僵尸网络检测技术研究进展
僵尸网络检测研究
僵尸网络检测研究僵尸网络检测研究概述:随着互联网的迅速发展,网络安全问题日益突出。
其中,僵尸网络成为网络安全的一大威胁。
僵尸网络是指由僵尸主机控制的大量被感染的计算机,这些计算机在不知情的情况下执行恶意操作,如发送垃圾邮件、进行DDoS攻击等。
因此,僵尸网络的检测研究具有重要意义。
1. 僵尸网络的危害:僵尸网络的存在给网络安全带来了巨大的危害。
首先,僵尸网络可以发送大量的垃圾邮件,给用户的收件箱带来骚扰。
其次,僵尸网络还可以进行DDoS攻击,将目标服务器或网站淹没在大量的流量中,导致其无法正常运行。
此外,僵尸网络还可以用于传播恶意软件和进行网络钓鱼等活动,危害用户的隐私和财产安全。
2. 僵尸网络的检测方法:为了及时发现和遏制僵尸网络的活动,研究人员提出了多种检测方法。
其中,基于网络流量的检测方法是较为常见的一种。
通过对网络流量进行分析,可以发现异常的流量模式,并识别出潜在的僵尸主机。
此外,还可以通过监测网络中的异常行为和恶意代码等方法,来检测僵尸网络的存在。
3. 基于网络流量的检测方法:基于网络流量的检测方法是目前研究较为深入的一种。
它通过对网络流量进行分析和挖掘,来发现潜在的僵尸主机。
具体来说,可以从以下几个方面进行检测:首先,通过分析流量的源IP地址和目标IP地址等信息,来判断是否存在异常的通信模式。
其次,可以通过分析流量的协议类型和端口号等信息,来判断是否存在异常的协议行为。
最后,还可以通过分析流量的传输速率和传输量等信息,来判断是否存在异常的数据传输行为。
4. 基于异常行为的检测方法:除了基于网络流量的检测方法,还可以通过监测网络中的异常行为来检测僵尸网络的存在。
具体来说,可以从以下几个方面进行检测:首先,可以通过监测大量的无效请求和连接等异常行为,来判断是否存在僵尸网络的活动。
其次,可以通过监测大量的帐号登录失败和异常登录等异常行为,来判断是否存在僵尸网络的攻击。
最后,还可以通过监测大量的网络扫描和信号干扰等异常行为,来判断是否存在僵尸网络的入侵。
移动终端僵尸网络监测技术研究
危害:网络安全、 个人隐私泄露、 经济损失等
感染方式:通过恶意软件感染移动终端,使其成为僵尸网络的一部分 控制方式:受到恶意软件的感染后,移动终端将被远程控制中心控制 传播方式:通过移动终端之间的网络通信进行传播,扩大感染范围 攻击方式:对移动终端进行恶意攻击,窃取用户信息、破坏系统等
窃取用户隐私: 移动终端僵尸网 络能够收集用户 个人信息,如位 置、通讯录等, 严重侵犯用户隐
监测方法:利用安全软件和网络流量分析 技术,对移动终端进行深度检测和识别
监测结果:成功发现并处置了多个移动终 端僵尸网络,有效保护了用户隐私和网络 安全
案例总结:该研究机构的实践案例表明, 移动终端僵尸网络监测技术在实际应用 中具有重要意义,对于保障网络安全和 用户隐私具有积极作用
监测方案:针对移动终端僵尸网络的特 点,制定了一套有效的监测方案,包括 数据采集、分析、预警和处置等环节。
威胁情报收集:通过多种渠道收集移动终端僵尸网络相关的情报信息,包括恶意软件 样本、攻击源、攻击方式等。
威胁情报分析:对收集到的情报信息进行深入分析,识别出移动终端僵尸网络的特 点、攻击方式和攻击源头,为监测提供依据。
威胁情报共享:与其他安全机构或组织共享威胁情报,提高整个行业的安全防护水平。
威胁情报预警:根据威胁情报分析结果,及时发出预警,提醒相关机构和企业采取 防范措施。
数据采集:收集移动终端上的网络流量、设备信息等数据 数据预处理:清洗、去重、格式化等操作,为后续分析提供准确数据 特征提取:从数据中提取与僵尸网络相关的特征信息
威胁情报:基于特征信息进行威胁情报的关联分析,识别潜在的僵尸网络活动
预警模块:实时监 测移动终端网络流 量,发现异常行为 及时发出警报
响应模块:根据预警 信息,采取相应措施, 如隔离被感染设备、 清除恶意软件等
僵尸网络检测和防范研究
因此 , 识 和 研 究 僵 尸 网 络 是 当 前 网 络 与 信 息 安 全 保 认 本 文 讨 论 的 基 于 I C 协 议 的 僵 尸 网 络 中 , 尸 主 机 和 R 僵 障 工 作 的 一 个 重 要 课 题 , 必 要 建 立 长 效 机 制 , 其 进 行 长 控 制 端 的会 话 与 正 常 的 I C数 据 流 相 比 , 显 著 的差 异 , 有 对 R 有 僵 期 、 效 的处置 。 有 尸 主 机 的行 为 具 有 规 律 性 和 一 定 的持 续 性 。
1 僵 尸 网 络 的 结 构 和 工 作 原 理
特 征 1控 制 端 在 频 道 内对 所 有 的 僵 尸 主 机 发 送 广 播 命
2 0 年 网络 与信 息安 全技术 研讨 会上 , Nc R 05 c E T对 僵 令 , 要求 僵尸 主 机 执 行 同 一 条命 令 , 令 长度 短 于普 通 的 命 尸网络 的定 义为 : 尸 网络 是 指 攻击 者 利用 互 联 网秘 密 建 I C数 据 包 的 平 均 长 度 。 僵 R
件 , 起 了社 会 各 界 的 广 泛 关 注 。 据 国 家 计 算 机 网 络 应 急 引 交 易 的 一 部 分 。这 样 , 鱼 攻 击 者 、 客 、 圾 邮 件 制 造 者 钓 黑 垃
技术处理 协调 中心( 简称 c E Nc RT) 样 监测 统计 , 0 8年 和 病 毒 作 者 就 能 够 利 用 僵 尸 网络 销 售 信 息 和 服 务 。 抽 20 我 国境 内 感 染 僵 尸 网 络 控 制 端 的 I 址 为 1 8 5个 , 染 2 僵尸 网络 的追 踪和 防范 P地 ,2 感
立 的 可 以控 制 的 计 算 机 群 。其 组 成 通 常 包 括 被 植 入 “ 尸 ” 僵
僵尸程序网络行为分析及检测方法研究
华中科技大学硕士学位论文僵尸程序网络行为分析及检测方法研究姓名:冉俊秀申请学位级别:硕士专业:信息安全指导教师:李汉菊20090526华中科技大学硕士学位论文摘要僵尸网络是由多个被植入僵尸程序的主机构成,它往往被用以发起大规模的网络攻击,同时被植入僵尸程序的主机,其信息也面临被泄露的威胁。
无论是网络运行安全还是用户数据安全,僵尸网络都是巨大的安全隐患!因此,有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。
目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。
基于行为特征的检测技术能够比较精确的检测僵尸程序的活动,但是处理数据的能力有限;而基于流量特征的检测技术能够处理较大规模的数据量,但是存在较大的误报。
基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点,有效地检测在较大背景流量中活动的僵尸程序。
由于目前在僵尸程序代码的设计上存在结构化的特性,同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。
分析了僵尸程序的流特征,根据实验结果,设计出了基于轻量级有效载荷协议匹配算法。
然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。
基于以上分析,设计并实现了一个原型系统,系统主要包含了三个模块:网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。
为了检测网络中的僵尸活动,首先,网络流预处理模块对网络流量进行监控分析,通过白名单技术过滤掉正常网络流量;然后,使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包;最后,通过序列假设检验分析模块识别僵尸程序的活动。
为了进行验证,在局域网环境部署了多台有僵尸程序活动的主机,然后利用原型系统对获取的网络流量进行分析处理,分析结果表明能够对局域网内的僵尸活动进行有效检测。
关键词:僵尸程序,网络行为,基于轻量级有效载荷协议匹配算法,序贯概率比检验算法华中科技大学硕士学位论文AbstractBotnets are constituted by many hosts which are infected by bots. Botnets are always used for launching large scale network attack. Meanwhile, the infected hosts encounter the thread of information revelation. Botnets are serious hidden danger for both network running security and user data security. Thus, detecting botnets effectively is urgent for nowadays network management.Currently, research of botnet detecting is mainly focus on behavioral characteristics and flow characteristics. Behavioral characteristics based detecting technology can detect bots accurately, but its data processing ability is limited. Flow characteristics based detecting technology can process large scale data, but its false alarm rate is a little high. The method discussed in this paper combine the advantages of these two methods and can effectively detect botnet activities in large background trafic.Analyzing flow characteristics of Botnet, within the same botnet will likely demonstrate patial-temporal correlation and similarity because of the structured nature of Botnet. Design a protocol matching algorithm based on light-weight payload according to the experimental results. And then determine network behavior of bots using the sequential probability ratio test algorithm.Due to above research, A prototype system is designed and implemented, which contains three main modules: network flow preprocessing module, protocol matching module based on light-weight payload, and analysis module based on sequence probability ratio test algorithm. First of all, filter out known flow which can not be botnets flow through whitelist technology; Secondly, identify suspicious botnets C&C flow in the remaining flow by using the light-weight payload technology; Finally, identify bots activities by using sequential probability ration testing algorithms.In order to test and verify the method discussed in this paper, arrange several hosts containing bot activities, then analysis and process the captured network flow by using the prototype system. The result shows that the method can detect bot activities in LAN effectively.Keywords: bots, network behavior, protocol matching algothrim based on light weightpayload, sequential probability ratio tesing algorithm独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。
僵尸网络的检测技术研究
僵尸网络对个人或整个 网络可 能பைடு நூலகம்成的严重危害主 要有 : 分布式拒
绝服务攻 击、 垃圾 邮件 、 网络仿 冒 身份窃取 、 / 键盘记 录 、 安装广告 条和浏
Re e r h o g v r m e tS se s d o e s a c n E- o e n n y t m Ba e n W b
最僵尸程序 的变种产生 。
被植入 b t o 程 序 的僵尸 主机
图 l 基于 1C协议的僵尸网络的结构 R 序或其 他远程控制程序 、 可以被攻击者远程控制 的计算 机部可以叫僵尸
主机。
僵尸网络 已经成为 目前国际网络安全领 域最严重 的威胁之一 。
僵 尸程序(o : bt 是指 被攻击者秘 密植入被控 制计算机 中 , ) 可以 自动 接收预定 义的命令和执行预定 义的功能 。 具有一定人 工智 能的程序 其 本质就是一个 网络客户端 。 它会 主动连接 到服务器读取 控制指令 , 按照 指令执 行相应的动作 。 目前由于利用 IC协 议控制僵尸程 序的方式具有 R 很 多优势 。 因此绝大多数僵 尸程 序属于此类 。采用其他协 议甚至 自定义
僵尸网络的检测技术研究
霍建滨 , 白凤娥
( 太原理工大学计 算机与软 件学 院, 山西太原 ,3 0 4 00 2 ) 摘 要 : 绍了僵尸 网络的组 织结 构度 其危 害。 介 剖析 了基于 I C协议度其 他命 令控 制 R
方式的僵尸 网络的检测方法 。 并对检 测技 术的发展进行 了展 望。 关键词 : 尸网络 ; 尸程 序;R 蜜罐 ’ 僵 僵 I C;
维普资讯
科技情报开发与经济
文章编号 : 0— o32o ) — 290 1 5 63(o7o 02—2 0 3
P2P僵尸网络技术及检测研究综述
僵尸 网络[ 1 ] ( b o me t ) 是 由大量被僵尸程序感染 的主机( h o t o r z o mb i e ) 受到 攻击者 ( b o t ma s t e r ) 所控制 而形 成 的以恶意 活动 为 目 的的覆盖 网络( o v e r l a y n e t wo r k ) 。 B o t r n a s t e r可 以通过控制服 务器 操控 b o t发起各种类 型的网络攻击 ,如分布式拒绝服务( DD o S ) 、 垃圾邮件( s p a e) r 、网络钓鱼( p h i s h i n g ) 、点击欺 诈( c l i c k f r a u d ) 以及 窃取敏感信息( i n f o r ma t i o n t h e f t ) 等等 。作为攻击者手 中最有效 的 通 用 网络攻击平 台 ,僵 尸网络 已成 为互联 网安全最 大的威胁之 按照命令与控制机制 , 僵尸 网络主要分为基于 I R C、 HT T P和 P 2 P 协议三类 。P 2 P 僵尸 网络 没有集 中控 制点 ,克 服了前两种 僵 尸网络单点失效的弱点 ,更具韧性和隐蔽性,使得检测和 防御 更加 困难。因此 ,当前 的僵尸 网络逐步 的向 P 2 P协 议转 化,攻击 者通 过 P 2 P协议实现其命令与控制 的通信 , 从而克服 了集 中型僵 尸 网 络 的 单 点 失 效 问题 ,也 增 加 了僵 尸 网络 的鲁 棒 性 和 隐蔽 性 。 2 、僵 尸 网络 的 命令 与控 制机 制 僵尸网络的命令与控制机制决定 了僵尸 网络 的拓扑结构 、 通 信效 率、 可扩展性 以及鲁棒性 , 是僵 尸网络工作机制 的核心 部分 。 目前 已知的僵尸 网络可分为两大类 : 集中式僵尸网络和分布式僵 尸网络。集 中式僵 尸网络,b o t直接和控制服 务器进 行通 信,b o t 之 间没有 通信行为. 其 中包括 了 I R C 僵尸 网络 、H T T P 僵尸 网络 以及 自定义协议僵尸网络 。 分布式僵尸 网络 ,除了 b o t和控制服 务器之 间的通 信 以外,b o t之 间也会发生通信行为 。主要有结构 化P 2 P僵 尸网络、无结构 P 2 P僵 尸网络 以及层次化僵尸网络。 基于 I RC协议和 HT T P协议 的命 令与控制 机制 均具有集中 控制 点,使得这种基 于客户端. 服务器架 构的僵尸 网络容 易被 跟 踪 、检测和 反制 ,一旦 防御 者获得僵 尸程序 ,他 们就能很容易地 发现僵 尸网络 控制 器的位置, 并使用监测和跟踪 手段 掌握 僵尸网 络 的全局信 息。通过关 闭这些集 中的僵尸 网络控制器 ,也能够较 为容 易地 消除僵 尸网络所带来的威胁 。 为了让僵 尸网络更 具有 韧 性和 隐蔽 性, 一些新 出现 的僵 尸程序 开始使用 P 2 P协议构建其命 令与控制机制 。基 于 P 2 P协议的僵 尸网络结构如图 I - 1 所示 。
僵尸网络检测技术的研究
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用 快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德
僵尸网络检测技术研究
的 、实时 的 特点 已 经成 为 当前 网络 中最 为普 遍使 用
的通信 方 式 。 由于具 有 广大 的用 户群 体 ,在僵 尸 网
络 发展 过程 中 ,I 议 业 已成为构 建 一对 多命 令 R C协
与 控 制 信 道 的 主 流 协 议 。 然 而 ,鉴 于 对 基 于 I C R
WA G Z og e , I Xn hn, U N Qu u N hn -m i YN i -cu Y A i -y
f D r } f O p  ̄ ,la Y# ag ce sSho 醯帅 喻 豫 . ad #2 20 # Ci . i } o Cl Ue g B # i uG # mahr colL ? # # n s 2 0 ,h m,
2 co lo Ifr #o E 2250 , h} S h o / n oma n er Y n h u u ie  ̄ ,Yn h u d gs j a 0g C /a:  ̄
5 T I # n# fL nuGn,L nu a# dns 2 0 6C/) h TGh/ mm o z Y e e # e n d zyn n,/gu2 2 0 .ha a g a n
tc n l i h hg er r eo t 、 lc o pe iu f rc s a d x esv d t poesn o te e hoo gy s e ih ro rp rs a k f rvo s oea t n e csie a a rc si t g f h Zo i nt r d tc in e h o g o mbe ewo k e e t t cn l y f s o o d n mi f a ue ; ls ,u y a c e tr s At a t s mmaie h t te WO meh d mut e o i d rz t a h t c os s b cmbn whc c n b te rd c te rc sig d t a d i r v te e ih a e tr e ue h p oesn a a n mpo e h
僵尸网络检测研究
的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国
僵尸网络(botnet)检测技术研究
( 2 ) 通过聚类计算 , 很容 易将这 些具有相似特征 的流量记录聚 合成为 一类 ,且这个聚类 中包含的流量记录相对其它聚类来说明显 多很 多 。 ( 3 )这个 最大的聚类中所 有的源 I P地址,就是疑似参 与攻击
的地 址 。
( 4 )由于这些疑似参与攻击的 I P分别属于不 同区域甚 至是不 同运营商的网络, 需要将分布 在网络 各处的疑似参与攻击 的 I P地址 的流量记录在一起,再次对 目的 1 P地址进行聚合计算。计算 结果可 以得 到 一 组 同 时 与 这 些 疑 似 I P有 联 系 的 I P地 址 。 这组 I P地 址 就 是 高度疑似的控制主机地址 。 ( 5 )通过分 析,某些疑似控制主机可能是一些非常受欢 迎的网 站,排除掉这些合法的 I P地 址 , 剩 下 的 就 很 可 能 是控 制主 机 的 I P 地址 了。 ( 6 )对于步骤 4 ,还可 以疑似参与攻击的 I P作为 目的 I P , 对源 I P进 行 聚 合 计 算 ,也 可 以得 到 一 组 疑 似 控 制 主 机 I P地 址 。 1 . 2 基于 D N S流量 分 析 的检 测 方 法 无 论 是 哪 种 僵 尸 网 络 活 动 ,都 伴 随 着 大 量 的 D N S通 讯 异 常 。例 如 ,对 于 基 于 I R C的 僵 尸 网 络 , 会 伴 随 大 量 陌 生 怪 异 的 D N S查 询 。 在D N S日志中,可 以发现同一个 A 记录 ,在短时 间内有大量的重复 查 询 请 求 。僵 尸 网络 为 了逃 避 追 查 ,通 常 还 会 利 用 一 种 称 为 F a s t — F l u x网络的机制 。这种机制通过快速轮换 I P的方式,逃避对 控 制主机 的追查 。在 D N S通讯特 征上 ,就表现为 : ( 1 )一个域名,对应过 多的 I P地址 。 ( 2 )域 名记录 的 T T L极短 ,通常在 3 O分钟以内,远远低 于 4 8 小 时 的 通 常 情况 ,通 过 追 查 与 异 常 D N S通 讯 相 关 的 I P地 址 , 就 可 以 初步定位 僵尸主机。总之,对 D N S流量进行分析,也是僵 尸网络检 测的一个发力点 。 1 . 3 基 于诱 骗 系 统 和 流 量 检 测 系 统 的 僵 尸 网 络检 测 方 案 前人做 的工作 中,大部分 只针对 某一类僵尸网络有效,适用范 围较窄 。以往 的采用诱骗技术僵 尸网络 检测 方案,只单独 采用了蜜 罐或蜜 网系统 ,效果不 甚理想 。原因是这类攻击 诱骗系统 是被动检
僵尸网络攻击的检测和防范研究
僵尸网络攻击的检测和防范研究第一章僵尸网络攻击概述在互联网时代,网络安全问题已经成为了各行各业都必须面对的问题,因为网络攻击随着网络化的发展而日益猖獗,其中最为常见的攻击方式是僵尸网络攻击。
僵尸网络攻击指的是利用大量被感染的计算机,自动化发起攻击,从而影响受害者的机器或者网络资源的正常使用,以达到攻击者的目的。
传统的反病毒软件需要及时升级才能发现新型病毒,而僵尸网络攻击在策略和技术上都具有灵活性和隐蔽性,因此,如何检测和防范僵尸网络攻击是一个亟待解决的问题。
第二章僵尸网络攻击的类型僵尸网络攻击主要分为以下几种类型:1.拒绝服务攻击(DoS)拒绝服务攻击旨在使受害者的网络或系统资源不可用,以达到攻击者的目的。
攻击者通过发送大量的请求,消耗网络或系统的资源,从而导致其崩溃。
该类型的攻击最常见的形式是分布式拒绝服务攻击(DDoS),攻击者会利用大量感染机器同时向一个目标发起攻击,因而更加有威力和难以抵御。
2.数据窃取攻击攻击者通过感染用户计算机,获取其敏感信息等。
数据窃取攻击可以利用用户误操作、漏洞等多种方式进行攻击。
3.恶意软件攻击攻击者通过在计算机中植入病毒、木马等恶意软件,实现获取计算机信息、窃取敏感信息等目的。
常用的攻击手段包括邮件附件、下载网站等。
4.网络钓鱼攻击网络钓鱼攻击是攻击者通过伪装成合法机构的方式,欺骗受害者的账号密码、信用卡等敏感信息,造成财产损失等危害。
第三章僵尸网络攻击的检测技术1.数据分析技术数据分析技术可以根据僵尸网络攻击活动对用户网络流量、网络行为等进行分析,以便发现僵尸网络攻击的痕迹。
该技术主要应用于实时监控和日志分析等方面。
2.特征分析技术特征分析技术可以根据已知的僵尸网络攻击特征,对用户网络行为、攻击流量等进行比对和分析。
该技术除了能够提前识别攻击外,还能够为网络管理者提供针对性防护手段。
3.机器学习技术机器学习技术主要包括监督学习、无监督学习和半监督学习等。
通过统计数据分析、聚类、分类等方法,学习识别僵尸网络攻击行为和攻击特征,提高检测的准确率和发现率。
僵尸网络的研究
僵尸网络的研究摘要网络,作为当代生活中不可缺少的一部分,与人类的日常生活联系的愈发的紧密,也越来越多的涉及到人们的私密生活中。
随之诞生的网络安全问题也成为了整个社会关注的公共问题。
垃圾邮件在网上盛行,DDOS (DDOS--Distributed Denial of service (分布式拒绝服务攻击),是指很多DOS攻击源一起攻击某台服务器)攻击成为当前网络安全上的主要问题,。
那么何为僵尸网络呢,僵尸网络又会给人们带来什么呢。
本文中将会带您了解僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.。
关键词:僵尸网络 DDOS攻击网络安全 bot程序目录第一章僵尸网络的介绍 ................................................... .5 1.1 僵尸网络的定义 ...................................................... .5 1.2 僵尸网络的危害 ...................................................... .5 1.3 僵尸网络的特点和分类 ................................................ .5 第二章僵尸网络的起源与发展过程 ......................................... .7 2.1 僵尸网络的起源 ...................................................... .7 2.2 发展过程 ............................................................ .7 第三章僵尸网络的工作原理 ............................................... .7 3.1基于IRC控制方式的原理............................................... .7 3.2 基于HTTP协议的原理 ................................................. .9 3.3基于P2P通信方式原来................................................. .9 第四章僵尸网络的检测与防御 ............................................. .9 4.1 基于IRC控制方式的僵尸网络检测 ...................................... .9 4.2 基于HTTP控制方式的僵尸网络检测 .................................... .10 4.3基于P2P控制方式的僵尸网络检测...................................... .10 4.4 应对措施 ........................................................... .10 第五章总结与展望 ...................................................... .13 5.1 僵尸网络的研究现状 ................................................. .13 5.2 发展前景与总结 .................................................... .13 致谢 ................................................................... .14 参考文献 ............................................................... .14第一章僵尸网络的介绍1.1僵尸网络定义目前,僵尸网络是近年来兴起的危害互联网的重大安全威胁之一。
僵尸网络检测方法研究——十四所201102007陈辰
如何定量度量?
内容相似性
组成相似性
结构相似性
相似性度量属性
a.公共子串比率:
——反应内容的相似性
正常昵称<0.2
僵尸昵称>0.4
相似性度量属性
b.组成距离: ——反应组成相似性
将呢称表示为四元向量: 字符串X的总长度记为LT(X) 字母长度记为LL(X) 数字长度记为LN(X) 特殊字符长度记为LS(X)
1 0.6 2 0.3 3 0.1
1 1 / i i 1 (Y ) 1 , Yi 1 0 (Y i ) (Y i 1 ) 1 , Y 0 i / 0 i
基于动态聚类算法的检测技术
僵尸呢称的RN_Dice系数大 多为1,可见僵尸昵称普遍 具备相同的结构
RN_Dice系数仅仅是衡量僵尸呢 称的充分条件,属性强度最弱 例如正常昵称为纯数字纯字母
昵称相似性算法流程
H0假定频道C是一个正常频道 H1假定频道C是一个僵尸频道
Pr [Yi 0 | H 0 0] 0 , Pr [Yi 1| H 0 0] 1 0 , Pr [Yi 0 | H 0 1] 1 , Pr [Yi 1| H 0 1] 1 1 , 其中 0 1,表示如果是正常频道, 那么昵称具备低相似性的概率较高
——每个频道的主机IP数、频道内的突发式链接主机数增 多、IRC服务器所发送的IRC消息、每个频道内的 PING/DONG命令计数
可采用TCP扫描权重的异常检测算法: 在同一IRC频道中链接大量僵尸主机,并接受C2 信息,随之进行大规模的TCP SYN扫描
w (Ss Fs Rr ) / Tsr
在Bot中都已经把这些信 息编译设置好,因此,这 些特征不会在检测的过程 中发生变化。 ——所谓静态特征的形式
僵尸网络检测和防范研究
僵尸网络检测和防范研究僵尸网络正处于发展的时期,对网络安全的威胁日益严重。
深入研究僵尸网络的结构、工作原理和传播机制,是对其进行检测和预防的前提。
对不同种类的僵尸网络,需要运用不同的技术。
最后,介绍了僵尸网络的发展趋势。
标签:僵尸网络;入侵检测;网络安全;蜜网2009年4月13日,工业和信息化部发布关于印发《木马和僵尸网络监测与处置机制》的通知,这是工业和信息化部成立以来,首次发布专门针对互联网网络安全的部门文件,引起了社会各界的广泛关注。
据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计,2008年我国境内感染僵尸网络控制端的IP 地址为1,825个,感染僵尸网络被控制端的IP地址为1,237,043个。
2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。
可见我国感染僵尸网络恶意代码的数量之大,面临的网络安全问题之严重。
因此,认识和研究僵尸网络是当前网络与信息安全保障工作的一个重要课题,有必要建立长效机制,对其进行长期、有效的处置。
1 僵尸网络的结构和工作原理2005年网络与信息安全技术研讨会上,CNCERT对僵尸网络的定义为:僵尸网络是指攻击者利用互联网秘密建立的可以控制的计算机群。
其组成通常包括被植入“僵尸”程序的计算机群,一个或多个控制服务器,控制者的控制终端等。
僵尸网络的种类很多,主要有IRC Botnet、AOL Botnet、P2P Botnet等,本文主要讨论的教主僵尸网络属于目前最常见的IRC Botnet。
IRC协议采用客户端/服务器,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。
频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。
僵尸网络的工作过程一般包括四个阶段:传播、感染、指挥与控制和攻击。
僵尸专项整治总结报告
僵尸专项整治总结报告僵尸专项整治总结报告由于互联网技术的迅猛发展,网络安全威胁也日益增加,其中僵尸网络成为一大隐患。
为了保障网络空间的安全和秩序,我单位自去年起开展了僵尸专项整治行动。
经过一年的努力,现提出以下总结报告:一、整治工作的重要意义僵尸网络是指恶意软件通过控制用户计算机,形成大规模的僵尸计算机网络,用于进行网络攻击、传播病毒等活动。
僵尸网络的发展严重影响了网络的正常运行,威胁到国家安全、企业利益和个人信息。
整治领导小组高度重视,制定了全面的整治计划,并加大了宣传力度,提高了全体员工对僵尸网络风险的认识。
二、整治工作的成果与进展1. 完善了网络安全防护系统。
通过优化防火墙、入侵检测系统等技术手段,实现了对僵尸网络的防御和拦截。
2. 强化了网络安全意识。
加强针对员工的网络安全培训,提高了员工对网络安全问题的警觉性和防范意识。
3. 加强了与相关职能部门的协作。
与公安机关、网络安全公司等进行紧密合作,共同打击僵尸网络。
4. 增加了专项整治力度。
加大了对僵尸网络源头的排查和摧毁力度,成功侦破了多起恶意控制服务器案件,对数千个僵尸节点进行了清除和封堵。
5. 建立了多边合作机制。
与其他国家和地区的相关单位建立起合作机制,共同打击跨国僵尸网络。
三、存在的问题与不足1. 技术手段有待提升。
绝大部分僵尸网络是利用漏洞进行入侵,因此我们需要加强漏洞扫描和修复工作,提高技术防护水平。
2. 惩罚力度有待加强。
由于僵尸网络的特殊性,其幕后黑手难以追踪,所以法律惩罚力度有待进一步加大,以增强威慑作用。
3. 网络安全宣传不够普及。
尽管我们已经开展了一系列网络安全宣传活动,但对普通用户的网络安全意识仍然有待提高,需要进一步加大宣传力度。
四、下一步工作重点1. 进一步完善网络安全体系。
加强对关键设备和重要信息的保护,建立起全面的网络安全体系。
2. 持续加大技术防护力度。
加强技术研发,提升防御系统的稳定性和可靠性,对未知威胁进行快速反应。
中心式结构僵尸网络的检测方法研究
中心式结构僵尸网络的检测方法研究近年来,在网络安全领域,中心式结构(centralized architecture)僵尸网络演化越来越快,给网络安全带来了严重威胁,同时也为中心式结构僵尸网络的检测提出了挑战。
因此,为了防范网络威胁,研究人员提出了识别和消灭中心式结构僵尸网络的方法,并在实际应用中取得了良好的效果。
一、中心式结构僵尸网络的基本特点中心式结构僵尸网络是一种典型的多层次组织结构,由命令控制中心(C&C)和大量受感染的僵尸主机组成。
在网络安全中,僵尸主机相当于受感染的计算机,攻击者可以通过C&C的控制,将这些主机组合成大规模的攻击工具,对目标系统进行攻击。
因此,中心式结构僵尸网络的基本特点在于其分布式机制更加复杂、隐藏性更高,为攻击者提供了更大的灵活性和可持续性。
二、中心式结构僵尸网络的检测方法在网络安全领域,中心式结构僵尸网络的检测方法主要分为三类,即基于端口、基于内容和基于行为的方式。
1、基于端口的检测方法:此类方法主要是基于端口扫描来检测中心式结构僵尸网络。
具体来说,通过检测网络上的特定端口来确定是否存在与C&C服务器进行连接的正常数据包。
如果发现网络上存在这些特定的数据包,就可以判断是否存在中心式结构的僵尸网络。
2、基于内容的检测方法:此类方法是基于网络数据包的内容来检测中心式结构僵尸网络。
具体来说,通过对数据包进行深度分析,检测数据包中的特征(如流量、协议、数据包大小等),来识别中心式结构的僵尸网络。
3、基于行为的检测方法:此类方法是基于网络上的行为特征来检测中心式结构僵尸网络。
具体来说,通过分析网络的流量、端口开放情况、访问频率等,来确定是否存在中心式结构的僵尸网络。
三、中心式结构僵尸网络的防御措施针对中心式结构僵尸网络,防御措施主要包括以下几个方面:1、加强网络安全防护:提高系统用户的安全意识,加强网络的安全性管理,尽可能降低网络受到攻击的风险。
2、尽早发现中心式结构僵尸网络:对网络中存在的中心式结构僵尸网络进行早期发现和拦截,防止其对网络进行大规模攻击。
僵尸网络_BOTNET_监控技术研究
图 1 僵尸网络的组成3僵尸网络(BOTNET)监控技术研究Study on BOTNET Detection and Controlling Techniques(1.国家计算机网络应急技术处理技术协调中心;2.清华大学) 张冰 1 杜跃进 1 段海新 2 焦绪录 1ZHANG Bing DU Yue-jin DUAN Hai-xin JIAO Xu-lu摘要: 僵尸网络(BOTNET )是互联网网络的 重大安全威胁之一 ,本 文对僵尸网络的蔓延 、通 信和攻击模式进行了介绍 ,对 僵尸网络发现、监测和控制方法进行了研究。
针对目前最主要的基于 IR C 协议僵尸网络,设计并实现一个自动识别系统,可以 有效的帮助网络安全事件处理人员对僵尸网络进行分析和处置。
关键词: 僵尸网络; IRC; 网络安全 中图分类号: TP309.5 文献标识码: AAbstract: BOTNET has become one of the major critical threats to the Internet security. In this paper, the propagation methods, communication and attacking pattern of BOTNET were introduced. The detection, monitor and control methods for BOTNET were pre- sent. Aiming at the most common IRC- based BOTNET, an automatic detection system was designed and implemented, which could help the network security emergency persons to analyze and handle BOTNET effectively. Key words: BONNET ; IRC; Network Security引 言僵尸网络是近年来兴起的危害互联网网络安全重大安全 威胁之一。
僵尸网络研究与进展
ISSN 1000-9825, CODEN RUXUEW E-mail: jos@Journal of Software, Vol.19, No.3, March 2008, pp.702−715 DOI: 10.3724/SP.J.1001.2008.00702 Tel/Fax: +86-10-62562563© 2008 by Journal of Software. All rights reserved.∗僵尸网络研究与进展诸葛建伟1, 韩心慧1, 周勇林2, 叶志远1, 邹维1+1(北京大学计算机科学技术研究所,北京 100871)2(国家计算机网络应急技术处理协调中心,北京 100029)Research and Development of BotnetsZHUGE Jian-Wei1, HAN Xin-Hui1, ZHOU Yong-Lin2, YE Zhi-Yuan1, ZOU Wei1+1(Institute of Computer Science and Technology, Peking University, Beijing 100871, China)2(National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China)+ Corresponding author: Phn: +86-10-82529688, Fax: +86-10-82529507, E-mail: zouwei@Zhuge JW, Han XH, Zhou YL, Ye ZY, Zou W. Research and development of botnets. Journal of Software,2008,19(3):702−715. /1000-9825/19/702.htmAbstract: Botnet is a novel attack strategy evolved from traditional malware forms; it provides the attackersstealthy, flexible and efficient one-to-many Command and Control mechanisms, that can be used to order an armyof zombies to achieve the goals including information theft, launching distributed denial of service, and sendingspam. Botnet has stepped into the expanding phase, and has been a serious threat to Internet security, especially inChina mainland. In this paper, the evolution process, concept, functional structure and execution mechanism ofbotnet are firstly presented, then the Command and Control mechanisms and propagation model are discussed, andfinally the latest techniques on botnet tracking, detection and prevention are summarized. The developing trends ofbotnet and research trends in this area are also addressed.Key words: network security; botnet; malware; bot; propagation model摘要: 僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络发展趋势和进一步研究方向.关键词: 网络安全;僵尸网络;恶意代码;僵尸程序;传播模型中图法分类号: TP309文献标识码: A∗ Supported by the National High-Tech Research and Development Plan of China under Grant Nos.2006AA01Z445, 2006AA01Z410 (国家863高技术研究发展计划); the National Information Security Research Plan of China under Grant No.2006A30 (国家242信息安全计划); the Electronic Development Fund of Ministry of Information Industry of China under Grant No.[2006]634 (信息产业部电子发展基金); the IBM Ph.D. Fellowship Plan (IBM全球博士生英才计划)Received 2007-06-21; Accepted 2007-09-04诸葛建伟等:僵尸网络研究与进展703僵尸网络(botnet)是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络.僵尸网络是从传统恶意代码形态包括计算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化,并通过相互融合发展而成的目前最为复杂的攻击方式之一.由于为攻击者提供了隐匿、灵活且高效的一对多控制机制,僵尸网络得到了攻击者的青睐和进一步的发展,从而已成为因特网最为严重的安全威胁之一.利用僵尸网络,攻击者可以轻易地控制成千上万台主机对因特网任意站点发起分布式拒绝服务攻击,发送大量垃圾邮件,从受控主机上窃取敏感信息或进行点击欺诈以牟取经济利益[1].近年来,僵尸网络的活跃已经引起国外安全业界的充分重视:僵尸网络已成为安全领域的学术研究和讨论热点问题,ACM协会从2003年开始举办的WORM会议(workshop on rapid malcode)和USENIX协会从2005年开始举办的SRUTI会议(workshop on steps to reducing unwanted traffic in the Internet)均以僵尸网络为重要议题,此外,USENIX协会从2007年开始举办僵尸网络专题探讨会HotBots(workshop on hot topics in understanding botnets);工业界和政府部门也同样关注僵尸网络对因特网所带来的严重安全威胁,微软公司在2004年发起了国际反僵尸网络工作组,2006年6月份美国陆军研究办公室ARO、国防高级研究计划署DARPA和国土安全部DHS等3个部门联合在GA Tech举办了僵尸网络专门研讨会,汇集学术界、政府部门和工业界的研究人员对这一新兴安全威胁进行了深入的探讨,并汇总出版了《Botnet Detection: Countering the Largest Security Threat》[2].Symantec公司2006年监测数据表明[3,4],中国大陆被僵尸网络控制的主机数占全世界总数的比例从上半年的20%增长到下半年的26%,已超过美国成为最大的僵尸网络受害国.但极不相称的是,国内对僵尸网络的关注和研究工作还较少:国家计算机网络应急技术处理协调中心在2004年底破获了国内第一起大规模的僵尸网络案件;北京大学计算机研究所在僵尸网络跟踪方面进行了长期持续的研究[5−8];哈尔滨工业大学的孙彦东等人对僵尸网络安全威胁现状和研究进展进行了简要综述[9].作为一种日趋严重的因特网安全威胁,僵尸网络已经成为安全领域研究者所共同关注的热点,但目前国内和国外还都未有详细而全面介绍僵尸网络机理和研究成果的综述论文.鉴于僵尸网络对国内因特网用户已造成严重威胁,为深入理解僵尸网络机理和发展趋势,对僵尸网络研究进展有一个总体把握,并促进国内在该方向上跟上国际研究的步伐,综述僵尸网络研究进展工作十分有意义.本文阐述了僵尸网络的定义、功能结构与工作机制,并重点分析了僵尸网络的核心——命令与控制机制的不同实现方法,然后对僵尸网络传播模型、僵尸网络跟踪、检测与防御技术各个方面的主要研究工作进行了总体介绍,并对僵尸网络研究的发展趋势进行了展望.1 僵尸网络的定义、功能结构与工作机制1.1 僵尸网络的定义僵尸网络(botnet)是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展融合而产生的一种新型攻击方式.从1999年第一个具有僵尸网络特性的恶意代码PrettyPark现身因特网,到2002年因SDbot 和Agobot源码的发布和广泛流传,僵尸网络快速成为因特网的严重安全威胁.第一线的反病毒厂商一直没有给出僵尸程序(bot)和僵尸网络的准确定义,而仍将其归入网络蠕虫或后门工具的范畴.从2003年左右开始,学术界开始关注这一新兴的安全威胁,为区分僵尸程序、僵尸网络与传统恶意代码形态,Puri在文献[10]中及McCarty 在文献[11]均定义“僵尸程序为连接攻击者所控制IRC信道的客户端程序,而僵尸网络是由这些受控僵尸程序通过IRC协议所组成的网络”.为适应之后出现的使用HTTP或P2P协议构建命令与控制信道的僵尸网络, Bacher等人[12]给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络.为了能够更加明确地区分僵尸网络和其他安全威胁,我们在文献[5]中强调了僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系.Rajab等人在文献[13]中也指出,虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播,如远程攻击软件漏洞、社会工程学方法等,但其定义特性在于对控制与命令通道的使用.704 Journal of Software软件学报 V ol.19, No.3, March 2008综合如上分析,本文定义僵尸网络是攻击者(称为botmaster)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络.僵尸网络区别于其他攻击方式的基本特性是使用一对多的命令与控制机制.另外,我们的定义也强调了僵尸网络的恶意性以及具备的网络传播特性.1.2 僵尸网络的演化过程虽然僵尸网络这种新兴安全威胁在近些年才开始被学术界所关注,但它之前已经过了10余年的演化过程,表1给出了僵尸网络演化过程时间线.Table 1Timeline of botnet evolution表1僵尸网络的演化过程name/Nick Description Date Name Author12/1993 Eggdrop Robey Pointer, Jeff Fisher, et al. First non-malicious IRC bot06/1999 PrettyPark Anonymous First malicious bot using IRC as C&C protocol2000 GT-Bot Sony, mSg and DeadKode First widely spreading IRC bot based on mIRC executables and scripts 02/2002 SDbot SD First stand-alone IRC bot code base09/2002 Slapper Anonymous First worm with P2P communications protocol10/2002 Agobot Ago Incredibly robust, flexible, and modular design09/2003 Sinit Anonymous Peer-to-Peer bot using random scanning to fund peers03/2004 Phatbot Ago Peer-to-Peer bot based on WASTEet al. Descendant of SDbot, most wildly distributed IRC bot code baseRacerX90,2004 Rbot/rxbot Nils,2004 Gaobot Anonymous Type I bot spreads through many approaches05/2004 Bobax Anonymous Bot using HTTP based command and control mechanism僵尸网络的历史渊源可追溯到1993年因特网初期在IRC聊天网络中出现的Bot工具——Eggdrop,它实现为IRC聊天网络中的智能程序,能够自动地执行如防止频道被滥用、管理权限、记录频道事件等一系列功能,从而帮助IRC网络管理员更方便地管理这些聊天网络.而之后,黑客受到良性Bot工具的启发,开始编写恶意僵尸程序对大量的受害主机进行控制,以利用这些主机资源达到恶意目的.1999年6月在因特网上出现的PrettyPark首次使用了IRC协议构建命令与控制信道,从而成为第一个恶意僵尸程序.之后,IRC僵尸程序层出不穷,如在mIRC客户端程序上通过脚本实现的GT-Bot、开源发布并广泛流传的Sdbot、具有高度模块化设计的Agobot等,这使得IRC成为构建僵尸网络命令与控制信道的主流协议.为了让僵尸网络更具隐蔽性和韧性,黑客界不断地对僵尸网络组织形式进行创新和发展,出现了基于P2P协议及HTTP协议构建命令与控制信道的僵尸程序,著名的案例包括传播后通过构建P2P网络支持DDoS攻击的Slapper[14]、使用随机扫描策略寻找邻居节点的Sinit、基于WASTE协议构建控制信道的Phatbot以及2004年5月出现的基于HTTP协议构建控制信道的Bobax等.随着僵尸网络这种高效可控的攻击平台得到广泛的认同和使用,黑客界也开始将传统的各类恶意代码技术融合到新型僵尸程序中,包括蠕虫主动传播技术、邮件病毒传播技术、Rootkit隐藏技术、多态变形及对抗分析技术等,如2004年爆发的Gaobot和Rbot,这种技术融合趋势使得僵尸网络的功能更加强大,传播渠道更加多样和隐蔽,也增加防御者对僵尸网络进行发现、跟踪和防御的难度.1.3 僵尸网络的功能结构最早出现的IRC僵尸网络由僵尸网络控制器(botnet controller)和僵尸程序两部分组成.由于IRC僵尸网络基于标准IRC协议构建其命令与控制信道,因此其控制器可构建在公用IRC聊天服务器上,但攻击者为保证对僵尸网络控制器的绝对控制权,一般会利用其完全控制的主机架设专门的僵尸网络命令与控制服务器,最为常用的控制服务器架设软件是开源的Unreal,其他的还包括ConferenceRoom,ircu, bahamut,hybrid等[8,12].Barford等人在分析了GT-Bot,Sdbot,Agobot和Spybot这4个主流IRC僵尸程序源码的基础上,提出了一个僵尸程序功能结构的分类方法[15],他们从僵尸网络体系结构(botnet architecture)、僵尸网络控制机制(botnet control mechanism)、僵尸主机控制机制(host control mechanism)、传播机制(propagation mechanisms)、破解和攻击机制(exploits and attack mechanisms)、恶意代码样本分发机制(malware delivery mechanisms)、混淆机制诸葛建伟等:僵尸网络研究与进展705(obfuscation mechanisms)和欺骗机制(deception mechanisms)这7个方面来描述和刻画每个僵尸程序所具有的功能特性.但是该分类方法并没有体现出对僵尸程序各功能模块的清晰划分,如将网络传播过程中的远程主机漏洞破解攻击以及利用受控主机发起的分布式拒绝服务攻击都归入了破解和攻击机制,而这两者显然具有不同的功能和实现.我们在文献[15−17]基础上,参考文伟平等人对网络蠕虫的功能结构分析[18],进一步通过对目前主流僵尸程序的总结,提出了如图1所示的僵尸程序功能结构.僵尸程序的功能模块可以分为主体功能模块和辅助功能模块,主体功能模块包括了实现僵尸网络定义特性的命令与控制模块和实现网络传播特性的传播模块,而包含辅助功能模块的僵尸程序则具有更强大的攻击功能和更好的生存能力.Fig.1 Functional structure of bots图1 僵尸程序的功能结构主体功能模块中的命令与控制模块作为整个僵尸程序的核心,实现与僵尸网络控制器的交互,接受攻击者的控制命令,进行解析和执行,并将执行结果反馈给僵尸网络控制器.传播模块通过各种不同的方式将僵尸程序传播到新的主机,使其加入僵尸网络接受攻击者的控制,从而扩展僵尸网络的规模.僵尸程序可以按照传播策略分为自动传播型僵尸程序和受控传播型僵尸程序两大类[13],而僵尸程序的传播方式包括通过远程攻击软件漏洞传播、扫描NetBIOS弱密码传播、扫描恶意代码留下的后门进行传播、通过发送邮件病毒传播、通过文件系统共享传播等.此外,最新的僵尸程序也已经开始结合即时通信软件和P2P文件共享软件进行传播.辅助功能模块是对僵尸程序除主体功能外其他功能的归纳,主要包括信息窃取、僵尸主机控制、下载与更新和躲避检测与对抗分析等功能模块:①信息窃取模块用于获取受控主机信息(包括系统资源情况、进程列表、开启时间、网络带宽和速度情况等),以及搜索并窃取受控主机上有价值的敏感信息(如软件注册码、电子邮件列表、帐号口令等);②僵尸主机控制模块是攻击者利用受控的大量僵尸主机完成各种不同攻击目标的模块集合,目前,主流僵尸程序中实现的僵尸主机控制模块包括DDoS攻击模块、架设服务模块、发送垃圾邮件模块以及点击欺诈模块等;③下载与更新模块为攻击者提供向受控主机注入二次感染代码以及更新僵尸程序的功能,使其能够随时在僵尸网络控制的大量主机上更新和添加僵尸程序和其他恶意代码,以实现不同攻击目的;④躲避检测与对抗分析模块,包括对僵尸程序的多态、变形、加密、通过Rootkit方式进行实体隐藏以及检查debugger的存在、识别虚拟机环境、杀死反病毒进程、阻止反病毒软件升级等功能,其目标是使得僵尸程序能够躲避受控主机的使用者和反病毒软件的检测,并对抗病毒分析师的分析,从而提高僵尸网络的生存能力.HTTP僵尸网络的功能结构与IRC僵尸网络相似,所不同的仅仅是HTTP僵尸网络控制器是以Web网站方式构建.而相应地,僵尸程序中的命令与控制模块通过HTTP协议向控制器注册并获取控制命令.由于P2P网络本身具有的对等节点特性,在P2P僵尸网络中也不存在只充当服务器角色的僵尸网络控制器,而是由P2P僵尸程序同时承担客户端和服务器的双重角色.P2P僵尸程序与传统僵尸程序的差异在于其核心模块——命令与控制模块的实现机制的不同,如Phatbot僵尸程序是在基于IRC协议构建命令与控制信道的706 Journal of Software 软件学报 V ol.19, No.3, March 2008Agobot 基础上,通过采用AOL 的开源P2P 协议WASTE 重新实现其命令与控制模块,从而可以构建更难跟踪和反制的P2P 僵尸网络.一些流行和最新出现僵尸程序的功能模块统计情况见表2,其中包括了经典的IRC 僵尸程序如Sdbot,Agobot,GT-Bot 和Rbot 等、近年来流行的HTTP 僵尸程序如Bobax,Rustock [19]和Clickbot [20]等,以及P2P 僵尸网络Phatbot 等.Table 2 Funcation modules of some popular and latest bots表2 一些流行和最新出现僵尸程序的功能模块统计情况 Bot Version Command& controlmodulePropagation modules Information theft modules Host control modules Download and update modules Evading detection and anti-analysis modules SDbot v0.5b Lightweightversionof IRCN/A ∗ sysinfo; cdkeys udp/icmp flood;deploy servers;execute command download update N/A Agobot v4.0 Derivativeof IRC DCom/ Dameware/ Radmin Bagle/Mydoom/ NetBIOS/ MS-SQL sysinfo; network bandwith & speed; host uptime; software keys;email list; generic DdoS module; PC control;autostart control;send spamftp.download http.visit http.update http.download Polymorphism encoding strategies; test for debuggers and vmware; killing AV processes and disabling AV auto-updating GT-Bot with-dcom IRC RPC-DCOM sysinfo udp/syn flood;execute command N/A N/A Rbot Rbot.A IRC NetBIOS/LSASS/ WebDav/Dcom/ MS-SQL/uPnP/ Dameware/WKS/ WINS/Beagle/ Mydoom... sysinfo; software keys; sniff passwords; deploy servers;send spam;generic DdoSmoduledowload encrypted with packers; killing AV processes and disabling AV auto-updating Bobax Bobax.A HTTP MS04- 011 LSASS Network speed execute command;send spam;update N/A Phatbot Phatbot.A WASTE DCom/DCom2 Mydoom/Beagle Dameware/ NetBIOS/ MS-SQL WebDav/CPanel WKS/UPnP sysinfo; software keys; email list; sniff passwords generic DdoS module; deploy servers;PC control;autostart control;send spam;ftp.download http.visit http.update http.download Polymorphism encoding strategies; kill other malware (MSBlast, Welchia, Sobig.F); killing AV processes and disabling AV auto-updating Rustock Rustock.B Encrypted HTTP MS06-042 exploit N/A send spam;opens a covertproxydownload rootkit; multiple levels of obfuscation; use of RC4 encrypted C&C Clickbot Clickbot.A HTTP trojan horse; distribute using existing botnets N/A click fraudexecutecommand get_update Implemented as a BHO1.4 僵尸网络的工作机制IRC 僵尸网络的工作机制如图2所示[14]:① 攻击者通过各种传播方式使得目标主机感染僵尸程序;② 僵尸程序以特定格式随机产生的用户名和昵称尝试加入指定的IRC 命令与控制服务器;③ 攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到他所控制的多台IRC 服务器上,从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况;④ 僵尸程序加入到攻击者私有的IRC 命令与控制信道中;⑤ 加入信道的大量僵尸程序监听控制指令;⑥ 攻击者登陆并加入到IRC 命令与控制信道中,通过认证后,向僵尸网络发出信息窃取、僵尸主机控制和攻击指令;⑦ 僵尸程序接受指令,并调用对应模块执行指令,从而完成攻击者的攻击目标.其他新型僵尸网络的工作机制与IRC 僵尸网络类似,主要的差异在于命令与控制机制的不同.∗ SDbot 源码作者为防止SDbot 被滥用,,但SDbot 源诸葛建伟等:僵尸网络研究与进展707Fig.2 Execute mechanisms of IRC botnets[14]图2 IRC僵尸网络的工作机制[14]2 僵尸网络的命令与控制机制僵尸网络的基本特性是使用一对多的命令与控制机制,因此,理解命令与控制机制的实现是深入了解僵尸网络机理的必要前提.当前主要使用的僵尸网络命令与控制机制包括:基于IRC协议的命令与控制机制、基于HTTP协议的命令与控制机制和基于P2P协议的命令与控制机制这3大类.2.1 基于IRC协议的命令与控制机制IRC协议是因特网早期就广泛使用的实时网络聊天协议,它使得世界各地的因特网使用者能够加入到聊天频道中进行基于文本的实时讨论,根据IRC协议规范RFC 2810[21]:“IRC协议基于客户端-服务器模型,用户运行IRC客户端软件连接到IRC服务器上,IRC服务器可通过互相连接构成庞大的IRC聊天网络,并将用户的消息通过聊天网络发送到目标用户或用户群”.IRC网络中最为普遍使用的一种通讯方式是群聊方式,即多个IRC客户端连接到IRC网络并创建一个聊天信道,每个客户端发送到IRC服务器的消息将被转发给连接这个信道的全部客户端.此外,IRC协议也支持两个客户端之间的私聊方式.由于IRC协议提供了一种简单的、低延迟的、匿名的实时通讯方式,此外,IRC协议也被黑客界普遍使用于相互间的远程交流,因此在僵尸网络发展初期,IRC协议自然成为了构建一对多命令与控制信道的主流协议.基于IRC协议,攻击者向受控僵尸程序发布命令的方法有3种:设置频道主题(TOPIC)命令,当僵尸程序登录到频道后立即接收并执行这条频道主题命令;使用频道或单个僵尸程序发送PRIVMSG消息,这种方法最为常用,即通过IRC协议的群聊和私聊方式向频道内所有僵尸程序或指定僵尸程序发布命令;通过NOTICE消息发送命令,这种方法在效果上等同于发送PRIVMSG消息,但在实际情况中并不常见.IRC僵尸网络中发送的命令可以按照僵尸程序对应实现的功能模块分为僵尸网络控制命令、扩散传播命令、信息窃取命令、主机控制命令和下载与更新命令.其中,主机控制命令还可以细分为发动DDoS攻击、架设服务、发送垃圾邮件、点击欺诈等.一条典型的扩散传播命令[8]如“.advscan asn1smb 200 5 0 -r -a -s”,其中,最先出现的点号称为命令前缀,advscan则为命令字,扩散传播命令的参数一般包括远程攻击的漏洞名、使用的线程708 Journal of Software软件学报 V ol.19, No.3, March 2008数量、攻击持续时间、是否报告结果等.2.2 基于HTTP协议的命令与控制机制HTTP协议则是近年来除IRC协议外的另一种流行的僵尸网络命令与控制协议,相比较于IRC协议,使用HTTP协议构建僵尸网络命令与控制机制的优势包括两方面:首先,由于IRC协议已经是僵尸网络主流控制协议,安全业界更加关注监测IRC通讯以检测其中隐藏的僵尸网络活动,使用HTTP协议构建控制信道则可以让僵尸网络控制流量湮没在大量的因特网Web通讯中,从而使得基于HTTP协议的僵尸网络活动更难被检测;另外,大多数组织机构在网关上部署了防火墙,在很多情况下,防火墙过滤掉了非期望端口上的网络通讯,IRC协议使用的端口通常也会被过滤,而使用HTTP协议构建控制信道一般都可以绕过防火墙.目前已知的采用HTTP协议构建命令与控制机制的僵尸程序有Bobax,Rustock[19],Clickbot[20]等.例如Bobax 僵尸程序,它首先会访问类似“http://hostname/reg?u=ABCDEF01&v=114”的一个URL,向僵尸网络控制器发送注册请求,如果连接成功,僵尸网络控制器将反馈这一请求,并在返回内容中包含当前攻击者对僵尸网络发出的控制命令,Bobax僵尸程序则从返回内容中解析出命令并进行执行,Bobax僵尸程序接受的命令包括:upd(下载并执行更新程序)、exe(执行指定的程序)、scn(使用MS04-011破解程序扫描并感染主机)、scs(停止扩散扫描)、prj(发送垃圾邮件)、spd(报告网络连接速度)等.2.3 基于P2P协议的命令与控制机制基于IRC协议和HTTP协议的命令与控制机制均具有集中控制点,这使得这种基于客户端-服务器架构的僵尸网络容易被跟踪、检测和反制,一旦防御者获得僵尸程序,他们就能很容易地发现僵尸网络控制器的位置,并使用监测和跟踪手段掌握僵尸网络的全局信息,通过关闭这些集中的僵尸网络控制器也能够较为容易地消除僵尸网络所带来的威胁.为了让僵尸网络更具有韧性和隐蔽性,一些新出现的僵尸程序开始使用P2P协议构建其命令与控制机制.Grizzard等人在文献[22]中对P2P僵尸网络的发展历程进行了综述,Slapper,Sinit,Phatbot,SpamThru, Nugache和Peacomm等出现的P2P僵尸网络实现了各种不同的P2P控制机制,并体现出了一些先进设计思想.为了消除容易被防御者用于摧毁僵尸网络的bootstrap过程,第一个构建P2P控制信道的恶意代码Slapper在网络传播过程中对每个受感染主机都建立了一个完整的已感染节点列表[14];Sinit同样也消除了这一过程并使用了公钥加密进行更新过程的验证;Nugache则试图通过实现一个加密混淆的控制信道来躲避检测.但这些已有P2P僵尸程序的控制协议设计并不成熟[23]:Sinit僵尸程序使用了随机扫描的方法寻找可交互的其他Sinit僵尸程序,这导致构造的P2P僵尸网络连接度非常弱,并且由于大量的扫描流量而容易被检测;Phatbot在其bootstrap过程中利用了Gnutella的缓冲服务器,这也使得构建的僵尸网络容易被关闭.此外,Phatbot所基于的WASTE协议在大规模网络中的扩展性并不好;Nugache的弱点在于其bootstrap过程中对一个包含22个IP地址的种子主机列表的依赖;Slapper并没有实现加密和通讯认证机制,使僵尸网络很容易被他人所劫持.另外,Slapper的已感染节点列表中包含了组成僵尸网络所有僵尸程序的信息,这使得防御者从一个捕获的程序中即可获得僵尸网络的全部信息.最后Slapper复杂的通讯机制产生了大量网络流量,使其很容易引起网络流分析工具的警觉[14].Wang等人在文献[23]中提出了一种更加先进的混合型P2P僵尸网络命令与控制机制的设计框架,在此框架中,将僵尸程序分为两类:拥有静态IP地址并从因特网可以访问的僵尸程序称为servent bots,这类僵尸程序承担客户端和服务器的双重角色;其他由于IP地址动态分配、私有IP或防火墙过滤等原因无法从因特网访问的僵尸程序称为client bots,每个节点的邻居节点列表中只包含servent bots.僵尸网络控制者通过认证机制后,可从网络中任一节点注入其控制命令,当一个节点获取新的控制命令后,通过向其邻居节点转发,从而快速传递到每个servent bot,client bot则从其邻居节点列表中的servent bots获取控制命令.在此设计框架基础上,Wang等人还进一步提出通过命令认证、节点对加密机制、个性化服务端口等机制保证僵尸网络的健壮性和韧性.Vogt等人[24]则提出了一种层叠化的“super-botnets”僵尸网络群构建方式,即在僵尸网络的传播过程中不断分解以保证对僵尸网络规模的限制,并通过小型僵尸网络间邻居节点关系和基于公钥加密的通讯机制构造僵。
僵尸病毒网络研究报告
僵尸病毒网络研究报告一、僵尸病毒网络概念简介僵尸病毒网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
如图1表示:在Botnet的概念中有这样几个关键词。
“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet 中,就是指提供IRC聊天服务的服务器。
僵尸网络是一种由引擎驱动的恶意因特网行为:DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。
DDoS 攻击并不是新鲜事物。
在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。
僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。
二、僵尸病毒网络特点1.是一个可控制的网络,但并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
僵尸病毒被人放到计算机时机器会滴滴的响上2秒。
2.这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
如图:2-1表示3.Botnet的最主要的特点,是可以一对多地执行相同的恶意行为。
在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。