期刊刊名:崑山科技大學學報 卷期:8期
篇名出版日期:2011年6月1日
作者:王平,林文暉,林孝忠,黃財德,李奇軒
語言:Chinese
關鍵字:僵屍網路,僵屍電腦,僵屍病毒,情節法則,疑似感染網址地圖,Botnet,zombie,bot,episode rule,Zombie Detection
被點閱次數:25次
閱讀時間:1186sec
摘要: 網路駭客運用僵屍網路(botnet)進行商業資訊的偷竊,造成企業及終端使用者重大威脅。僵屍電腦(zombies)具有隱密、不易偵測的特性,並使用不同的通訊協定進行操控,使得防火牆、防毒軟體難以完整偵測與清除。目前的僵屍病毒(bot)偵測技術主要依賴病毒碼(virus pattern) 與掃毒引擎進行比對。通常病毒碼是由多種特徵所組成,變種病毒(variant)稍加修改單一特徵後,即可能避開病毒碼的偵測;本研究使用沙盒工具SysAnalyzer觀察病毒的行為歷程,依據感染行為的順序及時間,透過頻繁情節(frequent episode)分析,歸納出共同病毒特徵及偵測準則,以建置「病毒特徵資料庫」,並估算病毒偵測之支持度(support)與信心度(confidence),以利檢測已知及其變種的僵屍病毒。為了證明本研究所提出之方法的可行性,實作完成一個「僵屍電腦偵測系統」及「疑似感染網址地圖」,運用成功大學資通安全測試平台(Testbed@TWISC)於仿真網路環境加以測試與驗證。實驗結果顯示本研究提出之方法可以有效及正確的地偵測出僵屍病毒,透過疑似感染網址地圖的監控,協助管理者快速掌控網路感染之僵屍電腦。
[ 關閉視窗 ]