17、僵尸网络检测的最新技术

僵尸网络检测的最新技术

1. 僵尸网络简介

僵尸网络（Botnet），通常简称为“bot”，是由未知个人或组织通过恶意代码远程控制的计算机网络，这些恶意代码能执行预定的自动化机器功能。单个系统可能有单独的僵尸程序，它们由远程操作员控制，操作员可以利用这个网络执行各种功能，如宙斯（Zues）攻击、拒绝服务（DoS）攻击、瓦勒达克（Waledac）攻击、康弗利克（Conflickers）攻击、蝴蝶（Mariposa）攻击和点击欺诈等。僵尸网络不仅会给组织带来数百万美元的损失，还会损害其声誉。

僵尸网络的发展历程漫长。早期基于mIRC客户端，可运行自定义脚本并访问用户数据报协议和传输控制协议套接字。如今，像收割者（Reaper）这样的僵尸网络发动的攻击影响了数百万个系统和组织，甚至波及到物联网（IoT）设备，如摄像头、服务器和网络附属存储等。这就需要更高级的安全措施来检测僵尸网络服务器的控制企图，并建立预防机制，以防止系统被入侵，从而影响商业组织。

2. 僵尸网络的发展历程

僵尸网络起源于互联网中继聊天（IRC）时代。早在1999年，受感染的机器会连接到IRC频道，恶意软件随之潜入系统。到2000年，基于mIRC客户端的全球威胁僵尸出现。2002年，新的僵尸程序如SDBot和Agobot出现，SDBot基于C++，其源代码的公开导致了僵尸变体的出现，Agobot则从后门顺序交付有效负载。2003年，间谍僵尸（Spybot）崛起，具备了新的功能，如键盘记录和数据挖掘，Rbot则处理SOCKS代理和信息窃取。由于大多数系统端口不开放IRC且防火墙增强，僵尸程序开始转向使用HTTP、ICMP和SSL端口协议以及点对点（P2P）网络，P2P网络因其难以定位、监控和关闭而