1、僵尸網絡是攻擊者出于惡意目的傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網絡，實現(xiàn)信息竊取、分布式拒絕服務攻擊和垃圾郵件發(fā)送等攻擊目的。P2P僵尸網絡是利用P2P網絡傳播或控制僵尸程序的網絡，它擺脫了中心服務器的限制，采用P2P技術構建新的命令與控制信道，大大增加了生存性、隱蔽性和健壯性，使檢測和防范變得更加困難，對因特網的安全造成了嚴重威脅，但目前國內外對其檢測的研究相對滯后，尚無通用化檢測方法。 本研究對P

2、2P僵尸網絡的功能結構、命令與控制機制和體系結構進行了剖析，利用蜜網采集僵尸程序，并對其做了分析，建立特征庫。在蠕蟲傳播模型的理論基礎上建立了P2P僵尸程序傳播模型?；陟o態(tài)特征、流量監(jiān)測、蜜網分析和主動探測四種檢測技術，對僵尸網絡跟蹤做了改進，使之可以應用于P2P僵尸網絡的檢測，并設計了可行的試驗方案。設計了一個基于主動測量的P2P僵尸網絡檢測試驗系統(tǒng)，完成了主動探測蠕蟲的算法設計和編碼工作，對試驗系統(tǒng)的詳細設計框架做了描述，對試驗結

3、果做了分析。系統(tǒng)以DHT架構的P2P網絡Overnet為試驗環(huán)境，以P2P僵尸程序Peacomm為實例作出檢測。在蜜網中部署可控P2P僵尸程序，對進出蜜網的疑似流量進行捕獲，得到P2P僵尸程序命令與控制流的特征。主動探測是核心模塊，使用爬蟲主動加入Overnet網絡，獲取整個網絡的拓撲結構和所有節(jié)點的路由信息。若蜜網中的僵尸程序與外界僵尸網絡發(fā)生通信，通過截獲的疑似流量，再結合網絡拓撲結構，可以有效檢測出P2P僵尸網絡，并對其作出準確的