木 要求于09 07 29 提交中 古利同、 200910160680．2、 你 僵尸 方法及系統以及相夫 的中 古利 的 先 其全 部內容 合在木 中。 木領域 本 涉及通 領域， 尤其涉及 同 測方法及 統以及相 各。 背景 木 看同 的 ， 的 行力也 蔓延 ， 同 ( o e ) 就是其中的 方式， Bo e 成了 介 平台， 利用 平台可以 各 各 的 行力， 可以 信息同 或者重要 統 ， 也可以 大量 或 隱私 漏， 近可以用未 同 等其 他 法犯罪 。 分布 拒絕 各 ( O , s b ed e a O Sevce) 、 垃圾 、 秘密、 濫用資源是已 的利用 Bo e 功 的 行力， 行力 同 近是用戶自身都造成了比較 重的 危害。 看將未出現各 新的 ， Bo e 近可能 未 新的未 。

目前 同 的研究 剛剛起步。 前 神威 的 木主要是 看 于提前預防或 事件的事 。 通常情況是 家同 安全監測 部門在 了 大型 或重要同 受到 同 的 ， 才

大量的 力及相 部門 ， 需要 很長 同才能 找到 同 的控制中 和主要控制者， 但是 同內 造成的 損失是不可 估量的。 所以探索 有效的 同 測方法是非常必要的。

現有 木中， 同 主要 測方法可以 同 木， 即

等手段 得bo程序 本， 逆向工程等惡意代 分析手段， 得隱藏在 中的 汞Bo e 所需要的相 信息， 使用 制的 程序 汞到 同 ， 步 措施。

但是， 上 現有 木中， 需要 到的bo程序 本 分析 ， 且 需要使用 bo 程序 本中分析得到的相 信息 汞 同 步的 ， 因此 『同 。 內容 本 提供了 同 測方法及 統以及相 各， 同 。

本 提供的 同 測方法， 平台接收安全 各 的 者信息， 者信息 安全 各 到 生成， 者信息中至少 者地址列表 平台 硝 者地址列表中的地址不 于已 的 同 ， 則

者地址列表 的各 者 監控 平台 監控的結果 同 控制者信息。

本 提供的 同 統， 安全 各， 于 ， 生成 者信息， 者信息中至少 者地址列表 平台， 于接收 安全 各 的 者信息， 若 者地址列表中的地址不 于已 的 同 ， 則 者地址列表 的各 者 監控， 監控的結 果 同 控制者信息。

本 提供的 平台， 接收羊 ， 于接收安全 各 的 者信息， 者信息 安全 各 到

生成， 者信息中至少 者地址列表 羊 ， 于 者地址列表中的地址是否 于已 的 同 監控 羊 ， 于 者地址列表中的地址不 于已 的 ， 者地址列表 的各 者 監控 羊 ， 于根 監控羊 的 監控結果 控制者信息。

以上 木 可以看出， 本 具有以下

本 中， 平台可以 安全 各 的 者信息 各 者 監控， 監控的結果 同 控制者信 息， 本 的 可以 在 的 者 的

， 而 到 同 的相 信息， 因此本 的 同 的 金 。

了更清楚 說明本 或現有 木中的 木方案， 下面將 或現有 木 中所需要使用的 羊 介紹， 而易 ， 下面 中的 是本 的 些 ， 于本領域普通 木 未 ， 在不付出 造性 性的前提下， 近可以 得其他的 1力本 中 『同 測方法 介 示意

2力本 中 『同 測方法另 示意

3力本 中

中 『同 測方法再 示意

4力本 『同 統 介 示意

5力本 中 平台 介 示意

6力本 中 平台另 示意 。

休 方式 了更清楚 說明本 或現有 木中的 木方案， 下面將 或現有 木 中所需要使用的 羊 介紹， 而易 ， 下面 中的 是本 的 些 ， 于本領域普通 木 未 ， 在不付出 造性 性的前提下， 近可以 得其他的 本 提供了 同 測方法及 統以及相 各， 于 『同 。

1， 本 中的 同 測方法 介

1 01、 平台接收安全 各 的 者信息

本 中， 安全 各 到 ，

生成 者信息， 且將 者信息 送至 平台。

本 中的 者信息中至少 者地址列表， 在 中 近可以 其他的信息， 休此 不作限定。

10 、 平台 者地址列表中的地址不 于已 的 同 ， 則 者地址列表 的各 者 監控

本 中， 平台在接收到安全 各 的 者信息 ， 其中的 者地址列表中的地址不 于已 的 同 ， 則 者地址列表 的各 者 監控。

10 、 平台 監控的結果 同 控制者信息。

平台在 者 監控 ， 即可 監控的結果 同 控制者信息， 休的 將在 中 。 本 中， 平台可以 安全 各 的 者信息 各 者 監控， 監控的結果 同 控制者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本 的

同 的 。

上面 平台的角度 同 測的 了說明， 于理 解， 下面 安全 各 平台 同交互的角度 上 同

， ， 本 中 同 測方法另 01、 安全 各 到

本 中，安全 各可以 各，或垃圾 ( P ) 各， 或防火 ， 或統 管理(U , U edTh ea a age e ) 各， 或其他美型的安全 各。

則 的， 安全 各 到的 ， 或 P ， 或防火 ， 或U ， 或其他美型的 。

需要說明的是， 本 中， 安全 各 的 程力本 領域 木 的公 。

0 、 安全 各生成 者信息

本 中， 安全 各 到 ， 即可

生成 者信息， 休的 者信息中至少 者地址列表， 另外 近可以 其他的 些信息。

本 中的 者信息可以 " 同 ( P, e e P o oco )地址"， " 者 P地址列表"， " "， " 目的 "， " 同"， " 同"， " "， " 特 " 等。

其中， " P地址" 是指 的主和 P地址

" 者 P地址列表" 是指 的 主和 P地址集合 " "是指教 的 休 ， 或者更 的子美

" 目的 □ 是指 的主和

" 同" 是指教 的 同

" 同" 是指教 的 同

" "是指主和 的

" 特 "是指 文中提取出的 些 信息或 。 需要說明的是， 本 中 的 者信息 是 介 休的 ， 在 中， 者信息近可以 其他更 的信息， 休此 不作 限定。

本 中是以 P地址作力地址的例子 說明， 可以理解的是， 在 中， 同 可以 其他美型的地址， 休 此 不作限定。 0 、 平台接收安全 各 的 者信息

安全 各在生成 者信息 ， 即可將 者信息 送至 平台。

0 、 者地址列表中的地址是否 于已 同 ， 若是， 則 步驟 0 ， 若否， 則 步驟 0

平台接收到安全 各 的 者信息 ， 即可 其中 需要說明的是， 本 中， 平台 出 介新的 同 ， 即 將 同 的相 信息， 例 控制者地址， 受 者地址等， 存 儲在本地， 則 到 者地址列表 ， 即可 地址是否 于已 的 同 。

0 、 者地址列表 的各 者 監控

本 中， 若 者地址列表中的地址不 于已 同 ， 則說明安全 各 到的 未自 介未 的 同 ， 則 平台 者 監控， 即 者的 ， 分析。 需要說明的是， 本 中的 監控可以 ， 即在 內 者 監控。

0 、 平台 監控結果 同 控制者信息， 步 驟 0

本 中， 平台 者 監控 即得到監控結果， 平台即可 監控結果 在 長 內 者 介 地址 同的通信比較頻繁， 若 到各 者都 同 介地址通信頻繁， 且頻繁程度 了 的 ， 則可 地址 的主和力 同 控 制者， 地址即 同 控制者地址。

需要說明的是， 在 了 同 控制者信息 ， 即可將 同 控制者的地址以及 者的地址存儲在本地， 且 同 已 同 。

0 、 平台 本地存儲的信息 同 控制者信息

本 中， 若 者地址列表中的地址 于已 同 ， 則 由于 平台本地已 休 了 已 同 的相 信息， 則可以直接 到 同 的控制者信息。

0 、 平台將 同 控制者信息 送至安全 各。

本 中， 平台 了 同 控制者信息 ， 即可將 同 控制者信息 送至安全 各， 以 于安全 各

同 控制者信息 ， 例 反制等。

需要說明的是， 本 中步驟 0 可 步驟， 在某些情況下， 平台 將 同 控制者信息 送至安全 各， 例 安全 各 P 各 ， P 各 到垃圾 ， 則 可直接將 地址列 黑名羊， 拒收 地址 的 ， 所以也可以 元 同 控制者信息。

本 中， 平台可以 安全 各 的 者信息 各 者 監控， 監控的結果 同 控制者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本 的

同 的

其次， 本 中， 在 同 控制者信息 ， 利用了 同 的特性， 各 者通信最頻繁的地址作力 同 控制者的地址， 因此 有效地提高 測的

再次， 本 中， 平台在 了 同 控制者信息 ， 可 以將 同 控制者信息 送至安全 各， 因此 使得安全 各可以 溯源， 同 控制者信息 ， 而 步休 了同 安全性。

于理解， 下面以 休 平台 未 同 的

， ， 本 中 同 測方法再 01、 安全 各 到

本 中的步驟 01 所示的 中的步驟 01相同， 此 不再 。

0 0 、 安全 各 平台的 向 平台的前 者黑名羊列表 0 、 檢測平台的前 黑名羊列表中的 者 行監控

0 、 檢測平台的前 向檢測平台的 三元組信息

本 中， 檢測平台的前 者 行監控 得到監控結果， 即三元組信息， 三元組信息 者的 P地址， 者 的 P地址以及通 。

需要說明的是， 本 中的三元組信息近可以 步 力更 的 元素， 包含更 的信息， 此 不作限定。

0 、 檢測平台的 分析控制者信息

本 中， 檢測平台的 接收到三元組信息 ， 即可

者地址 的 地址中 出現 最 的可疑地址， 且 核可 ， 若是， 則 定可疑地址 同 控制者的地址。

0 、 平台的 將 同 控制者的地址 送至 平台的前 ．

0 、 平台的前 同 控制者 行監控

平台的前 到 同 控制者的地址 ， 即可 地址的 行監控， 而 得更 的 同 控制者的信息

" 。

0 、 平台將監控到的 『同 控制者的 送至 平台的 ．

10、 平台的 更新本地教 ， 休 同 控制者的地址以 及 者的地址。

本 中， 平台的 近可以 步驟 11 將 『同 控制者 的地址 送至安全 各以 。

下面以 休的 以及 的 上 的 同

， 本 中以 名叫 安全 各 ， 以 作力

各 到 則 生成 者信息， 者信息中包含有 者地址列表， 休的地址

"1 .1 .0．1", "1 .1 .0． ", "1 .1 .0． " 以及 "1 .1 .0． "。

平台接收到 各 的 者信息中的 者地址列表 ， 即可 本地是否已 休存有 地址

已 休存有， 則說明 的 『同 是 介已 的 『同 ， 則 平台在本地查 『同 的控制者地址 "1 .1 ．0． ， 則可以將 同 的控制者地址 "1 .1 ．0． 送至 各 。

尚未休 地址， 則說明 的 同 是 介未 的 『同 ， 則 平台可以 者 監控

介 ， 例 10 ， 則 平台舍監控 10 內

， 生成三元組信息， 即 者 P地址 P地址 □"， 例 休的三元組信息可以 下所示

"1 .1 .0. 1 .1 .0. 11", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 11", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 11", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 11", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 11", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 1 ", "1 .1 .0. 1 .1 .0 11", "1 .1 .0. 1 .1 .0. 11" 由上可以看出， 者在 10 了 1 ， 其中 有 1 都是 地址 "1 .1 ．0． " 的主和 的， 且 都 11， 有 次是 地址 "1 .1 ．0． " 的主和 的， 也就是說， 者 地址 "1 .1 ．0． " 的主和 非常頻繁， 同 的特 5 可 ， "1 .1 ．0． "地址 可疑地址， 在 中 置有 門 ， 休教 相 ， 例 0 ， 即表示各 者在所有的 中有 0 的 都是 同 主和 的，則本 中的 者 地址 "1 .1 ．0． " 的主和 的 的比例 1 /1 , 大于 0 ， 則可以 核可疑地址 "1 .1 ．0． " 同 控制者的地 。

平台將 同 控制者的地址以及 者的地址 休 ， 則 同 即 已 同 。

平台近可以 同 控制者的地址 送至 各 溯 源以 。

5 本 中， 平台可以 安全 各 的 者信息 各 者 監控， 監控的結果 同 控制者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本 的

同 的

0 其次， 本 中， 在 同 控制者信息 ， 利用了 同 的特性， 各 者通信最頻繁的地址作力 同 控制者的地址， 因此 有效地提高 測的

再次， 本 中， 平台在 了 同 控制者信息 ， 可 以將 同 控制者信息 送至安全 各， 因此 使得安全5 各可以 溯源， 同 控制者信息 ， 而

步休 了同 安全性。

下面介紹本 中的 同 統， ， 本 中的 同 統 介

安全 各 01， 于 ， 生成 者0 ， 者信息中至少包括 者地址列表

平台 0 ， 于接收安全 各 的 者信息， 若 者地址列表中的地址不 于已 的 同 ， 則 者地址列表 的 各 者 監控， 監控的結果 同 控制者信息。

本 中的 平台 0 近 于將 的 同 控制者信息 送 至安全 各 01

安全 各 01近 于接收 平台 0 的 同 控制者信 息。

本 中的安全 各可以 各， 或 P 各， 或防火 ， 或U 各。

于理解， 下面以 休 本 中的 同 統 說明

本 中， 安全 各 01 可以 各， 或垃圾 ( P ) 各， 或防火 ， 或 U 各， 或其他美型的安全 各。

則 的， 安全 各 01 到的 ， 或 P ， 或防火 ， 或U ， 或其他美型的 。

需要說明的是， 本 中， 安全 各 01 的 程 力本領域 木 的公 。

安全 各 01 到 ， 即可 生成 者信息， 休的 者信息中至少 者地址列表， 另外近可以 其他的 些信息。

安全 各 01 在生成 者信息 ， 即可將 者信息 送 至 平台 0

平台 0 接收到安全 各 01 的 者信息 ， 即 需要說明的是， 平台 0 出 介新的 同 ， 即 將 同 的相 信息， 例 控制者地址， 受 者地址等， 存儲在 本地， 則 到 者地址列表 ， 即可 地址是否 于已 的 同 。

者地址列表中的地址不 于已 同 ， 則說明安全 各 01 到的 未自 介未 的 同 ， 則 平台 0 者 監控， 即 者的 ， 分析。 平台 0 者 監控 即得到監控結果， 平台 0 即可 監控結果 在 長 內 者 介地址 同的通信比較頻繁， 若 到各 者都 同 介地址通信頻繁， 且頻 繁程度 了 的 ， 則可 地址 的主和力 同 控制者， 地址即 同 控制者地址。

需要說明的是， 在 平台 0 了 同 控制者信息 ， 平台 0 即可將 同 控制者的地址以及 者的地址存儲在本地， 且 同 已 同 。

者地址列表中的地址 于已 同 ， 則由于 平台 0 本地已 休 了 已 同 的相 信息，則可以直接 到 同 的控制者信息。

平台 0 了 同 控制者信息 ， 即可將 同 控制者信息 送至安全 各 01，以 于安全 各 01

同 控制者信息 ， 例 反制等。

本 中， 平台 0 可以 安全 各 01 的 者 信息 各 者 監控， 監控的結果 同 控制 者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本 的

同 的

其次， 本 中， 平台 0 在 同 控制者信息 ， 利 用了 同 的特性， 各 者通信最頻繁的地址作力 同 控 制者的地址， 因此 有效地提高 測的

再次， 本 中， 平台 0 在 了 同 控制者信息 ， 可以將 同 控制者信息 送至安全 各 01，因此 使得安全 各 01 可以 溯源， 同 控制者信息 ， 而 步休 了同 安全性。

下面介紹本 中的 平台 ， ， 本

中的 平台 介

接收羊 01， 于接收安全 各 的 者信息， 者信息 安全 各 到 生成， 者信息中至少 者地 址列表 羊 0 ,

同

監控羊 0 ， 于 者地址列表中的地址不 于已 的 同 ， 者地址列表 的各 者 監控

羊 0 ， 于根 監控羊 0 的 監控結果 同 控制者信息。

本 中， 監控羊 0 可以 安全 各 的 者信息 各 者 監控， 羊 0 監控的結果 同 控制者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本

的 同 的 。

于理解， 下面 本 中的 平台 介紹， ， 本 中的 平台另

接收羊 01， 于接收安全 各 的 者信息， 者信息 安全 各 到 生成， 者信息中至少 者地 址列表

羊 0 ， 于 者地址列表中的地址是否 于已 的 同

監控羊 0 ， 于 者地址列表中的地址不 于已 的 同 ， 者地址列表 的各 者 監控

羊 0 ， 于根 監控羊 0 的 監控結果 同 控制者信息。

本 中 羊 0 同 控制者信息的 前 所示的 中 平台 同 控制者信息的 似， 此 不再 。

本 中的 平台近可以 步

羊 0 ， 于存儲 同 控制者的地址以及 者的地址， 本 中的 平台近可以 步

羊 0 ， 于 者地址列表中的地址 于已 的 同 ， 本地存儲的信息 同 控制者信息。 本 中的 平台近可以 步

羊 0 ， 于將 同 控制者信息 送至安全 各。 需要說明的是， 本 中的 羊 0 近可以 步

生成子羊 6041， 于按照 監控的結果生成三元組信息， 元組信息 者地址， 者地址 的 地址， 以及通 子羊 6042， 于 者地址 的 地址中 出現 最 的可疑地址

子羊 0 ， 于 可疑地址在所有的 者地址 的 地址中所占的比例是否大于 ， 若是， 則 可 疑地址 同 控制者的地址。

本 中，生成子羊 0 1生成三元組信息的 ， 子羊 0 可疑地址的 ， 以及 子羊 0 的 前

的 似， 此 不再 。

本 中， 監控羊 0 可以 安全 各 的 者信息 各 者 監控， 羊 0 監控的結果 同 控制者信息， 本 的 可以 在 的 者 的 監控， 而 到 同 的相 信息， 因此本

的 同 的 。

本 中的 同 統的另 介

至少 安全 各， 于 ， 生成 者信息， 者信息中至少 者地址列表

平台， 于接收安全 各 的 者信息， 若 者 地址列表中的地址不 于已 的 同 ， 則 者地址列表 的各 者 監控， 監控的結果 同 控制者信息。 休的， 第 安全 各在生成 者信息 ， 即可將 者 信息 送至 平台

占栓 平台接收到安全 各 的 者信息 ， 即可 其中 的 者地址列表 列表中的地址是否 于已 同 。

者地址列表中的地址不 于已 同 ， 則說明第 安全 各 到的 未自 介未 的 同 ， 則 平台 者 監控， 得到監控結果 ， 即可 監控結果 在 長 內 者 介地址 同的通信比較頻繁， 若 到各 者都 同 介地址通信頻繁， 且頻繁程度 了 的 ， 即可 地址 的 主和力 同 控制者， 地址 同 控制者的地址。

平台 出 介新的 同 ， 即 將 同 的相 信息， 例 控制者地址， 受 者地址等， 存儲在本地。

第二安全 各 到 ， 將生成的 者信息 送至 平台， 平台即可直接利用本地存儲的 同 的相 信息 第二安全 各 到的 是否 于已 同 。 第二 全 各 到的 前第 安全 各 到的 相同 ， 平台則不必再 者 監控就可以 同 控 制者信息。

同 的， 若第二安全 各 到的 未自 介未 的 同 ， 則 平台 者 監控， 將監控結果作力已 的 同 信息休存在本地。 第 安全 各 到 ， 平台即可直接利用本地存儲的 同 的相 信息 第二安全 各 到的 是否 于已 同 。 第 安全 各 到 的 前第二安全 各 到的 相同， 平台則 不必再 者 監控就可以 同 控制者信息。

因此， 本 例可以利用 至少 安全 各中的其中 介安全 各 到的 去得到監控結果， 增 存儲在 平台本 地的 同 的相 信息， 作力已 的 同 信息， 若其他安全 各 到的 前的安全 各 到的 相同 ， 平台則不必再 者 監控就可以 同 控制者信息。 由此本 明通 介 平台 了 安全 各 同的信息共享， 了同 資源。

下面介紹本 中的 同 統的再 介

本 和前 同 統的另 介 基本相同， 不同 在于本 同 統 至少 平台， 其中 平台 至少 安全 各。

至少 安全 各， 于 ， 生成 者信息， 者信息中至少 者地址列表

平台， 于接收安全 各 的 者信息， 若 者 地址列表中的地址不 于已 的 同 ， 則 者地址列表 的各 者 監控， 監控的結果 同 控制者信息。 本 相 于前 同 統的另 介 未說， 可 以在 平台 同 共享， 步 了同 資源。 是可以 程序未指令相 的硬件完成， 的程序可以存儲于

可 存儲 上 提到的存儲 可以是只 存儲器， 或 等。

以上 本 所提供的 『同 測方法及 統以及相 各 了 介紹， 于本領域的 般技木 ， 依 本 的思想， 在 休 方式及 固上 有 ， 上 ， 本說明 內容 不 理解力 本 的 。