【IT168专稿】考虑到恶意软件的扩散和越来越高级，不难看出传统的杀毒软件技术为什么不能应付僵尸网络。大多数IDS系统的重点放在检测已知的威胁方面，或者放在检测一个僵尸电脑主机启动之后产生的通讯量增加的现象方面。然而，大多数僵尸电脑是多种形态的：它们每一次安装都进行改变，使其看起来像新的一样。而且，大多数僵尸电脑仅定期向僵尸电脑主机发送少量的信息。这个通讯量是在IDS系统规定的限制之内的。

　　在这篇文章的里，我们介绍一下针对早期僵尸网络探测的Canary探测器。

　　Canary探测器的三个策略

　　Canary探测器包含三个有潜力的反僵尸网络策略。第一个策略是分析真正的企业网络的踪迹，暴露僵尸网络实际的工作情况。这种分析还能够显示某些用户驱动的网络通讯流量的属性与僵尸网络通讯流量的区别。第二个策略是能够根除僵尸网络指挥与控制渠道的端点主机检测算法。这种方法是以一个单个的持续值的算法为基础的。这是衡量如何定期联络远程目标的方法。这种方法的优势是它不需要对需要检测的僵尸网络有先验的知识，也不需要检测通讯流量的负载。虽然僵尸网络检测能力也许只在单个的端点主机上实施，但是，把许多系统关联起来会进一步改善这种检测能力。这种关联可以在一个网络操作中心实施或者完全以分散的方式实施，以识别多个系统持续目标的共性。这是第三个策略。

　　Canary探测器的设计

　　Canary探测器采用一种新颖的方法检测诸如僵尸网络等隐蔽的端点托管的恶意软件。我们在这里使用隐蔽这个词汇是因为它还没有产生能够引起人们注意的通讯量。我们检测方案的中心思路是跟踪目标原子(atom)的使用，目标原子是解释各种服务的目标地址的逻辑集合。特别是我们要测量这些目标原子的关联，临时为单个用户测量这种关联和为分散在多个地方的用户测量这种关联，并且审查那些变得很重要的目标原子。例如，在检测僵尸网络的时候，招募的端点主机一般都定期地呼叫家里。通过跟踪这个目标原子，我们能够在它变得非常严重的时候为它做出标记。