8、基于人工智能的僵尸网络检测技术解析

基于人工智能的僵尸网络检测技术解析

1. 僵尸网络检测方法概述

僵尸网络检测主要有蜜网检测（HNBD）和基于网络的检测（NBD）两种方法。
- 蜜网检测（HNBD） ：蜜网（有时也称为蜜罐）主要用于研究和理解僵尸网络的特征和方法，但在检测僵尸感染方面并不总是有效。它通常用于发现僵尸网络控制者或攻击者的目标，对于识别已知的僵尸网络有一定作用，但对于未知的僵尸网络以及有细微变化的已知僵尸网络，该方法则难以识别。
- 基于网络的检测（NBD） ：此方法基于对网络中静态流量的监测和分析，能有效识别网络中僵尸网络的存在。在该方法中，会持续监测网络数据，观察基于网络的通信情况。任何异常迹象都可能表明存在恶意活动。尽管攻击者会采用大量代码混淆方法，但恶意代码产生的数据包仍会存在于网络中，可通过不同方法进行追踪。

2. 僵尸网络架构

2.1 联邦模型

在联邦模型中，有一个最重要的组件负责建立与僵尸网络客户端的通信，这个关键组件被称为命令与控制（C&C）服务器。许多可用的僵尸网络，如sabot、ago bot、robot等，都使用C&C进行通信。C&C服务器通常是功能强大的计算机设备，因为它需要管理整个僵尸网络，其规模可能从少量到大量不等。该服务器需要有高数据传输能力，以应对同时为多个僵尸网络客户端服务的情况。不过，这个关键服务器也是该模型的一个薄弱点。C&C常用的通信协议有HTTP（超文本传输协议）和IBN（互联网广播协商协议）。
- IBN - 基于协议 ：IBN是一种基于TCP的实时网络文本