僵尸网络检测技术的研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
德 国 的 G ee 等 人 提 出 了一 种 根 据 I C用 户 昵 称检 测 obl R 僵 尸 网 络 的 方 法 —_i i 该 方 法 使 用 正则 表 达 式 对 获 取 的 Rs 。 h I C 用户 昵称 的构 成 方 法 、 殊 字 符 的使 用 情 况 、用 户 昵 称 R 特 的相 似 度 进 行 评 分 , 中检 测 出 网络 中 的 僵 尸 主机 。该 方 法 从 实 现 简 单 , 只 能 检 测 明文 传 输 的僵 尸 网 络 ,其 使 用 的 呢 称 但 评 分标 准 也 很 容 易 被 僵 尸 主 机 绕 过 。 除此 之 外 ,针 对 I C 僵 尸 网络 的检 测 方 法 还 有 很 多 , R 如 A &T 实验 室 的 K rsr i等 人提 出 了一 种 在 IP骨 干 T aaai s d S 网层 面 上检 测 和 刻 画 僵 尸 网络 行 为 的 方 法 , 国 的蜜 网项 目 德
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
息。 资料 表 明我 国 已成 为感 染僵 尸程 序 计 算机 数 量 最 多 的 国 家 ,且 这 些 计 算 机 多 数 是被 其 他 国 家 或 地 区 的 攻 击 者 所 控 制 , 究 僵 尸 网络 的识 别和 检 测 方法 进 而 降低 或 消 除僵 尸 网 研 络 的 威 胁 意 义 重 大 。 文 首 先 分 析 了僵 尸 网络 的 结 构和 工 作 本 原 理 , 后 着 重 对 僵 尸 网络 的检 测 从 机 理 、 法 、 在 问题 、 然 方 存
图 1 僵 尸 网 络 的 结 构 图
及 攻 击 。按 检 测 针 对 的控 制 协 议 可 分 为 I C、H T 、D R T P NS 及 P P 本文 按检 测控 制协 议 的分 类 方 式 选 取 一 些 典 型 的 检 2。 测方案进行分类讨论 。 21RC僵 尸 网 络 的 检 测 分 析 .I
传播 自身 ,从而使得接收者主机被感染成为僵尸主机 。 ③ 即时通信 软件 ,利 用即时通信软件 向好友列表发送 执行僵尸程序的链接,并通过社会 工程学技巧诱骗其点击,
从而进行感染。
发展方 向、新动 向等方面进行 了综述 。
1僵 尸 网络 的结构 及 内部工 作机 理
11僵 尸 网络 的 结 构 .
控 制 阶段 , 击 者 通 过 中 心 服 务器 发 送 预 先 定 义 好 的 控 攻
制指令 ,让被感染主机执行恶意行为 。
2 僵 尸 网络 的检 测
僵 尸 网 络 的检 测 技 术 按 其 检 测 信 息 的 来 源 可 分 为 蜜 罐 或 蜜 网 、网络 流 量 数 据 、 日志 以及 流 (t a 数 据 等 几 种 。 s em) r 按 检 测 针 对 生 命 周 期 的不 同阶 段 可 分 为 传 播 、感 染 、通 信 以
僵尸控制者( omat ) B t s r、僵尸主机( o) e B t、命令与控制服
务 器 ( &C S o C ,C mmad o t l ev r 同组 成 了僵 尸 网 n &C n o re) r S 共 络( on t B te 。僵 尸控制者是控 制整 个僵尸 网络 的攻击 者;僵 )
重的启发式异常检测算法 以检测 I C 僵尸 网络控制通信 , R 该方法能检测使用非标准端 口的 I C 流量 ,并 能确定僵尸 R 网 络 的 服 务器 , 并不 能 实 时检 测 , 只 能 检 测 使 用 明文 通 但 且
信 的 IC 流 量 , 其 权 重 也 是 依据 主机 是 否 进 行 扫 描 操 作 确 R 定 , 具 有一 定 的局 限性 。 Sryr 人 提 出 了一 种 基 于 机 器 学 习 的 I C 僵 尸 网络 t e等 a R 检 测 方 法 , 首先 通 过 贝叶 斯 等 方 法 对 I C流 量 和 非 I C 流 R R 量 进 行 区分 ,再 从 I C 流 量 中 区 分 正 常 的 I C 服 务 器 和 命 R R
的关 系 , 得 出第 三 方 侦 查 , 自我 侦 查 以及 分 布 式侦 查三 种 并 方式 的查询特征。实验结果表明,该技术对早期的僵 尸程序
检测很有帮助 , 而且能够进行实时检测,有力支持了对僵 尸
网络 的反 制 ,但 在 误 报 率 方 面 需 要 改 进 。 Co h i等 人 提 出 了一 个 基 于 异 常 的僵 尸 网络 检测 机 制 , 通 过 监 控 DNS流 量 中 的组 群 行 为 进 行 检 测 。该 检 测 机 制 中 包 括 两 个 主 要 算 法 是 : 僵 尸 网络 D NS请 求 检 测 算 法 和僵 尸 网络 迁 移 检 测 算 法 , 是 对 D 都 NS流 量 中 的域 名 和 I 址进 P地 行 统 计 分 析 。 校 园 网上 进 行 的实 验 结 果 表 明当 僵 尸 程 序 连 在 接 命 令 与 控 制 服 务 器 或 者迁 移 到 其他 服 务 器 上 时 , 机 制 都 该
尸主机是攻击者在僵 尸网络 中通过服 务器控制 的主机 ; 命令
I C 僵尸 网络 中攻 击者与僵 尸主机之 间的通信与正 常 R 用户 的通信具有较大差异 , 通过监控 网络流量 寻找命令与控
作者 简介 :孙 卫喜 (95 ) 男, 陕西澄 城 人,渭 南师 范学 院计 算机 科学 系实 验 中心主 任 ,研 究 方 向: 网络 安 全,渭 南 ,7 40 16., 10 0
组也采用蜜 网等技术对僵尸程序进行捕获和追踪, 等人采 Gu 用 了 I 驱动的会话关联方法实现 了能够检测僵尸程序感 DS
染 的 B t ne 系 统 。 oHutr 22 T .HT P僵 尸 网络 的检 测 分 析 基 于 HT P 的僵 尸 网 络 虽 然 和 基 于 I C 的 僵 尸 网络 一 T R
与控制服务器一般有一个或多个, 僵尸控制者通过控制这些 服务器来管理和控制僵尸主机 ; 僵尸主机随时可能被控 制者
利 用 发 动 各 种 各 样 的 网络 攻 击 。 l 僵 尸 网 络 的 工 作 机 理 _ 2 B te o t的 工 作 机 理 主 要 包 括 传 播 、 加 入 和 控 制 三 个 阶 n
・
2 ・ 5
Mircmp tr p l ai s o 2 , o22 1 coo ue A pi t n 1 8N .,0 2 c o V .
研究 与设 计
微 型 电脑 应 用
21 年第 2 02 8卷 第 2期
制 信道 。这类 方 法通 常 的步 骤 是 过 滤 掉 不 必 要 的流 , 后 对 然 剩 余 的 可疑 流 进 行 分 析 , 找 可 能属 于 同一 个 僵 尸 网络 的 主 寻 机 ,最 后 确 定 中心 服 务 器 和 攻 击 者 。 中 比较 典 型 的 检 测 方 其 法有以下几种。 美 国研 究 员 Bi l 等人 提 出 了一 种 基 于 T P 扫 描 权 n e ky C
僵尸 网络检测技术 的研 究
孙 卫喜
摘 要 :僵尸 网络是互联 网安全最严重 的威胁之一 ,通过深入理解僵尸 网络 的检测机理 ,综述僵尸 网路 的检测方法,分析各
种 检 测 方 法 存在 的 优 缺 点 及 改 进 的 措 施 和 发 展 趋 势 , 握 国 内外研 究 的 新 动 向 , 一 步推 动 僵 尸 网络 检 测 技 术 的 发展 ,有 效 把 进
M i oo ue A pi t n o. 8N . 2 1 c c mp tr p lai s 1 , o ,0 2 r c o V 2 2
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用பைடு நூலகம்快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
地 遏制僵尸网络。
关 键 词 :B te;B t on t o ;检 测 技 术 :遏 制 中 图分 类号 :T 3 1 Pl 文献 标 志 码 :A
0 引言
僵 尸网络是互 联 网上 受黑客集 中控制 的一群被僵 尸程 序感染 的计算机 , 攻击者可 以控制这些主机实现分布式拒绝 服务 、发送垃圾 邮件 、监 听网络流量 、记 录键 盘、扩散新的 恶意软件 、点击欺诈 、操控在线投票和游戏、从受控主机上 随意窃 取如银行账 户 的密码 、社会 保险号码 等所保存 的信
析,掌握 了它的相关特性。得 出应用快速通 量技术 的僵 尸网 络活动通常关联到多个域名 ,可 以在 I P地 址和 域名 的映射 关 系 的 基 础 上 ,使 用 集 合 论 的 方法 识别 这 种 僵 尸 网络 , 能 且 够根据攻击类 别进行分类 。
2 2 . P P僵 尸 网络 的 检 测 分 析 4 早 期 对僵 尸 网络 的研 究 主 要 集 中在 如 何 检 测 和 跟 踪 到 单 个 的僵 尸主 机 , 是 随 着 僵 尸 网 络采 用 协 议和 结构 的 复 杂 但 性 ,特 别 是采 用 P P协 议 之 后 ,僵 尸 网络 的隐 藏 性 和 破 坏 2 性 大 大 增 加 ,需要 对 僵 尸 网络 的行 为 、传 播 、 扑 结 构 等 方 拓 面 进 行 综 合研 究 , 僵 尸 网络 也 逐 渐 从 基 于 主机 特 征 的检 测 对 转 到 行 为 特 征 分 析 和 网 络流 量 监 测 等 方 面 。 数据 挖掘 技术 和
⑤ 特洛伊木马 ,伪装成有用 的软件 ,在 网站、服 务器 、 FP 2 T 、P P网络中提供诱骗用户下载 并执行 。
加 入 阶段 , 一 个 被 感 染 主 机 都会 随着 隐藏 在 自身 上 的 每
Bt o 程序的发作而加入到 B te 中去, o t n 加入 的方式根据控制 方 式和 通 信 协 议 的不 同而 有 所 不 同 。
僵 尸网络结构,如图 1 示: 所
④ 恶意 网站脚本 ,攻击者在提供 WE 服 务的网站 中 B 在 H ML 页 面 上 绑 定 恶 意 的脚 本 , 当访 问者 访 问这 些 网站 T
时 就 会 执 行 恶 意 脚本 ,使 得 B t 序 下 载 到 主 机 上 , 被 自 o程 并 动执行。
信息熵理论的引入 为网络流 量检测提供 了强有力 的分析工
具。
2. . 1基于 主机特征 的检测 4
基 于 主 机 特 征 的检 测 主 要 是 指 在 一 个 负 责 监 控 的主 机 内部 部 署 传 感 器用 来监 控 和 记 录 相 关 的系 统 事 件 , 僵 尸程 对
样 ,都是采用 【心服务器 的思想进行命令与控 制,但两者具 { 1 有 较 强 的个 性 化 差 异 。 Le e 等人依据恶意 H T T P僵尸程序是 以规律性的间隔反
段 。 ont B te 需要具有一定规模被控的计算机, 规模的形成( 传
播) 要采用如下几种手段。 主 ① 主动 攻击 漏 洞 , 其 原 理 是通 过攻 击 系 统 中所 存 在 的 漏 洞 获 得 访 问权 ,将 攻 击 的 系 统 感 染成 为僵 尸主 机 。 ② 邮件 病 毒 ,B t程 序 还 会 通 过 发 送 大 量 的 邮件 病 毒 o
息。 资料 表 明我 国 已成 为感 染僵 尸程 序 计 算机 数 量 最 多 的 国 家 ,且 这 些 计 算 机 多 数 是被 其 他 国 家 或 地 区 的 攻 击 者 所 控 制 , 究 僵 尸 网络 的识 别和 检 测 方法 进 而 降低 或 消 除僵 尸 网 研 络 的 威 胁 意 义 重 大 。 文 首 先 分 析 了僵 尸 网络 的 结 构和 工 作 本 原 理 , 后 着 重 对 僵 尸 网络 的检 测 从 机 理 、 法 、 在 问题 、 然 方 存
图 1 僵 尸 网 络 的 结 构 图
及 攻 击 。按 检 测 针 对 的控 制 协 议 可 分 为 I C、H T 、D R T P NS 及 P P 本文 按检 测控 制协 议 的分 类 方 式 选 取 一 些 典 型 的 检 2。 测方案进行分类讨论 。 21RC僵 尸 网 络 的 检 测 分 析 .I
传播 自身 ,从而使得接收者主机被感染成为僵尸主机 。 ③ 即时通信 软件 ,利 用即时通信软件 向好友列表发送 执行僵尸程序的链接,并通过社会 工程学技巧诱骗其点击,
从而进行感染。
发展方 向、新动 向等方面进行 了综述 。
1僵 尸 网络 的结构 及 内部工 作机 理
11僵 尸 网络 的 结 构 .
控 制 阶段 , 击 者 通 过 中 心 服 务器 发 送 预 先 定 义 好 的 控 攻
制指令 ,让被感染主机执行恶意行为 。
2 僵 尸 网络 的检 测
僵 尸 网 络 的检 测 技 术 按 其 检 测 信 息 的 来 源 可 分 为 蜜 罐 或 蜜 网 、网络 流 量 数 据 、 日志 以及 流 (t a 数 据 等 几 种 。 s em) r 按 检 测 针 对 生 命 周 期 的不 同阶 段 可 分 为 传 播 、感 染 、通 信 以
僵尸控制者( omat ) B t s r、僵尸主机( o) e B t、命令与控制服
务 器 ( &C S o C ,C mmad o t l ev r 同组 成 了僵 尸 网 n &C n o re) r S 共 络( on t B te 。僵 尸控制者是控 制整 个僵尸 网络 的攻击 者;僵 )
重的启发式异常检测算法 以检测 I C 僵尸 网络控制通信 , R 该方法能检测使用非标准端 口的 I C 流量 ,并 能确定僵尸 R 网 络 的 服 务器 , 并不 能 实 时检 测 , 只 能 检 测 使 用 明文 通 但 且
信 的 IC 流 量 , 其 权 重 也 是 依据 主机 是 否 进 行 扫 描 操 作 确 R 定 , 具 有一 定 的局 限性 。 Sryr 人 提 出 了一 种 基 于 机 器 学 习 的 I C 僵 尸 网络 t e等 a R 检 测 方 法 , 首先 通 过 贝叶 斯 等 方 法 对 I C流 量 和 非 I C 流 R R 量 进 行 区分 ,再 从 I C 流 量 中 区 分 正 常 的 I C 服 务 器 和 命 R R
的关 系 , 得 出第 三 方 侦 查 , 自我 侦 查 以及 分 布 式侦 查三 种 并 方式 的查询特征。实验结果表明,该技术对早期的僵 尸程序
检测很有帮助 , 而且能够进行实时检测,有力支持了对僵 尸
网络 的反 制 ,但 在 误 报 率 方 面 需 要 改 进 。 Co h i等 人 提 出 了一 个 基 于 异 常 的僵 尸 网络 检测 机 制 , 通 过 监 控 DNS流 量 中 的组 群 行 为 进 行 检 测 。该 检 测 机 制 中 包 括 两 个 主 要 算 法 是 : 僵 尸 网络 D NS请 求 检 测 算 法 和僵 尸 网络 迁 移 检 测 算 法 , 是 对 D 都 NS流 量 中 的域 名 和 I 址进 P地 行 统 计 分 析 。 校 园 网上 进 行 的实 验 结 果 表 明当 僵 尸 程 序 连 在 接 命 令 与 控 制 服 务 器 或 者迁 移 到 其他 服 务 器 上 时 , 机 制 都 该
尸主机是攻击者在僵 尸网络 中通过服 务器控制 的主机 ; 命令
I C 僵尸 网络 中攻 击者与僵 尸主机之 间的通信与正 常 R 用户 的通信具有较大差异 , 通过监控 网络流量 寻找命令与控
作者 简介 :孙 卫喜 (95 ) 男, 陕西澄 城 人,渭 南师 范学 院计 算机 科学 系实 验 中心主 任 ,研 究 方 向: 网络 安 全,渭 南 ,7 40 16., 10 0
组也采用蜜 网等技术对僵尸程序进行捕获和追踪, 等人采 Gu 用 了 I 驱动的会话关联方法实现 了能够检测僵尸程序感 DS
染 的 B t ne 系 统 。 oHutr 22 T .HT P僵 尸 网络 的检 测 分 析 基 于 HT P 的僵 尸 网 络 虽 然 和 基 于 I C 的 僵 尸 网络 一 T R
与控制服务器一般有一个或多个, 僵尸控制者通过控制这些 服务器来管理和控制僵尸主机 ; 僵尸主机随时可能被控 制者
利 用 发 动 各 种 各 样 的 网络 攻 击 。 l 僵 尸 网 络 的 工 作 机 理 _ 2 B te o t的 工 作 机 理 主 要 包 括 传 播 、 加 入 和 控 制 三 个 阶 n
・
2 ・ 5
Mircmp tr p l ai s o 2 , o22 1 coo ue A pi t n 1 8N .,0 2 c o V .
研究 与设 计
微 型 电脑 应 用
21 年第 2 02 8卷 第 2期
制 信道 。这类 方 法通 常 的步 骤 是 过 滤 掉 不 必 要 的流 , 后 对 然 剩 余 的 可疑 流 进 行 分 析 , 找 可 能属 于 同一 个 僵 尸 网络 的 主 寻 机 ,最 后 确 定 中心 服 务 器 和 攻 击 者 。 中 比较 典 型 的 检 测 方 其 法有以下几种。 美 国研 究 员 Bi l 等人 提 出 了一 种 基 于 T P 扫 描 权 n e ky C
僵尸 网络检测技术 的研 究
孙 卫喜
摘 要 :僵尸 网络是互联 网安全最严重 的威胁之一 ,通过深入理解僵尸 网络 的检测机理 ,综述僵尸 网路 的检测方法,分析各
种 检 测 方 法 存在 的 优 缺 点 及 改 进 的 措 施 和 发 展 趋 势 , 握 国 内外研 究 的 新 动 向 , 一 步推 动 僵 尸 网络 检 测 技 术 的 发展 ,有 效 把 进
M i oo ue A pi t n o. 8N . 2 1 c c mp tr p lai s 1 , o ,0 2 r c o V 2 2
文章编 号:10 —5 X(0 220 2 —3 0 77 7 2 1 )—0 50
研 究 与设计
微型 电脑 应 用
21 年第 2 02 8卷第 2期
能进行有效检测。然而 ,如果应用在大规模 网络 中,该算法
的处 理 时 间将 是 检 测 效 率 的主 要 瓶 颈 。对 于 有 意 产 生 D NS 请求的欺骗行为,算法 就会 失去作用 。 Naai 人 对 僵 尸 网络 使 用பைடு நூலகம்快 速 通 量 技 术 进行 统计 分 zr o等
令与控制服务器 。该方法为实时检测提供 了可能,但其使用 的机器学 习的流量分类算法对参数非常敏感, 在实际应用中 并 不 能取 得 很 好 的效 果 。
地 遏制僵尸网络。
关 键 词 :B te;B t on t o ;检 测 技 术 :遏 制 中 图分 类号 :T 3 1 Pl 文献 标 志 码 :A
0 引言
僵 尸网络是互 联 网上 受黑客集 中控制 的一群被僵 尸程 序感染 的计算机 , 攻击者可 以控制这些主机实现分布式拒绝 服务 、发送垃圾 邮件 、监 听网络流量 、记 录键 盘、扩散新的 恶意软件 、点击欺诈 、操控在线投票和游戏、从受控主机上 随意窃 取如银行账 户 的密码 、社会 保险号码 等所保存 的信
析,掌握 了它的相关特性。得 出应用快速通 量技术 的僵 尸网 络活动通常关联到多个域名 ,可 以在 I P地 址和 域名 的映射 关 系 的 基 础 上 ,使 用 集 合 论 的 方法 识别 这 种 僵 尸 网络 , 能 且 够根据攻击类 别进行分类 。
2 2 . P P僵 尸 网络 的 检 测 分 析 4 早 期 对僵 尸 网络 的研 究 主 要 集 中在 如 何 检 测 和 跟 踪 到 单 个 的僵 尸主 机 , 是 随 着 僵 尸 网 络采 用 协 议和 结构 的 复 杂 但 性 ,特 别 是采 用 P P协 议 之 后 ,僵 尸 网络 的隐 藏 性 和 破 坏 2 性 大 大 增 加 ,需要 对 僵 尸 网络 的行 为 、传 播 、 扑 结 构 等 方 拓 面 进 行 综 合研 究 , 僵 尸 网络 也 逐 渐 从 基 于 主机 特 征 的检 测 对 转 到 行 为 特 征 分 析 和 网 络流 量 监 测 等 方 面 。 数据 挖掘 技术 和
⑤ 特洛伊木马 ,伪装成有用 的软件 ,在 网站、服 务器 、 FP 2 T 、P P网络中提供诱骗用户下载 并执行 。
加 入 阶段 , 一 个 被 感 染 主 机 都会 随着 隐藏 在 自身 上 的 每
Bt o 程序的发作而加入到 B te 中去, o t n 加入 的方式根据控制 方 式和 通 信 协 议 的不 同而 有 所 不 同 。
僵 尸网络结构,如图 1 示: 所
④ 恶意 网站脚本 ,攻击者在提供 WE 服 务的网站 中 B 在 H ML 页 面 上 绑 定 恶 意 的脚 本 , 当访 问者 访 问这 些 网站 T
时 就 会 执 行 恶 意 脚本 ,使 得 B t 序 下 载 到 主 机 上 , 被 自 o程 并 动执行。
信息熵理论的引入 为网络流 量检测提供 了强有力 的分析工
具。
2. . 1基于 主机特征 的检测 4
基 于 主 机 特 征 的检 测 主 要 是 指 在 一 个 负 责 监 控 的主 机 内部 部 署 传 感 器用 来监 控 和 记 录 相 关 的系 统 事 件 , 僵 尸程 对
样 ,都是采用 【心服务器 的思想进行命令与控 制,但两者具 { 1 有 较 强 的个 性 化 差 异 。 Le e 等人依据恶意 H T T P僵尸程序是 以规律性的间隔反