段，如果能在攻擊階段將其檢出并隔離，對降低僵尸網(wǎng)絡(luò)的危害是有很大好處的.

［1］國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告［R］.北京：中國郵電出版社，2013：16-17.

［2］Wang Ping，Wu Lei，Aslam B，et al.A systematic study on peer-to-peer botnets［C］.Computer Communications and Networks，ICCCN 2009.Proceedings of 18th International Conference on IEEE，2009：1-8.

［3］柴勝，胡亮，梁波.一種P2P Botnet在線檢測方法研究［J］.電子學(xué)報(bào)，2010(4)：906-912.

［4］Schoof R，Koning R.Detecting peer-to-peer botnets［R］.System and Network Engineering.University of Amsterdam，2007.

［5］劉建波.基于流量分析的P2P僵尸網(wǎng)絡(luò)檢測［J］.計(jì)算機(jī)與數(shù)字工程，2011(3)：90-91.

［6］Sang Kyun Noh，Joo Hyung Oh，Jae Seo Lee，et al.Detecting P2P botnets using a multi-phased flow model［A］.The 3rd International Conference on Digital Society［C］.Cancun：Computer Society，2009：247-253.

［7］Li Zhuang，John Dunagan，Daniel R Simon，et al.Cha racterizing botnets from Email spam records［J］.LEET，2008(8)：1-9.

［8］鄧國強(qiáng)，李芝棠，李冬，等.基于郵件行為異常的垃圾郵件客戶端檢測［J］.廣西大學(xué)學(xué)報(bào)：自然科學(xué)版，2011，36(S1)：100-104.