HTTP协议绕过防火墙和IDS的能力已使其成为当前大多数僵尸网络所采用的最流行的命令和控制(C&C)协议。 迄今为止,大多数僵尸网络检测方法都是通过识别签名或流模式在数据包级别或流级别运行的。 此外,某些检测技术将流量和恶意行为相关联以检测僵尸网络。 但是,这些方法大多数都基于僵尸网络的明显行为特征,并且无法在感染后的早期阶段同时检测和表征未知的僵尸。 为了纠正这种情况,我们研究了相关数据包的分发模式,并确定总体而言,来自bot的第一个请求数据包和来自C&C服务器的第一个响应数据包包含最有价值的信息。 因此,我们提出了一种自动检测未知HTTP僵尸网络并基于此知识生成C&C活动签名的技术。 初步实验的结果表明,我们提出的方法可以以较低的误报率准确检测未知的HTTP僵尸网络(例如SpyEye和ZeuS)并自动生成其签名。
