僵尸网络原理及其防御技术

僵尸网络原理及其防御技术
吴旻倩;万君;吴海清
【摘要】近几年来,随着计算机网络技术的迅速发展,频繁发生网络攻击事件,网络安全面临巨大挑战.僵尸网络拒绝服务攻击,发送垃圾邮件和其他恶意活动已经成为日益猖獗和迫切要解决的问题.越来越多的网络安全研究人员开始研究僵尸网络.由于僵尸网络不断的演变,更多、更复杂和更隐蔽的僵尸网络相继出现,给系统体系结构的检测和防御带来的诸多困难.因此,本文对僵尸网络原理和检测、防御技术进行了探讨.
【期刊名称】《江西通信科技》
【年(卷),期】2012(000)004
【总页数】3页(P46-48)
【关键词】僵尸网络;网络安全;防御
【作者】吴旻倩;万君;吴海清
【作者单位】南昌广播电视大学南昌 330003;江西广播电视大学南昌 330000;南昌广播电视大学南昌 330003
【正文语种】中文
随着计算机网络技术的迅速发展，人们的日常生活和工作与网络密不可分。

此时，网络的安全威胁也越来越多元化，尤其是数据和电子商务在网络中的安全。

首先，黑客可使用潜系统在的安全漏洞对计算机系统发起网络攻击；再者，通过人类社会
工程学，使用户并不知情的情况下感染病毒并受到攻击。

基于种种攻击，黑客总是能捕获数以万计的计算机系统组成更为复杂的僵尸网络，甚至发动更多、更具威胁的分布式拒绝服务(DDoS)、垃圾邮件和蠕虫等进行肆无忌惮的攻击。

据国家互联
网应急中心(CNCERT)监测，2012年1-4月，我国境内被篡改网站数量分别为1888个、1853个、2035个、1957个，其中商业类和政府类网站占多数;据中国国家信息安全漏洞库(CNNVD)监测，2012年1-4月，我国境内被挂马网站分别
为5106个、9608个、6683个、3715个，其中商业类网站占多数;2012年1-4月，中国反钓鱼网站联盟认定并处理钓鱼网站8451个，其中支付交易类、金融证券类钓鱼网站占近90%的份额。

一、僵尸网络的概念
僵尸网络是由攻击者控制的一大批僵尸程序感染的主机所组成，由覆盖网络的恶意活动形成。

通过僵尸网络，使用僵尸网络的攻击者不仅可以控制主机实现分布式拒绝服务、传播新的病毒程序、发送垃圾邮件、控制在线投票和游戏、监听网络流量、记录键盘操作、窃取银行帐户密码等破坏网络安全的操作，甚至通过僵尸网络牟取非法利益。

僵尸网络及其产生的各种攻击活动成为目前的互联网中安全的最严重威胁之一。

僵尸网络中攻击者和防御者持续不断展开对抗，使二者的技术都产生了巨大的发展。

攻击者用一些新的方法和技术来改善的僵尸网络传播途径和攻击效率。

在防御方面，安全研究人员对新技术和新手段进行不断研究，同时尝试了一些新的检测和防御技术还引入了新理念。

这些年以来，政府、机构和企业开始相互协作联合对一些大型的僵尸网络采取措施，取得了明显效果。

虽然我们不断深入进行僵尸网络研究，但僵尸网络产生的威胁对网络整体发展趋势并没有很大的改变。

因为僵尸网络中隐蔽的方式和多变的因素，加上体系结构的局限性，给防御者带来很大的困难。

二、僵尸网络的原理
僵尸网络攻击主要有以下模式：分布式拒绝服务、发送垃圾邮件、传播蠕虫病毒，窃取用户信息等。

僵尸网络的工作原理包括三个阶段：通信、加入和控制。

通信阶段：被控的计算机需要形成一定规模才能被称为僵尸网络，往往可以采用如下几种手段来形成规模传播僵尸程序。

1、漏洞攻击：原理是攻击系统中的漏洞，以获得控制权。

将攻击的系统成为受感染的僵尸主机。

攻击者非法向网络中的主机恶意传播僵尸程序，感染目标主机。

2、邮件病毒：通过僵尸程序发送大量的邮件传播病毒程序，从而使收件人主机感染成为僵尸主机，再使受到感染了的主机传播到其他多个目标主机，实现更为广泛的病毒传播。

3、交互软件：使用即时通讯软件向好友发送执行僵尸程序的链接，并通过各种方式和技巧诱骗其进行点击运行，并与命令控制通道建立连接后，使其主机加入僵尸网络中并受到感染。

4、恶意脚本：攻击者在提供WEB服务的网页中加载上载和下载恶意代码，当访问者访问这些网站时，将执行恶意脚本，发送非法指令。

使僵尸程序在访问者不知情的下载到主机上，并自动执行。

5、木马伪装：伪装成常用软件，在网络提供给用户下载并执行。

感染了的僵尸程序主机，按照一定时间间隔定期尝试建立连接Web服务器，以获取命令和控制服务器发送该命令，对目标发动攻击。

加入阶段：每个被感染的主机将运行隐藏系统中的僵尸程序，从而与其他的被感染的主机形成僵尸网络，加入僵尸网络的方式有所不同是因为控制方式的不同和通信协议的不同。

控制阶段：攻击者通过中央服务器传输一个预定义的控制指令，让受感染的主机执行恶意程序，进一步控制被感染的主机。

三、僵尸网络的检测
僵尸网络检测总体上可归为两类：蜜罐与蜜网技术、流量分析技术。

1、蜜罐与蜜网技术
蜜罐技术通过刻意安排的一些主机、信息和网络服务作为诱饵，诱使攻击者对他们攻击、将安全威胁减少在可控范围内。

对蜜罐技术的扩展就形成了蜜网，蜜网是高度可控蜜罐网络体系结构，在这一结构中的，可以包含若干个蜜罐，同时可以提供的各种工具，以便采集和分析攻击信息。

早期在监测IRC僵尸网络时采用蜜网，后来对蜜网进行了完善与改进，使得蜜网也可以有效的检测P2P僵尸网络。

将僵尸程序在蜜网中执行后，就可以通过分析进出蜜网的流量，获取到僵尸网络建立连接的数据流和发送的指令，判断出僵尸网络的源点和终端。

利用P2P僵尸网络中bot和bot管理员之间信息的交互，可以掌握P2P僵尸网络部分活动情况，并对可能产生的威胁作出警示。

蜜网的局限性在于P2P僵尸网络中，僵尸主机只会和一部分的邻居节点进行网络通信，所以蜜网不可以获取僵尸网络完整网络活动。

2、流量分析技术
流量分析基于网络流量监控和分析，发现存在的僵尸网络，可划分为：基于异常、基于签名、基于数据挖掘和基于DNS等方法。

基于异常是依据网络流量、网络延迟、异常活动的系统、异常端口活动和其他异常的判断存在恶意节点下的网络异常检测方法。

缺点是对于处于潜伏期的僵尸网络却是无效的，优点是可以检测到已知的僵尸网络。

基于签名是使用的僵尸程序签名功能的特征和行为的特征，以检测存在一个已知的僵尸网络。

同样对未知的僵尸程序无效是基于签名方法的致命缺点。

基于数据挖掘是通过Botminer对僵尸程序通信和恶意行为的分析，以检测与类似的通信模式和行为特征的节点。

Botminer是不依赖于特定的僵尸协议，可以在IRC上使用，也可以在HTTP和P2P僵尸网络上进行检测。

基于DNS是因为僵尸程序要与C&C连接服务器，DNS必将发送查询，所以可以通过监视DNS流量异常进行检测。

短时间高频率的DNS查询，可以找到僵尸网络的踪迹。

但可以产生虚假的DNS查询，来隐藏僵尸程序的踪迹。

四、僵尸网络的防御
僵尸网络的有效防御策略主要包括两个方面：一是通过传统的防御来加强网络终端的防御，以防止它成为僵尸主机；二是通过某些手段与技术进入僵尸网络，观察其行为，了解其结构，确定命令控制机制，通过各种有效技术阻止僵尸网络之间的通信，可以实现防止僵尸网络的产生。

通过加强计算机在网络中的安全防御等级，来防止主机被僵尸网络感染，以及更新杀毒软件，删除僵尸程序是传统的防御方法。

由于僵尸程序是恶意代码，因此可以采取包括基本的安全策略和使用防火墙、DNS阻断和及时修复系统漏洞等其他技术手段来提高网络主机防御能力。

由于僵尸网络依托命令与控制信道来得以生存和发挥攻击能力，我们可以根据这个基本特征来对僵尸网络进行有效的防御和反制，即通过破坏或失效的僵尸网络命令和控制机制，使僵尸程序不能危害到网络，这种方法也研究最有效、最多的反制措施。

防御僵尸网络需要综合使用各种方法全面保护网络和计算机。

首先使用传统方法防御措施，加强终端计算机自我保护能力、生成防御僵尸网络的屏障；其次加速研究和发展新技术，从多层次多角度对僵尸网络探测、跟踪和反向攻击，瓦解其命令控制机制，有效对应僵尸网络。

五、总结
僵尸程序在网络中通过各种传播途径，结合各种传统恶意软件传播模式，包括交互软件、文件共享和网络视频进行多样化传播。

虽然我们在僵尸网络的工作原理，行为特征有了较深入的了解，提出了各种各样的僵尸网络检测方法，并在不同的范围
的网络领域进行有针对性的一系列研究。

但是，随着身份验证的增强和加密的通道控制方式，攻击者加强僵尸网络的隐蔽性和安全性，使僵尸网络的检测、分析和跟踪工作的开展变得更加困难。

如何有效地遏制僵尸网络的威胁仍然需要持续不断地深入研究。

参考文献
【相关文献】
[1]王天佐;王怀民;刘波;史佩昌僵尸网络中的关键问题《计算机学报》2012-06-15
[2]江健;诸葛建伟;段海新;吴建平僵尸网络机理与防御技术《软件学报》2011-09-08
[3]王钟梅;殷新春;袁秋宇僵尸网络检测技术研究《计算机安全》2011-08-15
[4]冉宏敏;柴胜;冯铁;张家晨 P2P僵尸网络研究《计算机应用研究》2010-10-15
[5]Fossi M，Turner D，Johnson E，Mack T，Adams T，Blackbird J，Entwisle S，Graveland B，McKiuney D，Mulcahy J.Symantec global Internet security threat report：Trends for 2010.White Paper.Symantec Enterprise Security，2011.。