概述:本文主要对传统的僵尸网络手段做概括性的描述。
传统僵尸网络检测
被动测量技术
1. 深度包检测
DPI是非常常见的网络安全检测方法,IDS、IPS就属于深度包检测安全产产品。僵尸网络流量像其他网络攻击一样可以使用DPI来进行检测,其基本理念是预定义已知的僵尸网络内容的常见payload进行匹配。
缺点:
- 高负载网站很难进行实时检查
- 只能检测已知模型的僵尸网络通信payload
- 误报率较高
2.流记录分析
流记录方式忽略包的具体内容,在一种抽象的层面对网络流量进行表示,与DPI相比能够更加高效的进行检测。最有代表性的流记录分析安全产品就是思科公司的Netflow,可以看做流分析的标准。流记录分析的目标是识别出僵尸网络通信的流模式。
缺点:
- 检测精度不高
3.基于DNS的检测方法
参考文献
- xxx
- xxx