基于流量图的僵尸网络检测技术分析

何毓锟,李 强,嵇跃德,郭 东

(吉林大学 计算机科学与技术学院,符号计算与知识工程教育部重点实验室,长春 130012)

攻击者为了达到恶意目的,利用各种方法在大量计算机中先注入特定的恶意程序代码,再通过命令与控制信道(C&C)远程控制这些计算机,这些计算机组成的可通信、 可控制网络称为僵尸网络(Botnet);控制这些计算机的组织或个人称为僵尸控制者(Botmaster);秘密运行在受控主机上,可接受预定义的命令并执行预定义功能的恶意代码称为僵尸(Bot).僵尸网络常被用于分布式拒绝服务攻击(DDoS)、 发送垃圾邮件(spam)、 网络钓鱼(phishing)、 窃取机密信息(information theft)和传播其他恶意软件等.

僵尸网络有以下特点：

2) 并发性.僵尸程序可同时感染多台计算机,僵尸感染也可发生在不同平台的计算机间,僵尸主机间的数据信息可双向共享;

3) 灵活通信.僵尸网络有一个灵活的C&C通信信道,可使用IRC和P2P等通信协议进行通信,它们之间的通信还可以进行加密;

4) 动态升级.僵尸控制者可通过C&C信道对分布在僵尸主机上的僵尸程序进行动态升级,导致一些使用静态和特征扫描为基础的方法无效.

僵尸网络的这些特点为攻击者提供了隐蔽、 灵活和高效的攻击手段,对现行网络安全产生巨大威胁.目前,已有很多检测和防御僵尸网络的方法.根据检测位置,对僵尸和僵尸网络的检测技术分为基于主机和基于网络两类.基于网络检测技术的对象主要是僵尸网络命令和控制通信的流量及僵尸网络连接行为的异常,主要有以下4种：

1) 使用蜜罐网技术和DNS技术捕获并跟踪僵尸及僵尸网络[1],发现僵尸网络的控制服务器位置、 行为特性和结构特性,但僵尸通常很容易采用各种隐藏技术避免被捕获,如采取更隐蔽的通信方法或减少DNS请求;

冯建宁是农民的儿子。早在2005年，他的父亲便承包了临汾市大宁县太古乡坦达村100余亩闲置土地种植核桃苗，并零散地种一些西瓜、玉米维持全家6口人的生计。

2) 根据僵尸网络流量的签名进行检测[1],但主要针对IRC僵尸,不能扩展到其他僵尸;

3) 根据僵尸网络流量特征,使用统计异常、 流量相似性分类、 机器学习、 决策树和时空关联等方法[1-3],但此类方法受限于僵尸流量的变化和形式更新,且需处理大量的网络数据;

4) 利用僵尸网络通信协议(IRC或P2P)本身的特点检测正常流量和异常流量的差别[4-5].

在基于网络的僵尸检测技术中,有一种关注僵尸网络产生的流量图方法.该方法可不受通信协议和通信内容等因素影响,不需对僵尸程序进行反编译,只关注僵尸程序在通信过程中产生的流量图特征,能有效地检测僵尸网络中的僵尸主机.

本文先介绍了僵尸网络流量图的结构特征,然后对现有基于流量图的僵尸网络检测方法进行归纳总结,再从方法的前提假设、 实验数据和结果、 方法的优缺点三方面对其进行比较分析,并提出了可能的改进方法.

1 僵尸网络的图特征

僵尸网络中的僵尸主机在通信过程中表现出明显的图特征,下面对不同僵尸网络的通信模型进行分类,并根据不同的特性对通信流量图进行分类.

1.1 僵尸网络通信模型

1.1.1 传统中心式模型 在这种模型中,僵尸控制者和僵尸主机间的命令和数据交换通过一个或多个中心控制点实现.僵尸控制者选择一个高带宽、 高性能的计算机作为中央控制点,通过命令与控制服务器间接地操控分布在正常网络中的僵尸,对它们进行更新或发动大规模的恶意攻击.如使用IRC协议的spybot,GTbot,SDbot和使用HTTP协议的ClickBot,Rustock僵尸程序即为这种通信模型.在中心式通信模型中,僵尸操控者和僵尸程序间的所有通信都通过C&C服务器实现,只要找到C&C的服务器,并将其从网络中清除或隔离,则受其控制的僵尸主机将不再被控制,进而可以将该类型的僵尸从网络中清除.

1.1.2 新型分布式模型 在这种模型中,每个处在僵尸网络中的僵尸主机都可连接一定数量当前僵尸网络中的其他僵尸主机,不存在严格意义上的僵尸服务器和僵尸客户端.在僵尸网络中的每个僵尸主机都有可能变为僵尸服务器,当一个或多个僵尸在僵尸网络中失去连接时,攻击者可继续操纵其他僵尸网络中的受控僵尸主机,从而使整个僵尸网络继续运行.如使用P2P协议的Agobot和Phatbot僵尸程序使用的即为这种通信模型.在分布式模型中,网络中不存在中央控制点,这种模型的僵尸网络流量隐密性更高,也更难从正常的网络中隔离或彻底清除.

1.2 僵尸网络通信流量图 僵尸网络继承了传统网络一些特点的同时,由于僵尸程序通信的周期性和规律性,又有自身的特征.如果用顶点V表示网络中的每个主机,E表示两个主机V之间有直接通信关系的边,则网络中主机的通信可以用图G(V,E)表示.考虑通信关系的方向性,网络中主机的通信图又可分为有向图和无向图； 根据不同的协议(HTTP,P2P,FTP等),又可分为不同的协议图.

假设主机通信过程中的数据包都可划分为标准的五元组数据流,即〈sourceIP,sourcePort,destIP,destPort,protocol〉[6].给定一组流量S,可定义相应的有向图G(V,E),其中节点集V对应流量S中的IP地址,一个从u到v的链接(u,v)∈E当且仅当u,v分别对应流量S中的一组sourceIP和destIP.同理,也可获得一个无向图G(V,E),此时,节点集V对应流量S中的IP地址,u和v之间的链接(u,v)∈E当且仅当u,v对应流量S中的一组sourceIP和destIP.

假设网络主机通信过程中,它们之间的数据包都包含协议信息,则在构建主机的通信图时,即可根据网络协议进行过滤,得到不同的网络协议图.图1是一个P2P协议的主机通信图,图2是一个HTTP协议的主机通信图.图的一些特征(最大联通分量、 顶点个数、 边的条数、 顶点度的最大值等)也可用于判断网络中的异常,发现网络中的僵尸主机.

图1 P2P协议的主机通信图Fig.1 Communication graph with P2P

图2 HTTP协议的主机通信图Fig.2 Communication graph with HTTP

此外,依据网络中主机间通信的数据包数目和字节数、 通信在传输层的协议(TCP,UDP,NetBIOS,NetBEUI,SPX)、 通信使用的端口等条件,也可对网络流量进行分类分析,得到不同的流量图.

2 基于流量图的僵尸网络检测方法

通过流量图中的边可发现僵尸程序间的通信关系,僵尸程序在发起攻击时的流量图和正常网络的流量图有很大差别,不同协议和不同程序产生的流量图在图的一些指标上存在差异.

2.1 关注僵尸主机间的底层通信结构 Nagaraja等[4]提出了结构图分析法BotGrep,从正常网络流量中分离出异常的P2P流量子图,将网络的整个通信流量建模为无向图G=(V,E),其中:V表示主机的集合;E表示主机间通信边的集合.若G中包含P2P僵尸网络的流量子图Gp,则Gn=G-Gp为正常的背景流量.检测算法的目的是利用流量图的空间联系特征,将Gp和Gn区分开.区分Gp和Gn算法的依据是结构式P2P流量图的快速融合特性.

一旦僵尸网络的结构被识别且被确认为恶意的,BotGrep输出一系列可疑主机,这个列表可作为路由器的黑名单,用来配置IDS、 防火墙或提示管理员这些主机需要调查.

Coskun等[3]提出了利用“敌人的朋友”的方法.这里假设在P2P僵尸网络中,所有的僵尸主机都可接收或分发C&C的通信信息,每个使用P2P通信的僵尸主机都与僵尸网络中的一部分其他僵尸主机通信(即同伴名单)[7-9],并且保持其独有的同伴名单.利用P2P通信僵尸网络的非结构化拓扑,使其中的僵尸主机有一个非常高的概率随机选取同伴名单中的主机进行通信.依据流量图的特征,该方法通过P2P僵尸网络中部分种子僵尸主机发现其所在的整个僵尸网络.

在一个P2P僵尸网络中,被感染的主机(称为Bot)间可以直接或间接地通信,如果已知一些Bot,即可通过P2P通信的数据分析找出与其通信的其他Bot.若把一个Bot称为一个点N,Bot和Bot间有直接通信关系的称为边E,在给定时间内主机之间通信的次数计为边E的容量,则整个Botnet即为一个G(N,E)图.构建通信流量图:Eij=Eji=|S(Ni)∩S(Nj)|,其中:S(Ni)是Ni点的边集;S(Nj)是Nj点的边集;Eij和Eji是两点边的交集,若无公共边,则Eij=0.

当主机间通信的流量图建立后,使用Dye-Pumping算法计算网络中的主机可能为P2P僵尸网络中一部分的概率.Dye-Pumping算法需要3个输入数据: 流量图中反映主机间交互情况的边Eij(E是包含所有主机间相互联系情况的矩阵)、 种子节点N的索引s和迭代次数MaxIter.Dye-Pumping算法描述如下：先从输入的Eij中计算感染的相互作用系数,并形成过度矩阵T;再对T进行规范化,使矩阵中每一列的和为1,即转化为列随机矩阵;然后根据种子僵尸列表和关系矩阵迭代更新向量L,迭代更新MaxIter次.最终输出向量L,其中每个元素的L(i)值表示相应节点在初始种子僵尸节点所在僵尸网络的可能性.

使用部分僵尸主机作为种子,利用僵尸网络中僵尸主机通信产生的流量图特点,通过Dye-Pumping算法便可发现在同一僵尸网络中的僵尸主机.

2.2 关注流量图在受到攻击时的异常变化 Collins等[10]通过分析流量协议图的异常变化检测僵尸网络的传播.在正常网络背景流量下监测HTTP,SMTP,Oracle和FTP协议图的数据,发现这些协议图有可预测的图大小和最大联通分量.受到攻击时,协议图的大小和最大联通分量会发生异常变化,通过监测协议图设置合适的报警值,即可发现可能遭受攻击的网络.

2.3 关注各种协议的流量图特征 在分辨不同协议及不同应用在网络中的流量图时,一个较好的策略是使用图的指标.定义图的一些特征直到它们能够区分出不属于同一类别的流量图,如图中节点的平均度、 图中最大度的比率、 图中节点的方向性、 图的最大联通分量和图直径等.

Iliofotou等[11]提出了使用流量分布图(traffic distribute graph,TDG)分析网络中的流量.给定一组流量,TDG是一个任意两点间通信IP地址的边图,用TDG捕获整个网络的相互作用.考虑双向的流量,从而更详细地显示流量图中边的情况.对于TCP的流量定义是从SYN数据包开始的,这样即可知道流量的发起者和接收者,只需观察图中节点间的SYN/ACK数据包； 对于UDP的流量,把它们间第一个数据包的方向作为流的方向.如果在图中节点间不确定是哪个节点发起的流量,则在它们之间加入无向边.根据TDG开发应用程序分类工具Graption(基于图的P2P检测),Graption根据数据流级别的特征,在未知应用程序相关信息的情况下,先对流量进行集群,再为这些集群建立对应的TDG,并使用图形的指标确定这一集群对应的P2P应用.最后,自动提取一个新的P2P应用正则表达式,可利用现有的IDS设备和路由器阻止或限速检测的流量.

3 对比分析

目前的多数方法[3,4,6,12]都能在特定环境条件下对网络流量进行分类,检测已知类型的僵尸网络,发现未知类型的僵尸网络.在僵尸网络检测中,分为基于网络[13-15]和基于主机[16-18]的方法.以主机为基础的方法关注检测主机的信息,分析主机所能提供的资料;而基于网络的方法关注检测僵尸网络的传入和传出流量,分析网络中的流量.

在基于网络的方法中,有一类是使用图分析的方法[3,4,10,11,19].下面从前提条件和依据、 实验环境和结果及方法的优缺点方面分析基于流量图的僵尸网络检测技术.

3.1 前提条件和依据 Nagaraja等[4]使用结构图分析法发现基于P2P通信的僵尸网络[20-25];Coskun等[3]提出了利用“敌人的朋友”通过部分僵尸主机发现整个僵尸网络的方法;Collins等[10]通过分析流量协议图的异常变化检测僵尸网络的传播;Iliofotou等[11]提出了使用流量分布图(TDG)分析网络中的流量.这些方法都需要获取整个网络中主机间的通信数据,有些方法还需历史数据作对比,它们都有自己的使用环境,没有一种通用方法,都是依据僵尸程序通信的某些特点,从正常网络中寻找可能的僵尸网络,发现可能的僵尸主机.

3.2 实验环境和结果 为了衡量方法的有效性,需计算僵尸主机的误报率FP(false positive rate)、 漏报率FN(false begative rate)、 TP(true positive rate)、 TN(true negative rate)及查全率(recall)和查准率(precision).FP是指不是僵尸主机而被误认为是僵尸主机的概率;FN是指真正的僵尸主机而未被检测出的概率;TP表示实际上是僵尸主机而被检测出是僵尸主机的概率;TN表示实际上不是僵尸主机而被检测出不是僵尸主机的概率;查准率反应了检索到相关信息的准确程度: Precision=TP/(TP+FP);查全率反应了能检索全部相关信息的能力: Recall=TP/(TP+FN).文献[4]的实验数据来自由Abilene(Internet2团体创建的一个美国骨干网络)和CAIDA[24]的背景数据流量中分离出de Bruijn[25],Kademlia[26]和Chord[27]的P2P流量图.使用CAIDA的背景流量,当背景流量图的节点数|VB|为1 000～100 000时,使用de Bruijn结构的误报率FP=0%～0.09%,漏报率FN=0.67%～1.80%； 使用Kademlia结构的误报率FP=0%～0.19%,漏报率FN=0.17%～2.10%； 使用Chord结构的误报率FP=0%～0.06%,漏报率FN=0.46%～2.20%.实验数据表明,误报率的高低取决于僵尸网络流量图的大小,漏报率的大小随背景流量的增大而减小.文献[3]的实验是在背景流量中检测基于P2P的Nugache BotNet[7,28],背景流量来自纽约大学理工学院(polytechnic institute of NYU)周末一天的数据,通过Nugache crawler[29]获取Nugache活跃时的数据.根据他们的方法,一些实验数据显示检测的查准率约保持75%,查全率约保持80%.文献[10]的实验观测了2007年3月12日～2007年3月16日的一组服务器数据,其中使用SMTP协议的有2 818台,使用HTTP协议的有8 145台,使用Oracle协议的有262台,使用FTP协议的有1 409台.文献[10]的检测方法观察到TP≈95%,FP≈90%.文献[11]的实验数据来自Abilene骨干网、 CAIDA和Palo Alto Internet eXchange (PAIX),其中TR-PAY1和TR-PAY2是由PAIX的ISP服务商提供的2004年4月21日一个时段的数据.TR-PAY1的数据中有10 139 115个独立的IP,有38 808 604条数据流,总大小为435 G.实验数据表明,在分类P2P的网络流量时查全率约为96%,查准率约为90.5%.

上述实验结果表明,在特定环境下一些检测方法在一定程度上有效,但它们表现出较差的稳定性,在检测未知类型的僵尸网络上无明显优势.

3.3 不同方法的优缺点 文献[4]的结构图分析法优点是可定位大部分僵尸； 误报率较低,假阳性的概率小于0.6%； 对于检测系统可局部部署,从而适应不完整的背景流量,即使只是一个流量图的局部视图,也可以发现93%～99%僵尸网络感染的主机； 是一种内容无关的BotGrep算法,因此它不受所选择的端口、 通信加密或由僵尸所使用的其他以内容为基础的隐形技术的影响.缺点是需要处理大规模的通信数据； 在检测时可能会给出错误的判断,BotGrep必须搭配一些恶意软件检测方法,如异常或误用检测,以区别于其他正常P2P通信的应用程序和恶意P2P通信的僵尸网络； 需要网络服务商分享他们的流量； 且该方法只能检测已经发现的僵尸网络,无法进行预防.文献[3]利用僵尸网络本身结构特点的方法优点是可检测部分僵尸； 该方法不需要对僵尸的活动信息进行分析； 不需对网络中可能的僵尸主机进行特征扫描； 不需对僵尸程序进行反编译； 这种方法是通用的,不依赖于特定的僵尸网络具体属性,也不受数据包大小、 数据流大小及数据包加密等因素的影响.缺点是检测过程中,存在错误判断的可能性； P2P的僵尸网络在发展过程中,僵尸主机之间可能会避免互相通信,而只进行单项通信； 僵尸网络可能存在很多子网,无法找出整个僵尸网络.文献[10]的方法优点是不局限于特定的网络通信协议； 可高精度的识别FTP,SMTP,HTTP和Oracle(准确性稍差)； 是一种与内容无关的检测方法,不受僵尸主机间具体通信内容的影响.缺点是未用到图中节点的空间关系信息； 检测时,需要实时检测流量图的变化； 需要历史数据作为参照.文献[11]的方法优点是使用了图的部分空间特征和动态瞬时特征(节点和边的度),考察图中最大连通分量的大小对P2P网络做出判断； 也是与通信内容无关的检测方法.缺点是该方法并没有用到图的所有空间信息,如节点的度数分布等； 在实际部署中,需要ISP服务商提供网络中主机通信的数据,被认为可能泄漏个人信息； 同时可能要面对大规模的数据处理.

综上,在基于图的僵尸网络检测方法中,一个明显的特点是它们大多数与通信内容无关,更关注整个网络中主机通信产生流量图的一些特征信息,同时要解决大规模数据处理的时间开销及如何在获取网络流量数据后,更好地保护个人隐私.

表1列出了上述几种检测方法的一些特征,其中包含各方法的依据、 可检测的类型及效率等.

表1 典型检测方法的对比Table 1 Comparison of typical detection methods

4 改进措施

下面针对现有僵尸网络检测的特点,在网络通信数据收集时用户的隐私保护、 大规模网络通信数据的处理、 检测方法的有效性、 未知僵尸程序和复杂僵尸网络环境上更通用的检测方法等四方面提出可能的改进措施.

由于收集大量流量数据信息时会涉及到许多用户信息,因此进行流量信息收集时保护用户的隐私至关重要.在流量图方法的流量收集阶段,ISP服务商可能不愿意提供真实的网络流量.这样,一方面可以在不影响方法判断指标的基础上,请求获取加密或修改过相关隐私信息的数据集合.如当以流量中数据包的大小作为指标时,可请求获取在不改变数据包大小的情况下对网络中用户通信的数据包进行加密； 当流量中用户的IP或物理地址对方法的有效性无影响时,可请求获取IP地址和物理地址经过映射处理的网络通信数据集合.另一方面,也可使用一些算法生成合理的网络流量数据,然后将它们混合到背景数据流量中,在数据生成上可先使用一个初始数据矩阵,再执行随机游走算法[30].

在大型网络中,流量图有大量的顶点,由于主机通信产生的边数目较多,因此在流量图信息处理过程中如何提高效率至关重要.在大规模流量信息预处理及生成流量图的过程中,要尽可能利用现有网络资源,利用现有图论和数据结构方面的算法降低系统开销,从而整体降低处理数据时间.如可利用现有分布式计算机网络处理大量网络通信产生的数据,在处理流量图时,可利用并查集合并子图,使用Tarjan算法计算图的最大联通分量.

目前的检测方法在僵尸网络检测的误报率和漏报率方面较差,由于僵尸网络的不断变异,隐藏在正常网络中的僵尸会变得越来越难以检测和清除,可能会导致在单一使用某些方法时效果很差.为了应对新型的僵尸网络,更好地检测、 清除、 防御驻留在正常网络中的僵尸主机,提供一个高效安全的网络环境,可以采取多种检测方法相结合的新方案,如在基于网络的方法中,可将流量图的方法和流量统计方法相结合,在收集网络流量数据构建流量图的同时对流量进行统计分析,将流量图方法得到的可疑主机信息和统计分析方法得到的可疑主机信息进行关联,通过实验和理论分析设定两种方法各自的可疑权值,最终综合产生一个输出结果,从而在一定程度上降低检测的误报率和漏报率； 还可将基于网络流量统计的方法和基于主机的方法相结合,将流量统计方法产生的可疑主机作为输入信息提供给主机作为参考信息,主机结合网络上的信息再进行主机检测进而提高检测效率.

目前方法大多数是检测已出现的僵尸网络和特定环境下的僵尸网络.对于新的未知僵尸网络,有很大的概率是从已有僵尸类型中变异产生,对于这类新型僵尸,它们通信形成流量图的最大联通分量或图中的顶点个数可能会有很大区别,但他们通信过程中数据包的大小或僵尸主机之间通信的频率有可能和变异前的僵尸程序较接近,这样就可设计多个指标综合考虑检测方案,对于不同的指标设定相应的权值,最终产生一个可疑主机列表,同时也可结合主机检测作为辅助验证； 由于各种智能设备的快速发展,网络结构也越来越复杂,出现的各种智能终端系统平台也有差异,当检测分布在这一类终端上的僵尸程序时,更好的方法是在路由器或ISP上部署僵尸网络检测系统,观察整体网络数据流量的一些指标,而不是在智能终端上部署僵尸检测软件,以减少智能终端的系统开销.设计更通用的方法对大型网络中产生的数据流量特征进行分析,在一些指标上,如数据包的大小、 主机间通信的频率、 产生流量图的联通分量等,做基于异常的检测,得到可疑主机的相关信息,再从网络中隔离这些主机.

综上所述,本文基于网络中流量图的方法,根据图的特征(如图顶点的多少、 流量图中使用的通信协议、 图的最大联通分量等)和僵尸网络本身的一些特性(如僵尸网络形成的快速混合特性、 僵尸主机需要直接或间接的通信等)提出了对目前方法的一些改进措施.

[1] GU Guo-fei.Correlation-Based Botnet Detection in Enterprise Networks [D].Georgia: Georgia Institute of Technology,2008.

[2] ZHANG Jun-jie,LUO Xia-pu,Perdisci R,et al.Boosting the Scalability of Botnet Detection Using Adaptive Traffic Sampling [C]//Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security.New York: ACM,2011: 124-134.

[3] Coskun B,Dietrich S,Memon N.Friends of an Enemy: Identifying Local Members of Peer-to-Peer Botnets Using Mutual Contacts [C]//Proceedings of the 26th Annual Computer Security Applications Conference.New York: ACM,2010: 131-140.

[4] Nagaraja S,Mittal P,HONG Chi-yao,et al.BotGrep: Finding P2P Bots with Structured Graph Analysis [C]//Proceedings of the 19th USENIX Conference on Security.Berkeley: USENIX Association,2010: Article 7.

[5] YEN Ting-fang,Reiter M K.Are Your Hosts Trading or Plotting? Telling P2P File-Sharing and Bots Apart [C]//Proceedings of the 2010 IEEE 30th International Conference on Distributed Computing Systems.Washington DC: IEEE Computer Society,2010: 241-252.

[6] Iliofotou M,Kim H C,Faloutsos M,et al.Graption: A Graph-Based P2P Traffic Classification Framework for the Internet Backbone [J].Computer Networks,2011,55(8): 1909-1920.

[7] Stover S,Dittrich D,Hernandez J,et al.Analysis of the Storm and Nugache Trojans: P2P Is Here [J].Usenix Login,2007,32(6): 18-27.

[8] Grizzard J B,Sharma V,Nunnery C,et al.Peer-to-Peer Botnets: Overview and Case Study [C]//Proceedings of the First Conference on First Workshop on Hot Topics in Understanding Botnets.Berkeley: USENIX Association,2007: 1.

[9] Holz T,Steiner M,Dahl F,et al.Measurements and Mitigation of Peer-to-Peer-Based Botnets: A Case Study on Storm Worm [C]//Proceedings of the 1st Usenix Workshop on Large-Scale Exploits and Emergent Threats.Berkeley: USENIX Association,2008: Article 9.

[10] Collins M P,Reiter M K.Hit-List Worm Detection and Bot Identification in Large Networks Using Protocol Graphs [C]//Proceedings of the 10th International Conference on Recent Advances in Intrusion Detection.Berlin：Springer,2007: 276-295.

[11] Iliofotou M,Pappu P,Faloutsos M,et al.Graption: Automated Detection of P2P Applications Using Traffic Dispersion Graphs (TDGs) [R].Santacruz: University of California,2008.

[12] Siska P,Stoecklin M P,Kind A,et al.A Flow Trace Generator Using Graph-Based Traffic Classification Techniques [C]//Proceedings of the 6th International Wireless Communications and Mobile Computing Conference.New York: ACM,2010: 457-462.

[13] LIU Dan,LI Yi-chao,HU Yue,et al.A P2P-Botnet Detection Model and Algorithms Based on Network Streams Analysis [C]//2010 International Conference on Future Information Technology and Management Engineering (FITME).Piscataway: IEEE Press,2010: 55-58.

[14] Callado A,Kelner J,Sadok D,et al.Better Network Traffic Identification through the Independent Combination of Techniques [J].Journal of Network and Computer Applications,2010,33(4): 433-446.

[15] GU Guo-fei,Perdisci R,ZHANG Jun-jie,et al.BotMiner: Clustering Analysis of Network Traffic for Protocol-and Structure-Independent Botnet Detection [C]//Proceedings of the 17th Conference on Security Symposium.Berkeley: USENIX Association,2008: 139-154.

[16] FENG Min,Gupta R.Detecting Virus Mutations via Dynamic Matching [C]//IEEE International Conference on Software Maintenance.Piscataway: IEEE Press,2009: 105-114.

[17] HU Xin,Chiueh T C,Shin K G.Large-Scale Malware Indexing Using Function-Call Graphs [C]//Proceedings of the 16th ACM Conference on Computer and Communications Security.New York: ACM,2009: 611-620.

[18] JIANG Ling-xiao,SU Zhen-dong.Automatic Mining of Functionally Equivalent Code Fragments via Random Testing [C]//Proceedings of the Eighteenth International Symposium on Software Testing and Analysis.New York: ACM,2009: 81-92.

[19] Iliofotou M,Faloutsos M,Mitzenmacher M.Exploiting Dynamicity in Graph-Based Traffic Analysis: Techniques and Applications [C]//Proceedings of the 5th International Conference on Emerging Networking Experiments and Technologies.New York: ACM,2009: 241-252.

[20] Gkantsidis C,Mihail M,Saberi A.Random Walks in Peer-to-Peer Networks [J].Performance Evaluation,2006,63(3): 241-263.

[21] Borisov N.Anonymous Routing in Structured Peer-to-Peer Over-Lays [D].Berkeley: University of California at Berkeley,2005.

[22] Aspnes J,Wieder U.The Expansion and Mixing Time of Skip Graphs with Applications [C]//Proceedings of the Seventeenth Annual ACM Symposium on Parallelism in Algorithms and Architectures.New York: ACM,2005: 126-134.

[23] ZHONG Ming,SHEN Kai,Seiferas J.Non-uniform Random Membership Management in Peer-to-Peer Networks [C]//24th Annual Joint Conference of the IEEE Computer and Communications Societies.Piscataway: IEEE Press,2005: 1151-1161.

[24] CAIDA: The Cooperative Association for Internet Data Analysis [EB/OL].2013-02-18.http://www.caida.org/.

[25] Kaashoek M F,Karger D R.Koorde: A Simple Degree-Optimal Distributed Hash Table [C]//Peer-to-Peer Systems Ⅱ,Lecture Notes in Computer Science.Berlin: Springer,2003: 98-107.

[26] Maymounkov P,Mazieres D.Kademlia: A Peer-to-Peer Information System Based on the Xor Metric [C]//Peer-to-Peer Systems,Lecture Notes in Computer Science.Berlin: Springer,2002: 53-65.

[27] Stoica I,Morris R,Karger D,et al.Chord: A Scalable Peer-to-Peer Lookup Service for Internet Applications [C]//Proceedings of the 2001 Conference on Applications,Technologies,Architectures,and Protocols for Computer Communications.New York: ACM,2001: 149-160.

[28] Dittrich D,Dietrich S.Discovery Techniques for P2P Botnets [R].[S.l.]: Stevens Institute of Technology,2008.

[29] Dittrich D,Dietrich S.P2P as Botnet Command and Control: A Deeper Insight [C]//Proceedings of the 3rd International Conference on Malicious and Unwanted Software.Piscataway: IEEE Press,2008: 41-48.

[30] Wikipedia.Random Walker Algorithm [EB/OL].2009-06-01.http://en.wikipedia.org/wiki/Random_walk.