【计算机科学】_僵尸网络_期刊发文热词逐年推荐_20140723

纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集・哈尔滨２００６尸）１４】，ＩＲＣＢｏｔ就会自动连接到指定的ＩＲＣ频道等候命令，这样由许多已被攻陷的，可在一个ＩＲＣ频道被远程控制的主机组成的网络结构，叫作ＩＲＣＢｏｔｎｅｔ（僵尸网络）。

虽然ＩＲＣ协议作为实现Ｂｏｔｎｅｔ的协议不是最好的，但由于ｌＲＣ服务器可以免费获得并且容易搭建，许多攻击者又有几年的ＩＲＣ通讯经验，ＩＲＣ协议是目前最流行的Ｂｏｍｅｔ通信协议。

２Ｂｏｔｎｅｔ结构、形成及功能２．１Ｂｏｍｅｔ结构由ＩＲＣＢｏｔ组成的ＩＲＣＢｏｔｎｃｔ（以下称Ｂｏｔｎｅｔ）的结构如图２．１【５ｌ：图２．１Ｂｏｔｎｅｔ结构其中ＩＲＣＢｏｔ模拟ＩＲＣ客户端，使用ＩＲＣ协议与ＩＲＣ服务器进行通信，ＩＲＣＢｏｔ至少要模拟以下命令１２］：（１）ＮＩＣＫ和ＵＳＥＲ：用于标志用户和用户所属主机，相当于一个ＩＤ。

（２）ＰＡＳＳ：设置和发送口令。

（３）ＪＯＩＮ＃Ｃｈａｎｎｅｌ：加入频道。

（４）ＭＯＤＥ：修改频道模式。

（５）Ｐ１ＮＧ和ＰＯＮＧ：维护与服务器的连接，当用户空闲时，服务器端向用户发送ＰＩＮＧ，用户回应ＰＯＮＧ，表示客户端存活。

（６）ＰＲＩＶＭＳＧ：向频道或者用户发送消息。

（７）ＤＣＣＳＥＮＤ：发送文件。

２．２Ｂｏ仃ｌｅｔ的形成及控制攻击者首先通过编写新的Ｂｏｔ或者修改现有的Ｂｏｔ得到将要投放的Ｂｏｔ，然后攻击者扫描某段网络，如Ｃ段网，一旦发现目标，攻击者就对目标进行探测和攻击，通常扫描的端口集中在以下几个端口，如表２．１１６１：表２．１端口服务对照表端口相关服务ＴＣＰ／８０ＨｔｔｐＴＣＰ／１３９ＣＩＦＳＴＣＰ／４４５ＣＩＦＳＵＤＰ／１３７ＮｃｔＢｌ０ＳＵＤＰ／１４３４ＭＳＳＱＬＳｅｒｖｅｒ攻击者利用被扫描主机的漏洞，通常这个过程利用某种蠕虫进行攻击。

获得管理员权限。

如果成功攻陷主机，攻击者把编写好的Ｂｏｔ工具利用ＴＦＴＰ、ＦＴＰ、ＨＴＴＰ或者Ｃｓｅｎｄ（ＩＲＣ用来给其他用户发送文件的一个扩展，可比于ＤＣＣＳＥＮＤ）上传到主机。

僵尸网络僵尸网络Botnet僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

在Botnet的概念中有这样几个关键词。

“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

Botnet首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。

在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。

因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。

解读“僵尸网络”Botnet(僵尸网络),是20世纪90年代末兴起的危害互联网的产物,近年来已形成重大安全威胁之一。

首先介绍了僵尸网络的概念,使得读者了解什么是僵尸网络。

从概念出发,分析了僵尸网络的工作过程以及分类及危害。

从而涉及到如何防御僵尸网络。

综合以上几点,得出结论,如今的僵尸网络日益隐蔽,并可成为扩大犯罪组织的一个平台,它通过大量的恶意软件在其中协调。

随着新安全技术的兴起,IT管理人员可从新一代的防御体系中获益。

标签：僵尸网路;DDoS攻击;防御Botnet(僵尸网络),是20世纪90年代末兴起的危害互联网的产物,近年来已形成重大安全威胁之一。

指的是由一批受恶意软件感染的计算机组成的网络,它允许网络罪犯在用户不知情的情况下,远程控制这些受感染机器。

被感染的计算机受控于僵尸网络的控制中心,而控制中心一般通过IRC(因特网中继聊天)频道、网页连接或者其他一切可用的联网方式与受控计算机连接。

僵尸网络制造者通过僵尸网络实施DDoS攻击、窃取机密信息、发送垃圾邮件、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件等方式以达到盈利的目的。

僵尸网络,首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。

最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。

僵尸网络是怎样形成的？僵尸网络并不是一个特定的安全攻击事件，而是攻击者手中的一个攻击平台。

利用这个攻击平台，攻击者可以实施各种各样的破坏行为，比如DDoS攻击、传播垃圾邮件等，并且使这些破坏行为比传统的实施方法危害更大、更难防范。

比如，传统的蠕虫不能“回收成果”，也即，蠕虫的释放者通常不知道蠕虫代码成功入侵了哪些计算机，也不能从释放蠕虫的行为中给自己带来直接的利益。

但是攻击者让蠕虫携带僵尸程序（Bot），就不但可以“回收”蠕虫蔓延的成果，还可以对感染蠕虫的计算机集中进行远程控制。

通过僵尸网络实施这些攻击行为，简化了攻击步骤，提高了攻击效率，而且更易于隐藏身份。

僵尸网络的控制者可以从攻击中获得经济利益，这是僵尸网络日益发展的重要原动力。

简单地说，僵尸网络是指攻击者利用互联网上的计算机秘密建立的、可被集中控制的计算机群。

它涉及到以下有关具体概念。

Bot: “RoBot”（机器人）的简写，是秘密运行在被控制计算机中、可以接收预定义的命令和执行预定义的功能，具有一定人工智能的程序，本文称之为“僵尸程序”。

Bot的本质是一个网络客户端程序，它会主动连接到服务器读取控制指令，按照指令执行相应的代码。

Zombie: Zombie经常被与Bot混为一谈，但严格地说，它们是不同的概念。

Bot是一个程序，而Zombie是被植入了Bot程序的计算机，称之为“僵尸计算机”。

含有Bot或其他可以远程控制程序的计算机都可以叫Zombie。

IRC Bot: 利用IRC协议进行通信和控制的Bot。

通常，IRC Bot连接预定义的服务器，加入到预定义的频道（Channel）中，接收经过认证的控制者的命令，执行相应的动作。

运用IRC协议实现Bot、服务器和控制者之间的通信和控制具有很多优势，所以目前绝大多数Bot属于IRC Bot。

当然，采用其他协议甚至自定义的协议也可以实现Bot。

Command&Control Server: 可以形象地将IRC Bot连接的IRC服务器称为命令&控制服务器，简写为C&C S，因为控制者通过该服务器发送命令，进行控制。

认识僵尸网络攻击和防范僵尸攻击我们在应对僵尸网络攻击的时候，首先套做的就是了解什么是所谓的僵尸网络。

僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段，将僵尸程序感染给大量主机，从而在控制者和被感染主机之间形成的一个可一对多控制的网络。

这些被感染主机深陷其中的时候，又将成为散播病毒和非法侵害的重要途径。

如果僵尸网络深入到公司网络或者非法访问机密数据，它们也将对企业造成最严重的危害。

一、僵尸网络的准确定义僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络，它并不是物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。

根据最近的一份调查，网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。

感染之后，这些主机就无法摆脱bot所有者的控制。

僵尸网络的规模是大还是小，取决于bot程序所感染主机的多寡和僵尸网络的成熟度。

通常，一个大型僵尸网络拥有1万个独立主机，而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。

二、新型僵尸网络的特点2009年，一些主要的僵尸网络在互联网上都变得更加令人难以琢磨，以更加不可预测的新特点来威胁网络安全。

僵尸网络操纵地点也比以前分布更广。

它们采用新技术提高僵尸网络的的运行效率和灵活机动性。

很多合法网站被僵尸网络侵害，从而影响到一些企业的核心竞争力。

最新型的僵尸网络攻击往往采用hypervisor技术。

hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。

hypervisor可以分别控制不同主机上的处理器和系统资源。

而每个操作系统都会显示主机的处理器和系统资源，但是却并不会显示主机是否被恶意服务器或者其他主机所控制。

僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。

这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。

(1) 两者都是将分散的资源聚合在一起来完成某任务，这中间整个任务的完成都十分依赖网络流量，云计 算平台和僵尸网络的资源都是基于大网络流量和大数 据的。

(2)两者的结构都是基于一对多的控制，僵尸网络集中端为攻击者、被攻击者或僵尸网络控制端，云平台的 集中端是云服务提供商。

(3) 两者都使计算机资源得到了充分的利用。

云计算管理平台图1云计算平台结构示意图〇引言近几年来，云技术成为人们越来越接受的技术并成为 信息技术产业快速增长的部分，它可使用户大量减少基础 设施和操作的成本，提供公平的收费系统，可确保其所有 的服务具有扩展性等众多益处。

云技术不仅向合法用户 提供这些优势服务，也同时为连接在In te rn e t 的第三方终 端设备上部署攻击的恶意用户打开了一扇大门。

合法用 户抵制外部攻击一直是云技术安全问题的研究热点问 题[1]，但对将云平台转变成能发起攻击的平台的可能性很 少关注[2]。

僵尸网络就是将云平台转换成攻击支持的最 大受益者之一，把通过云平台发出攻击的僵尸网络称为僵 尸云网络。

1云计算平台与僵尸网络云计算平台具有弹性服务、资源池化、按需服务、服务 可计费、泛在接入[3]的特点。

从图1和图2的云平台和僵 尸网络的结构图[4]中可以看出云计算平台与传统僵尸网 络的很多特征相似：!基金项目：四川文理学院面上项目资助（2014Z011Y)云计算环境下的僵尸网络#成淑萍\甘元彪2(1.四川文理学院智能制造学院，四川达州635001;2.国网重庆市电力公司城口县供电分公司，重庆405900)摘要：云计算环境下的僵尸网络（BotCloud )是把传统的僵尸网络移植到云计算平台下的新型僵尸网络。

利用云的优势将僵 尸网络的构建变得更容易、攻击变得更有效、检测变得更困难。

分析了云计算平台和传统僵尸网络结构上的相似性，介绍了BotCloud 对云环境的平台造成的威胁，分析了云计算环境下的僵尸网络的相关检测技术，为今后云计算环境下的僵尸网络的检测打下理论基础。

P2P僵尸网络的检测摘要：点对点(P2P)分布式架构的提出为恶意代码提供了更具隐蔽性和弹性的命令分配机制，使得P2P僵尸网络成为互联网上最严重的威胁之一。

研究这种僵尸网络的检测技术非常具有现实意义，由于它具有较强的个性化差异，目前还没有通用的检测方法，现有的检测方法主要是通过分析其恶意行为及网络通信流量，析取其内在活动规律和传播机制等。

讨论了P2P僵尸网络的结构和机制，分析相关的几种主要的检测技术并对未来可能的研究重点作出了预测。

关键字：僵尸网络；点对点；检测技术；网络安全Abstract：The distributed architecture of Peer-to-Peer(P2P)has provided malwares (malicious softwares)the command distribution mechanism with increased resilence and obfuscation．P2P Botnet has become one of the most serious threats to Internet．At present，there is no general detection approach because of the strong differences between individuals，and most researches focus on analyzing their malicious behaviors on the host and communication SO as to understand the rules of their activities and transmission mechanism．This paper discussed the structure and mechanism of P2P Botnet．analyzed the major several related detecting research methods，and predicted the future detecting technology an d development．Key words：Botnet；Peer—to—Peer(P2P)；detecting technology；network security1 引言僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染僵尸(Bot)程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

欢迎订阅2023年《计算机科学》期刊
佚名
【期刊名称】《计算机科学》
【年(卷),期】2023(50)3
【摘要】《计算机科学》系中国计算机学会(OCF)会刊、计算领城高质量科技期刊分级目录T2级(排名第一)期刊.CCF推荐B类中文科技期刊、中国期刊方阵双效期刊、中国科学引文数据库(CSCD)来源期刊、《中文核心期刊要目总览)(GCJC)收录期刊、中国科技核心期刊、RCCSE中国核心学术期刊、中文科技期刊数据库收录
期刊、中国核心期刊(逍选)数据库收录期刊,同时被瑞典开放存取期刊目录(DOAJ)、美国创桥科学文摘(CSA)、美国乌利希期刊指南(UPD)、日本科学技术振兴机构数
据库(JST)等收录。

2022年被评为重庆市“十四五”重点出版物项目资助期刊(领
军型学术类),2021年被评为重庆名刊、“鸿鹄计划”之精品科技期刊、首届“西
牛奖”之十佳优秀中文期刊,2020年入选中国WJCI Top20期刊,2019年被评为“中国国际影响力优秀学术期刊”,2018-2021年连续四年获得重庆市出版专项资金项目资助。

【总页数】1页(PF0003)
【正文语种】中文
【中图分类】G23
【相关文献】
1.欢迎订阅2022年《计算机科学》期刊
2.欢迎订阅2022年《计算机科学》期刊
3.欢迎订阅2022年《计算机科学》期刊
4.欢迎订阅2023年《计算机科学》期刊
5.欢迎订阅 2023年《计算机科学》期刊
因版权原因，仅展示原文概要，查看原文内容请购买。