作为当今互联网面临的严重威胁之一,僵尸网络(Botnet)经过十几年的发展,已经从早期的集中型,例如IRC和HTTP型僵尸网络,逐渐发展为当前更为健壮、复杂的分布型,即P2P僵尸网络。相比于前者,后者在拓扑结构、隐匿技术、抗毁功能等方面都发生了很大改变,隐蔽性和健壮性大大提高,给当今互联网带来了巨大危害。目前针对P2P僵尸网络的研究主要集中在检测、测量、性能分析、反制等方面,逐渐趋于成熟,而P2P僵尸网络追踪技术研究相对较少,仍亟待完善。为了进一步有效地抵御和摧毁P2P僵尸网络,针对P2P僵尸网络追踪技术开展深入研究已经成为当务之急。通过深入分析当前P2P僵尸网络的结构特点等,本文提出了“三步走”的P2P僵尸网络追踪策略,即第一步发现P2P僵尸节点及其拓扑结构,第二步识别P2P僵尸网络中的关键节点,第三步识别P2P僵尸网络中关键节点内部的网络活动,发现关键节点和上层控制服务器之间的通信,从而追踪上层控制服务器。通过相关实验及分析,充分证明了在三个步骤中所提方法的合理性和有效性。最后在此基础上,本文设计了一种追踪P2P僵尸网络的原型系统。具体内容描述如下:第一步,P2P僵尸节点及拓扑结构发现研究。本文以一种当前活跃的P2P僵尸网络Zeus为研究对象,在对其协议和架构进行深入分析的基础上,首先设计了基于宽度优先爬取策略的爬虫,爬取到了约100000个僵尸节点以及较为完整的网络拓扑信息。通过获取僵尸节点对应的经纬度信息,对Zeus节点的地理分布进行统计和展示。为了进一步降低时间开销,本文提出了一种改进的爬行算法,实验结果表明改进的爬行算法在保证较高爬行效率的前提下,可以大幅降低爬行所需时间。第二步,P2P僵尸网络中关键节点识别研究。针对当前P2P僵尸网络中普遍存在关键节点但是难以被发现的现状,在第一步网络拓扑发现的基础上,本文分别从网络拓扑和流量分析两个角度,对P2P僵尸网络中的潜在关键节点识别进行了研究。(1)从网络拓扑角度,在分析了当前多种网络节点重要性度量方法的基础上,本文提出了一种基于多重属性的P2P僵尸网络关键节点识别技术,实验结果表明了方法的可行性和有效性。(2)从流量分析的角度,为进一步提高关键节点识别的准确度,通过分析关键节点的流量特性,本文提取了关键节点和普通节点的流量差异性特征(空间特征、报文特征等),在此基础上,进一步提出了一种基于流量统计的关键节点识别技术,实验结果表明了其有效性。第三步,P2P僵尸网络中关键节点的网络活动识别研究。在第二步识别P2P僵尸网络关键节点的基础上,为了进一步追踪出上层控制服务器,需要对所发现关键节点的网络活动进行识别。针对当前P2P僵尸网络流量多采用强加密的现状,为了识别出在流量加密下的P2P僵尸网络内部活动,通过提取网络活动流的时间序列特性和统计特性来作为活动识别的特征,本文提出了一种基于隐马尔可夫(HMM)的P2P僵尸网络活动识别技术。实验结果表明,该方法可以有效地识别不同的网络活动,误报率小于2.2%,平均识别准确度达到98.55%。综上所述,为了进一步有效地抵御当前的P2P僵尸网络,通过分析其主要特点,本文分三个步骤对P2P僵尸网络的追踪开展了深入研究,并通过相关实验验证了研究的可行性。同时本文的研究为进一步的打击和追踪奠定了基础,具有较强的社会意义和应用价值。