僵尸网络检测研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的 2 %以上 , 0 其数量 已在美 国之上 。并且在国内僵尸网络 也早已成为黑客产业 中一个不可或缺的项 目, 在一些黑客
所 使用 的交 流 网络 中就 有 人公 然 叫卖僵 尸 网络 f 由于僵 3 ] 。 尸 网络 日趋 活跃 , 网络 安全 的威 胁 日趋 严 重 , 已成 为 对 现
也将 借 用此 定 义 。
并且 实 时 的回应 控制者 的信息 , 以及发 送 信道所组成的网络 。考虑到该定义的完备性 , 本文 各 种 指令 ,
自身的信息以便控制者了解。 最后 , 当控制者发布要求攻击的指令后 , 僵尸主 机接收到控制者发出的命令 ,立即就会对被指定的 目标发动 D o 攻击 , DS 信息窃取等攻击行为。
成为僵尸主机 , 自动加入该 I C频道。由于该频 并 R
道 与 正常 I C聊 天频 道 不 同 , R 主要 目的是 用 来传 输
c 信息 , 2 所以将其称之为命令与控制信道。当僵尸
主机 加入 该频 道之 后 ,就 开始监 听控 制者 所发 布 的
控制大量的计 算机 ,并通过 一对多 的命令与控制
利用大规模 的僵尸网络 , 黑客们能够轻松地对网
络 中的受害站点发动 D o 攻击 、 DS 海量 垃圾 邮件 、 信息窃
取 等形式 的攻击 以牟取 利 益 。 根据 赛 门铁 克 公 司的监测 报 告 【】 国僵 尸计 算 机 的数量 已 占世 界僵 尸计 算 机 总数 l,我 1 2
国内外网络信息安全领域研究者共 同关注的研究热点 , 越 来越多的学者 、 科研机构和信息安全公司投入到僵尸网络 的检测与防御研究工作 中。
1僵 尸网络及 其定义
僵尸 网络发 展 了多年 , 内外学 者在 僵 尸 网络发 展 的 国
本课题 获得 国家 自然科学基金 ( o o 7 0 7 与重庆市 自然科 学重 N . 839 ) 6 点基金( o S C 0 9 A O 9 资助。 N . T 20B 2 8 ) C
首先 , 攻击者通过在 网上散播蠕虫 、 木马等方式 来攻 陷多台普通的计算机( 即肉鸡 )并且建立一个 , 能够被其完全控制的命令发布节点 ,即图 l 所示的
道, 以便 对感 染 了僵 尸 程 序 (o 的计 算 机 由该 频 道 1t o)
其定义为 :僵尸程序是攻击者 为了链接 IC信道 R
络, 以发 动各 式各 样 的 网络攻 击行 为 。 由于僵 尸 网络 具 有 攻 击 节 点数 量 大 、 组 协 作 攻击 , 群 以及 控 制 者 隐 藏 度 较 高 的特 点 , 受到 了众 多黑 客 的青 睐 。僵 尸 网络 已经是 当今威
胁 互联 网安 全 的一个 严重 问题 。
R
。 。二 … … 一 - : t
僵 尸 网络检测研 究
龙人 杰 重 庆 邮电大 学移 动互联 网技术研 究所 研 究生 赵 国峰 重 庆 邮电大 学移 动互联 网技术研 究所 教授 李亚 兵 重庆 邮电大 学移 动互联 网技术研 究所 研 究生
僵尸网络 (o e) 由传统恶意代码形态 , bt t n 是 如计算机 病毒 、木马以及后门工具等发展而来的新型攻击方式 , 它 为攻击者提供了一个全新的攻击平 台。 攻击者通过一对多 的命令与控制信息 , 控制其所攻 占的计算机并组成僵尸网
等人在参考文献【 5 J 出一个较有通用性 的定义 : 中提
僵 尸 网络 是 能 够 被 攻 击 者 远 程 控 制 的 、被 攻 陷 计
算机所组成的网络 。 葛建伟等人在参考文献『 诸 6 1 中
提 出 了 一 个 相 对 于 上 述 描 述 更 加 完 备 的定 义 : 僵 尸 网络 是 攻 击 者 出 于 恶 意 目的 ,传 播 僵 尸 程 序 来
2 僵尸 网络 的工作机制
在 明 白了僵尸 网络 的定 义 之后 ,那 么僵尸 网络
到底是如何工作呢?有无什么规律可循呢?B r r ao fd 等人在参考文献【 7 J 中将僵尸网络 的工作机制分为七
3 僵尸 网络命令与控制机制
对于所有的僵尸网络而言 ,都具有命令与控制 信道即 c 信道( m ad n n ocan1 2 c m n d otl hne 。通过 o a c r ) 该信道 , 控制者能够对被他所控制的计算机发送 c 2 信息 , 即对僵尸主机进行实时控制 , 而僵尸主机的各 种信息( 所在地 、 在线与否 、 主机型号和所用操作系 统版 本 等)都将 通 过该 c 2信 道传 送 给控 制 者 。 S ae 在参考文献 t yr r 中提出通过寻找网络流量中的 命令与控制信息来查找僵尸 网络 , 该方法的主要思 想是 :由于 c 信息不 同于一般 的 I C聊天信息 , 2 R
由 僵 尸 程 序 通 过 IC协 议 所 组 成 的 网 络 ; ahr R B ce
并且能被远程控制 的客户端程序 ,而僵 尸网络是 I C服 务 器 中对 应 的 由黑 客所 建 立 的 特 定 I C频 R R 发布命令与控制信令(2 c 信息) 。
然 后 ,被感染 的计 算 机会 受僵 尸程 序所控 制 而
所 以可 以根 据 某 种 特征 来 识 别 它 们 ,比如 信 息 长
个方面 : 僵尸 网络的控制机制 、 主机控制机制 、 传播
机 制 、 肉鸡发 现机 制 、 播 机制 、 淆和欺 骗机 制 。 新 散 混 WeL i u等人 则在 参考 文 献【 8 】 出 了 I C僵 尸 网络 中给 R 的工 作机 制 。 文在 综合 前人 的基 础 上 , 出 了一个 本 给 更 通用 的 IC僵 尸 网络工 作 机制 的描述 , 为三 个 R 分
L  ̄
M STT
Oቤተ መጻሕፍቲ ባይዱ
.-....
_ . . . . . . —
Cb t 0 0 t e21. . … 一  ̄ …… …… …一 .
…
…
…
…
…
…
…
…
…
。
M
眦 洲
棚。 N
同时也在对其进 行着相应 的研 究 ,但是对僵尸 网
络 的 定 义则 各 自不 同 。 Mc ay在 参 考 文 献 【中将 C ̄ 1