僵尸网络的防御与控制.pdf

下载

下载

2积分

3积分

下载

3积分

VIP价：2积分

Mirrocompulrr Applira lious "01. 27, , 2011 研究与设计 微型电脑应用 2011 每第"巷第 11 期 文章编号 1田7-7S7X(20 1l)1I咽t6咀 网络的防御与控制 孙卫喜，苟红玲 摘要 由尸网络对网络安全运行及用户数据安全都娃极具威胁的阻恕，它也因此成为一个国际上十分关注的问题.明确值 尸网络的倾念，把握面尸网络的产生 内部工作机理、监艇、 类型及危隐性，就他主动、 有效地做好对侄尸网络的防御与控 制，强化网络运行及网户数据的安全性. 关键词 Bome! ; BO!; 防御 ， 控制 中图分类号 而3 11 文献标志码 A 0 引言 E联网络以惊人的速度改变着人们的工作效率和生活 方式.从商业机构到部越来越多地通过E联网或其他电子媒 介处理银行事务发送电子邮件购物炒股和办公. 这无 疑给社会企业乃至个人带来了前所未奋的便利所有这一 切正是得益于E联网的开放性和匿名性的特征. 然而，正是 这些特性也决定了单纯E联网不可逃兔的存在信息安全盹 .'Y. • 僵尸网络是直联网上圭何客集中控制的-1羊计算机攻 击者可以控制大量僵户主机实现分布式拒绝服务攻击、 1发送 3豆级邮件监昕网络流量记录键盘扩散新的恶意软件 点击欺诈操控在线役票和i!l戏 从圭拉主机上随意窃取 沂 保存的信息如银行账户的密码、社会保险号码等. 僵尸网 络是在传统葱意代码如网络蜡虫计算机病毒 特洛伊木马 利后门工具的基础上进化而来的并通过相E融合盎展而成 的目前报为坦杂的攻击方式之一. 由于僵尸网络为攻击者提 供了E为隐匠、 灵活且商效的一对多控能机制，越来越置到 攻击者的E视. 随着rn客技术且工具不断公开越来越多的 僵户程序在间上出现. 阻藏的僵尸主~l随时可能被黑客利用 发动各种各样的网络攻击. 僵尸网络的威胁己成为一个国际 上十分关注的问题. 1 1-户网络 僵尸网络的概念 Bol是机错人英文简写 可以自动地执行预先设定的程 序 可以被预定义的指令镰纵 Bol程序是一个被攻击者改 造过的网络客户端程序 它会主动连接到服务器读取位制指 令 彼照指令执行相应的代码. Bolnel(恒尸网络)是 Robo也etwork"的组合是由Bm组成 的可通信，可被攻击者控制的网络. 僵尸网绍并不是指物理 意且上共奋拓扑架构的网络 它具有一定的分布性， 随着 Bo 程序的不断传播而不断有新位置的恒尸讨 算机添加到这 个同绍中来. 面尸网络是罪用了一定的jJ;意传揭孚段形成 的如漏洞攻击邮件病毒且其他病毒与偏虫的传播 从这 个意且讲葱意程序Bol也是一种病毒或娟.1!. . Bolnel t).主要 的特点是可以一对多地执行相同的署意行为， 比如可以同时 对某目标网'在进行DIJo>攻击同时发送大量的垃极邮件等 正是这种一对多的控制关系使得攻击者能够以极低的代价 高效地控制大量的资源为其服务， 这也是BOTne t攻击模式近 年来壁到m客青睐的根本原因. 在执行jJ;意行为的时候， Bot:net充当了一个攻击平台的角色 这也就使刽Bolne叮之同 于简单的病毒和蜡虫 也与通常意旦的木马布所不同. 僵户网络的产生、 内部工作机理、发展、类型且兔础性 1 . 2. 1 僵尸网络的产生 僵尸网络源于为了管理E联网巾继聊天(IRC)网络而开 发的高益无咨的工具. IRc l't-J 目的是为世界各地的互联网用 户提供一个基于文本进行非E式忖论的相互通信的通遮.通 ilI囱能够屏敲或剔除不守规矩用户的通ilIl续控者管理.为了 扩展IRC的功能， 一些温遁锦控者使用自动脚本来执行诸如 日忘记录通道统计、 运行游戏文件传输和协调等功能. 随 着IRC社区流行匪的精长以且服务IS数量的增加 用户之间 冲突的次数也随之增加，从而导致了对流行通道控制钗的争 夺战. IRC是结构比的p 当所布指定的通道锦控者与一个通 ilI断开后 ， 另外一个通道的成员 自动成为新操控者的角色. 为丁尽量控制一个通道， 些思意用户创建fæ执行对IRS服 务器进行拒绝服务归耐用1分布式拒绝服务(DDoS)攻击的 脚本. 通过脑准特定的通道操，空者的服务嚣， 这些脚本可以 地使i!iill锦控者离线从而使攻击者或其他人能够获得保控 者的地位. 1 . 僵尸网络的工作机理 BOTnet l't-J工作凯恩包据传播 加入和控制三个阶段. Bot:net需要具有一定规模骸控的计算机， 规模的形成主要果 用如下几种手段. 作者简介孙卫离 0965- ) 势恢西澄城人 渭附师范学院计算机科学系实险中心主任研究方向 网络安金实验室建设与管理渭商 mα泪。 苟红玲(t965←讥女陕西漫城人 渭附师范学院数学与信息科孝系工程师研究方向实验教学实验室姐设与普理渭南 7μUDl • 16 • Mkro刊mlml{，1" Állplica lioDS 飞。 l27 ， , 2011 研究与设计 锹型电脑应用 2011 年第 27 卷第 11 期 ①主动攻击漏洞， 其原理是通过攻击系统中所存在的 漏洞获得访问权 将攻击的军统感染成为僵尸主机. ②邮件病毒. ""，侄序还会通过发送大量的邮件病毒传 揭自身 从而使衔接收看主机被感处成为僵尸主机. @ 即时通信软件利用即时通信软件向好直歹l表发送 执行僵尸程序的链候 并通过社会工程学校巧诱骗其点击 从而进行感染. ④恶意网站脚本， 攻击者在提供WEB服务的网站巾在 町IML页面上绑定惠意的脚本当访问者访问这些网站时就 会执行思意脚本，使得""c程序下我1日l主权上， 并被自动执 行. @ 特洛伊木马伪装成用的软件在同姑、服务器、 FfP、 P2P网络巾提供诱骗用户下级并执行. 加入阶段 每一个被感朱主机都会随着自藏在自身上 的B。此程序的发作而加入到IjBolnel巾去，加入的方式根据控 制方式和通信协议的不同而有所不同. 控制阶段攻击者通过巾心服务器发送预告定且好的控 制指令让被感处主机执行惠意行为如盎起DDOS攻击、 白取主机敏感信息、更新升级恶意程序等. 僵尸网络的发展 1四9年出现了第一个利用 IRC服务器进行远程技制的 偏虫p，.町 Park. 该偏虫地称僵尸网络技术的奠基者 . 2曲0 年GTbol出现，包含了端口扫描、 坦洪攻击和直制自身的功 能. 2002年50 bollÆAgobol lY-J出现标志着技术发展的一个重 要里程碑. 2003年的Spybol的意图非常明显就是罚取敏感 信息以族取利益. 2007年的Zu山e使用丁HTfP而不是IRC作 为传播孚段 p 与Zlmker同时出现的还有俄罗斯的Gozi新变 种. 2009年僵户网络的攻击果用管理程序技术. 簸新的几种 僵尸网络的技术如:控件的利用音频格式文件的利用、格 式文件的利用 网站的感染等. 僵尸网络的主流发展趋势是命令与控制机制从基于 IRC协议逐渐转移到基于lITTP协议和P2P协议. 在网络传播 方面借鉴并融合了备类传统惠意代码的传播方式包指报新 的通过即时通信软件和P2P文件共享软件进行传播. 通过增 强认证和信追加密机制，对面尸程序进行多态化和变形混 附引入Rootkit盹藏机制使得对僵户网络的检测、跟踪和分 析更加困难. .4 僵尸网络的类型 僵尸网络根据其规缺的大小、被检测和破坏的难易程度 以且指令的控制方式大体可以分为三种结问. 1) 中心化的僵尸网络. 这种架构的僵尸网络依赖于一 个巾心服务器， 攻击者和僵尸主权l通过该巾心服务器进行通 信 配置简单 但容易被检测和关闭如IRC僵尸网络. 2) 分布式的僵尸网络. P2P 僵尸网络就是将凹P 协议 嵌入到特定僵尸程序中并使用该协议来构建筑命令与控制 信1茸的僵户网络 . P2P 网络中的每个节点既可以是客户端 也可以是服务嚣 从而不在在关闭某个节点就可以失闭整个 僵尸网络的风险. 3) 泊合型的僵尸网络. 是在综合了前面两种僵尸网络 纺构优点改进的新型1Jl!f"网络 这种结构的P2P僵尸网络旺 避免了单点失效卫简化了1Jl!f"网络的通信机制. 目前的P2P倔尸网络大多果闸的是分布式且混合型的 僵尸网络纺构，其中混合型的僵尸网络囱于可在空性强E呈攻 击者的膏睐. . 5 僵户网络的危险性 僵户网络是攻击者手中的一个攻击平台.利用这个攻击 平台政击者可以实施备种备样的破坏有为， 这些破坏行为 比传统的实施方法危害更大 更难防范. 在很多方面僵尸 网络是计算机犯罪行动的报位基地. 僵尸机器人被设计为在 后台运行，没离任何可且的迹象表明他们的存在. 用户通常 并不知道自己的计算机被用 于惑意用注.领衔僵尸机器人性 质的不同攻击者可能已经同圭害者一样可以完全但制计算 机甚至布亚多的控制极限. 酒过保持低姿态，僵尸机器人奋 时能够保持数年的活动和可银作性.通过僵尸网络实施攻击 行为简化了攻击步费提高了攻击效率 而且更易于自藏身 份. 僵尸网销的控制者可以从攻击中获得经济利益， 这是僵 户网络日益提展的1Ill>原动力. 2 1-户网络的跟踪检测且防御 2. 1 僵尸网络的跟踪 僵尸网络跟踪为防御者提供了一套可行的方案， 其基本 思想是通过备种途桂获取因特网上实际仔在的僵尸网络命 令与控制ta边的相关信息然后模拟成量控的僵尸程序加入 僵户网络中 从而对1Jl!f"网络的内部活动遮行观察和跟踪­ Jil早开展僵尸同绍顾踪研究工作的团队是德国的蜜网项目 组 B电 cher.和Holz等人通过部署包含有W皿dows蜜罐主机的 第二代蜜网捕获了因特网上实际传播的大量由户程序然后 使用 5no11 inline分析出僵尸程序所连族的IRC命令与控制信 道信息，包l!IRC服务器的域名IP和瑞口号 连接IRC服务 嚣的密码倔尸程序用户标识刷昵称的结构、 加入的频边名 和可远的频道密码然后使用IRC客户端追踪工具企uu，槌衔 控制信息加入到l僵尸网络进行跟踪. 在4个月的时间内，他 们对越过1∞个恒尸网络进行了持续的跟踪观察， 并向安全 业界第一次系统地展iJ\ 7 '网络的内部工作机制. • 17 • Johns H叩kins大学的Rajab等人进一步提出了一个多角度同 时跟踪大量实际面户网络的方法，包括旨在捕获僵尸程序的 分布式惑意代同果集体系， 对僵尸网络行为获取内部观察的 IRCfR踪工具E评估僵尸网络金日传播足迹的DNS理冲擦 测技术. 在3 兮月的时间内他们跟踪了 1 92个IRC僵尸网络， 并通过对自残角E获取数据的关联分析展示了僵尸网络的 一些行为和纺构特性. Rajab等人很错所使用的网络信息不 同， 对僵尸网络的规院估计方法分为通过内部视国信息计数 Mirrocompulrr Appliralious "01. 27, , 2011 研究与设计 微型电脑应用 2011 每第 "巷第 11 期 和通过外部(oi;'总估计两大类.通过内部视图信息对僵尸程序 计数 包含布内部渗透和控制服务器DN5劫持两种技术平 段通过外部信息只能粗略地估计倔尸网销的全局足迹，可 使用的手段有DN5理冲探测和DNS黑名单探测等. 在我回 只有极少数单位在僵尸网络跟棕方面开展研究 工作. 国内的工作主要集中在北京大学计算机研究所和国家 计算机网络应急技术处理协调中心. 2004年底，这两家单位 通过跟踪手段破获了回内第一起大规模的僵户案件. 僵尸网络的检测 在利用跟踪方法了解面户网络内部工作机制的基础上 研究者们还探索了网络中识别僵尸网络安全威胁的检测方 法. Binkl~y等人提出了一个基于TCP扫描权童的启监式异常 检测算法以险测IRC僵尸网络担制通信 . Stray町等人也提出 了通过检查带宽使用、 持续时间和数很包时序等网络流量来 识别僵尸网络命令与位制通信的方法. Go~bd等人提出了一 种简单而卫高效的IRC僵户网络检测方法Rishi方法通过开 濒临F叩工具获取网络流量中包括自(.JIRC协议连接信息. AT&T实验室的Karasarid峰等人也提出了-种在ISP骨干同 层面上捡测和刻画僵尸网络行为的方法. Gu等人果用ID5驱 动的会话关联方法实现了能够险测僵尸程序感殊的80' HW11~系统，该军统的优点在于首次提出了一个关联和刻画 僵户程序整个感染过程的实时分析系统并通过提际测试35 个局近的僵户程序验证了其效性 . 目前IRC协议仍是僵户网络的主流控制协议几乎所有 的相关研究工作都是关注IRC僵尸网络但制借边的检测和 刻画而基于HπP和P2P协议的僵尸网络由于具布较强的个 性化差异 目前无法给出通用化的险测方法. 僵尸网络的防御 攻击者利用薄弱或者 是不存在的安全策略、利用安金漏 洞、利用社会工程策略诱使人们安装惑意软件.大多数攻击 者在很大程E上郁依靠社会工程来误导呈咨者无意中为攻 击者键供了信息和访问权限.尽管媒体对社会工程攻击如钓 鱼的关注已经增加了公众对这种类型的威胁的意识但攻击 者还是能够通过一些不同的技术孚段成功地利用用户以获 取E多信息.不管是初期的各种的客户瑞，还是现在的运用 各种挂木马等方式进行工作的新型的僵尸网络，要想做到对 于它们的全面彻底的防御，就必须清楚僵尸网络的形成机 理， 再综合网络和主机的各种防妒孚段实现备个层次的防 御 旦时了解僵尸网络动态钊对性的防范面户程序 网络旦面 不管是老式的程序还是簸新的恒尸同销的通信，都必须 通过各个端口来实现如使用端口 6667 和其他数国较大的 端口 . 大于 1 024 号的所有端口应该设置为续止程序进入! 除非有特殊的应用程序要用到某个特定的瑞口，即使这样也 用只在某些时间打开等控制政策. 主机旦面 主机层面上望了解安全知识增强安全意识明确防火培 用来阻断饱和武攻击和非法的链候，杀毒软件用来消灭后 门 、 木马等病毒程序， 理性JlI择真正道合自己的网绍配套防 护方案.养成良好的安金习惯， 定期安装软件补丁以使攻击 者不能利用己知的问题剩1漏洞.&时对革统进行更新， 使用 正版软件.尽量不要点齿'也子邮件、即时消息和社主网拈中 的怪核，不要随意钱收网络上的文件， 不要随意打开共享功 能. 2 . 集巾式僵尸网绍 对于集中式恒尸网络而言 ， 在发现其控制点的基础上， 继直接的反制方法是通过CERT部门协调处理关闭控制点， 并且还要酒过联军域名服务提供商移除僵尸程序所使用的 动态域名，达到彻底防除僵尸网络控制服务嚣. 此外在获 取域名服务提供商的许可条件下， 防御者还可以使用DN5 劫持技术来获取被僵尸网绍感族的恒尸主机的E列袭，从而 且时通知被感处主机用户进行僵尸程序的移除. 2 . 3 .4 不怕僵户网络的新操作革统 伊利诺斯大学的计算机安全和密码学专家正在设计一 种新的E安全的操作系统. 10n Solw0l1h 和 Danid B~lllsl~ in 教捏正在开发的 Ethos操作系统他们称这个系统将成为新 一代能抵抗揭洞、病毒以且备类恶意软件的操作系统的蓝 圈.他们希且能通过 Ethos 操作系统解决通过应用程序攻击 操作系统的传统问题. 3 结束语 作为一种从传统恶意代码形态进化而来的组杂攻击方 式1JlIf'网络提供了盹匠性、灵活性且具布一对多的命令 与控制机制.未来一段时间内制定出具布一定自动化程序的 僵尸网绍检测跟院和防御策略机制泡在剧院，尤其是在基 于EπP协议和巴P协议的lJlI尸网络实行有效检测和m踪方 面是一个重要的研究课题 . • 18 • 春考立献z 川 刑健侄尸网络网络程序杀手[M].北百科学出版 社，2009 [2) 张琛，王Eiq鲁士柱 P2P 侄尸网络的检测技术 问计算机 应用 2010 [3[ 诸葛淫伟岸各心目，时志远，邹维世尸网络的盘现与拟棕 [1].计算机工程，却 07 [4[ 孙彦东，李东西尸网络纺边 [1] .科学技术与工程， 2007 [5] [萤) Land lin,Hackw011h A. Bo归~ts as a 叫licl~ for on lin~ Crilll~ [ S~c\U"iTy皿 08 [6] 事自梅侄尸网络的研究与监现讨算机安全 2008 [7] 邹士，店心玉蜜能与密网技术的研:!fi且与分析网络通高 讯及安全 2008 (收稿日第J : 2011 但 08) Micr倪。mpuler Applicaliolls \'01. 27. No. 11 . 2011 ARST RAC rS & KEY WOROS ISSNIOO7-757X , Microcomputer Applications Monthly (Si nce 1985) CONTENTS ,.u:‘'.;t': ARCH ANO OES IGN 微型电#&-'1 2011 年第 27 卷第 11 期 Z hu Zhongying Ed ilor-in-Chief , No. 1O (Gcnera1 ) November 20 11 Applic81 ion and Research on Inlrusion Oel<<lion Syslem Based on C loud Modc1.......... … .......................(1) 灿灿u呻 Zhou Zhigw.也 1饨'咱 Deglla咱陆庐山rc Tcchnology Ins 川c ofDl巾11 Jiaolollg UIIÎI'ersil)'. Dalian 1/6028, Cllù叫 At剖同创 ， lntru量 ;on dt't~阳n is 11 computcr nctw。他 sySlem 由81 eollcelS infonna !Ïon 00 SC、町盲 I ~cy po ll1 t!>. am.! it gcts Ihc部川fonnalωn frolll 由U 执:cunly audl t. moniωnnι auack fl，.oç咽 nit ion and 附画阳n~c as阿cts. dl~k if lh crc 诅 rc !>U IIIC Ihc bchavior 11叫 "阴S lIJ!,ainSl thc nc 呐。'" ，民 uril y 阳H叩 Th， clnssi !icution ofdata IIC 'IUIS llIon 1$ 11 key p旧n of I l\1 ru~ion dClcctiOl凡 1内 II~ IIrt ich: uscs Ihc dam cluud nlOdcl to cJassi fy \hc in\'1I5ion, c!TCC\i\l!ly mamtain;ni! a conlinuous datll on 巾c '1unhtllli\c ambi~uity of Iltc conccpt and c、 alualiun phasc of thc m、 asion IIgllmst thc usc of th... c阳 nlinall伤1 lC\cJ !i ltcri吨 ~∞ mmcndation al!!Of'lIhm grtally impro\cs lhc 川阳sion dClcctioo!>~血 m m thc facc of massi、 c data proccssmg clTklcncy 5USplCl0US in truSIO盹 Kty 辆。时， : I nl阳 !XIO:Cllun; Cloud "Iodo:l; Collabor圳的 e Fi llc rm~ Arl1 hmCl比 St ud y on Loadill j.: II IIIJ 1'rallsporratioll of M ililary Malerials 8ased o n Twice T:巾u Seareh Algo rithm...................".............(间 。 hυIIg 1. Qi lílhl/{t', Xie Xill呐IIg' (I .No\'01 Aerrmllllrical mul (l1 Uml'erlrl)', Yll l1l11Î 164 剧 . 011阳 2Naro 时 阳山划ry ufDefcli'(, Tec阳ο. Clllmgs}m 410073. Chil叫 ，、 hS lraN: Aim at thc q~ωIlon 01' loading and U'llßsportal10n of mi li旭叮 Malcnnls. th自阳pcr builds mnth t:mmical modcl. gcts Ihe g耐j fealible sol ul阁 001 Imnspon p时kms Dutomal1cly In!St.-d on 1\\口时U search nlgorith肌 Exsmple calculalions sh帆 Ihal tho: modcl can bc d l'l1\\ n Ib酬。由e lWlce tabu scarch algol11hm under t l1f1e con~trnmts 10 阳:ct the 阳t of Ihc sh'PPlll8 . using thc m叫d can e!Te<:ti\'cly 1m阳、c Iho: uli lizalioo of \C hic1es. 1。仙。 d Ihc 叫到e oflrans阳tlat lOnω阳cit) Kt~. \\ords: packing; Trnn_port: Tabu Search Algonthm Anal~' si s and Rese:1础。n l'erformanceof1EEE802. 11b Rascd on NS2 . ........................... . .............. ..... ...... .... ..............(9) 末ï Uya. P(!I引g Zho叫品 'XI/'III酬，旷 Cω"1'" 1('1' (1/1(1 Eleclr(Jllic. 1-/110:1101您 U"i\ 'er5 ity uf 只i:dlllulugy WllclulIIg 81而IIcli 川IlIall 430064. Chill /l ) ,\hstncl:Us lIIg NS2 :lIld . Ihis pap;汀 an~l)'SI.'s Ihc rx-rfo町nancc of nuinstrcam 剖'"ωrd lEl: b in \VLAN. !>uch 山 四、t:. ro浏阳". ，"p 酬(Ind th酬。put. d时! 即回如mancc chamclcriSllcs. and 町 ωfind a l ind uf n1l:t)lO(h und Ido:as of anal} SC'~lII g pcrformancc 阳 nct\\ork prOlocol Kc~ wordJi : NS2: b:I'crfonnanct A I>C Or Ï\'cr Dεsign IhiSl'd 011 Lt\13S i\.l icroColllrollcr.... .. .. , .... .. ... . . . ". ...................................""."................"... .. .....( 11 ) GllallgxÎallg( DI咖!dâeâ Lllb. Sd,oul uf如!ft \\'aFC. Shw但Iwi Jiau TUII}{ Unh''il\'. S}I(III11"(1; 200240.口1，ll1(1) Ab~tnc t : ADC i~ 山川队m;ml pcripheral in Ih l! cn让>eddcd syslcm. Ho、^C\.C队执 IIh the mol\' C们 mphωIcd Slrucluro: and func tl(KIaltt). lt'S mo 、‘ and mol\' dlnic lt 10 dcsrgn thc AI>C dm cr. ßased on 巾0: problcms mc\ in the ωmg of LM3S MicorControlkr, FIFO m凶nagmg mcchanism's ln1Pact on thc t\OC pcrformance IS 叫 and somc des;gn pro院后als arc prc飞en \c叫 a t last K t)' \\ ords: ARM ; ADC Dn、町 FIFO: lntcrrupl100 l)esign lind 1 mplt'menlallon o ( Nelwork 1)叭 ices ConfiguratÎon 1nformalio n 8ackup Syslem....................................... , ...( 14) D(II 日/C1II(Norllleml Arr Tralfìc Mwwgeme川 811reall ι'AAC . SIIellyl/llg ';11(/) AbSlracl : This artlc1c pro阳、，cs ho\\' to (jð ign and (阳、 elop thc nl!lwork dt二vlces configuration infomlalÍon backup systcm. and fuHìll s 由 0: remotc b3ckup nfall k indsofnCl协 αrk dc\ 比例 cnnfiguralion infonnallon. and uses VBScrip\ language to n:alizc it Kl')' ....ords: Net .... or1t Con们gurntion : TFT氏 Sl'Cure CRT The 8 0lnel Oefensellnd Conlro l. .. . ... .... ................ ...... ............ . .......... . ...............................................................( 16) SI I11 lI'! Ho咱lingμ 曲阳r1l11enl of Complller Sciellce. Wèinan Tcachcrs Unil't!rsil)'. 咐，阳，，714侃'则 立耻>JHlrln酬， 0/ Malhelllmic olld "扩vrlllal;OIl Sôe，阴阳'nall Teochcr$ Un川r5 1 1)'.脚IIl111 714000,Chi,w) Ahstract : TIti.' Bolnel;5 Ihc cd l'\:mcly hiddo:n lroublc ofthc thrcat to 由c nttwork 5CCUri ty opclll\ion und Ihc user da lD 忧cu rily: it olM) bccoll1c、 a 届四.. conccrn 0川r i nlcmation ol 如，k川g it clcar of whut's 山c bomct. grasping lhc conccpt 01' Ihc bolnet proouce, the inlcnml 恼。Irk mt.'C hlllll~m 回nd dc\ o:1opmo: nt. typcs. and risk C3n do an activc and c f1ecti\'c work 10 由e botnet do:fcnse and conlN l. And 由o:n Ihis papcr caß stn:nglho:n Ihe nc队 。" opcration and 凶们 dpUl 5Ccurity, Kt). .. ord~ : Botnd ;Ðo‘Dcfcn贝 Control T" ‘Ilnd Ana lY!iis of Oynømic 8rønch PrediClor 8øsed on S impleScalar.. ................ . ..... .. ....... .. .. .. ..... .... ........... . ....... .. ( 19) Zhallg Xi盹 拙i 21/(/lIgIIO. WU Ði(Ðe{}(lrtn棚t of Elcctric PO叫?r Engil/eerìng ω，.1血1OlIIo(iOlI. ShωIghai Jiao 'J巾'"g UIIÎl'ersity. Shω酬。， 2时].,w) AbSlrllcl : The precis四、 ofhranch p附dicl阴阳 onc ofthc most imponanl parunlet~rs which innuencc Ihc pcrl'o rtl1a n叹。f proce.翻汗S. It has ~o:n OßC oflhe h创IO:SI rl!Sεa rc h areas in both acadcmic ci rc llos and industrial circles durina the past decadl'. To pro、们d... 0 refcrence for d筒 Ign of dynamic 阳lInrh predlclOr