您的位置:360文档中心› 基于P2P的僵尸网络及其检测技术

基于P2P的僵尸网络及其检测技术

合集下载

基于状态转移相似性的P2P僵尸网络检测方法

基于状态转移相似性的P2P僵尸网络检测方法

1前言
在 21 0 0年 l 0月微 软 发 布 一 份 安全 报 告 M S R I 中显 示 ,僵 尸 网络 感 染最 多的 国家 是 美 国 ,感染 数
目已 超 过 2 0万 台。在 巴 西 已 检 测 到 约 5 0 5万 台 的
பைடு நூலகம்
为 复 杂 的攻 击 方 式之 一 。 它具 有 一 定 的组 织 结构 ,
僵 尸 网络 是 一 个 可 以 由攻 击 者远 程 控 制 的 已被
Ab ta t: Wih h c niu u d v lp n o P2 nt r s, P P ae b te c me no en s rc t te o tno s e e me t f o P e wok 2 -b sd on t a it b ig. I hs a e , l tde te ae o P - n i t p pr su id h cs s f 2P b sd b te , a aysd h a v na e a d dsd a t g s o cre ¥ d tcin a e o n t n l e t e d a t g s n ia v n a e f uPn e eto meh d , p t fr r a d tcin to s u owal e eto me h d whc i dt cig to ih s ee t n bt e a c rig o h smirt o t e o rmi d o o hr c odn t te i l iy f h cmp o s bt’ t ast n f t t a e rnii o sa e, moeig ih h h dn o d l wt t e i e Mak v n d ro moe S oe b oma e a ir d1 tr a n r l h vo b

一种新型的P2P僵尸网络检测模型

一种新型的P2P僵尸网络检测模型

一种新型的P2P僵尸网络检测模型摘要:僵尸网络已经给当前的计算机网络安全带来严重的安全威胁,特别是僵尸网络在融合对等网络作为通信技术之后,僵尸网络大大提高了其生存能力,为有效降低采用P2P技术的僵尸网络带来的安全威胁,如何有效检测出基于P2P技术的僵尸网络成为一个热点。

针对这种现状提出了一种基于P2P技术的Botnet检测模型。

关键词:僵尸网络;检测模型;对等网络;模糊逻辑0引言僵尸网络是一个由大量被感染了僵尸程序的主机所构成的重叠网络。

攻击者借助各种手段使得主机感染僵尸程序,比如缓冲区溢出攻击、电子邮件、钓鱼网站等。

感染了僵尸程序的主机通过各种组网协议构成僵尸网络。

根据僵尸网络的组网协议分类,僵尸网络可分为集中控制的僵尸网络,基于P2P技术的僵尸网络。

其中前者又分IRC 僵尸网络和HTTP僵尸网络,相应的有Rbot、Zeus等。

而基于P2P 技术的僵尸网络又分为非结构化的僵尸网络、结构化僵尸网络、层次化的僵尸网络,相应的有Sinit、Phatbot、Storm等。

本文主要讨论后者即基于P2P技术的僵尸网络检测,当前常见的检测方法有两大类:一种是基于流量分析的方法,一种基于异常行为的检测方法。

1僵尸网络的特征僵尸网络的组网以及攻击时都会有大量特征存在。

特征一:文献指出僵尸网络会产生大量异常报文。

首先在僵尸主机通过引导结点加入网络时,由于引导结点的动态波动性,造成部分引导结点的IP失效,所以网络中会出现大量的ARP报文,其次如果目的节点最终不可到达还会有ICMP报文大量出现,最后僵尸主机在加入网络进行攻击时,会发送大量的恶意邮件,会造成大量SMTP报文的出现;特征二:感染的结点具有相似的特征。

加入网络的僵尸主机接受的是相同的任务命令,在攻击时也会表现出一些共同的特征,因此,也会造成通信数据具有相同的特点。

2僵尸网络的检测模型僵尸网络的特征为检测僵尸网络带来部分依据,然而这些特征很难精确地去检测,因此,结合模糊逻辑的相关理论,提出了一种新型的僵尸网络检测模型RLDB。

基于P2P僵尸主机网络行为的检测与监控方案设计

基于P2P僵尸主机网络行为的检测与监控方案设计
年我 国共 有 1 4 1 9 . 7万 多台主机被感 染僵尸 网络 , 并 受控 于境外 的约 7 . 3万个 木 马或僵 尸 网络 控制 服务 器, 较 上 一年 度分 别 增长 了 5 9 . 6% 和
5 6. 9% l 1 J

所 在位置 . 对 于这 种基 于客 户 端一 服务 器 架构 的 僵 尸 网络 来说 , 容 易被 跟踪 、 检 测 和反 制 , 当该 僵
已成 为影响互联 网安全 的重要 因素 .
1 相 关 研 究
僵尸 网络 的命 令 与通 信 机 制 通 过 多 年 的 演
变 逐渐形 成 了 3种形 式 : ( 1 ) 基于 I R C协 议 的僵
尸 网络 ; ( 2 ) 基于 H q ' T P 、 D N S协 议 的 僵 尸 网 络 ; ( 3 ) 基于P 2 P协议 的僵 尸 网络 . 基于 I R C协 议 和 H 1 T r P协 议 的僵 尸 网 络 在
破坏, 因此基 于 P 2 P协议 的僵 尸 网络较 前两种 僵 尸 网络更 具 隐蔽性 和抗 打击 性 .
由僵尸 网络而 引发 的在 网络失 窃 、 发 动
拒绝 服务式 攻击 和发 送 大量 的垃 圾 邮件等 方 面 , 对政府 部 门 、 商业 机 构 以及 普通 用 户 造成 了严 重 危害 , 甚 至给 国家 信息安全 带来 极大 的威 胁 , 目前
[ 作者简介] 樊郁徽 ( 1 9 7 6一) , 男, 安徽 淮南人 , 讲师, 硕士 , 主要从事计算机 网络安全方面的研究
9 9
目前 针对 基 于 P 2 P协 议 僵 尸 网络 的检 测 方
法 主要有 两种 形 式 : 一 种 采 用 离线 检 测方 式 , 通

中小型局域网中P2P僵尸网络的检测

中小型局域网中P2P僵尸网络的检测

2 4 等 待 命令 .
通 常在 Байду номын сангаас P僵尸 网络 中 ,om s r 把相 应的命 令存放 在 2 B t at 会 e
某一个 K Y的资 源里 面 。B t E o 程序会 根据特定的函数计算 出预
先设定好 的这个 K Y, 后对 这个 K Y进行 查找 。So 程序 E 然 E t m r
周海涛 曹奇英
( 东华大学计算机科学与技术学 院 上海 20 5 ) 0 0 1


传 统的僵尸 网络大 多是基 于 I C协议 的集 中式结构 , R 但越来越 多的僵 尸 网络 开始转 向了分布 式 的 P P结构 , 对 I C 2 1 针 R
信道 的检测方法 已经不适用于新 型的 P P僵 尸 网络 。提 出一种面 向中小型局域 网, 2 根据 流量 统计特 性和 恶意攻 击活 动相结 合的 P P僵 尸网络检测 方法。这 种方法对采用随机端 口, 2 数据加密等新型手段的 B t t 可 以进行有效检测 。 o es n
2 P P僵 尸 网 络 的 特 点 2
P P僵尸 网络与传统基 于 I C H T 2 R 、 1 P协议 的僵 尸 网络最大 的优势是其 网络 的健 壮性 , 同时其构 建过程 也要 复杂很 多 。完 成一个可用 的 P P僵 尸 网络 建立 , 2 大概 需要 经 过 四个 阶段 , 如 图 3所示 。即僵尸程序 的病毒传播 , 僵尸 网络病 毒的入侵安装 , 连接 B te, ont等待命令 。
本文所采用的方法 , 和文献 [ ] 5 中采用 的方法 不 同, 不需 要 在每台主机上都进行检测 , 是直接 在所有 主机 网络 流量 的出 而 入 口进行 检测即可 ; 同时和文献 [ ] 6 所采用 的检测方 法相 比, 更 加注重了僵尸网络的 P P连接 性质 , 2 检测 效率 更高 。通 过把 检

基于组特征过滤器的僵尸主机检测方法的研究

基于组特征过滤器的僵尸主机检测方法的研究

基于组特征过滤器的僵尸主机检测方法的研究王劲松;刘帆;张健【摘要】提出了一种基于组特征过滤器的检测方法,使用多个成员特征对内网主机数据分组进行过滤,以O(tmn)的空间开销为代价,应对短特征串和特征串的分组分散问题,并能与传统的特征匹配算法相兼容.模拟实验证明了该检测算法的正确性和有效性.【期刊名称】《通信学报》【年(卷),期】2010(031)002【总页数】7页(P29-35)【关键词】网络安全;僵尸检测;组特征;DPI;P2P【作者】王劲松;刘帆;张健【作者单位】天津理工大学,计算机视觉与系统省部共建教育部重点实验室,天津,300191;天津理工大学,智能计算及软件新技术天津市重点实验室,天津,300191;天津理工大学,计算机视觉与系统省部共建教育部重点实验室,天津,300191;天津理工大学,智能计算及软件新技术天津市重点实验室,天津,300191;国家计算机病毒应急处理中心,天津,300457【正文语种】中文【中图分类】TP393.11 引言随着互联网的普及,安全问题变得越来越严重。

据CNCERT/CC2008年度上半年报告[1]显示:在境内外控制者利用木马控制端对主机进行控制的事件中,木马控制端IP地址总数为280 068个,被控制端IP地址总数为1 485 868个,我国大陆地区302 526个IP地址的主机被植入木马。

针对这一现状,学术界已进行了很多相关研究并先后提出了很多方法来尝试解决这一问题。

近年来,基于P2P模型的僵尸网络逐渐发展壮大起来,因此对P2P模型僵尸网络的研究也成为了网络安全领域的热点话题[2,3],目前国内外的僵尸网络检测技术可以分为如下3类[4]。

1) 基于蜜罐的检测方法。

蜜罐技术通过模拟真实主机来诱骗攻击者,从而捕获僵尸程序样本,然后通过逆向工程等手段获取并分析隐藏在代码中的僵尸网络相关信息。

文献[5]介绍了诸葛建伟等人设计开发的一种基于高交互式蜜罐技术的恶意代码自动捕获器——HoneyBow,它能够高效地对互联网上实际传播的恶意代码和网络攻击进行自动捕获,并提交到集中的样本服务器上。

P2P僵尸网络的检测方法

P2P僵尸网络的检测方法
检测 和 反 制 。通 过伪 装 成 受控 主 机 加入 到 僵 尸 网络 、
S a a d 等 提 出一种 基于 网络 行为分 析和 机 器学 习技
术的 P 2 P僵尸 网络 检 测方 法 。该方 法通 过从 网络流 和
_ 2 0 1 3 墓
通 信模 式 中提 取 1 7种 特 征 建 立特 征 组 来 区分僵 尸 网 络 c&c、非 P 2 P流量 和 正常 P 2 P流 i l l 量 为 了满足 新奇 检测 ( 检测未知僵尸网络 ) 和 在 线 检 测 ,使 用 1 0倍
利 用这些 特征 来判 断 网络流 量 中是 否存 在 P 2 P僵 尸流

H o I Z 等通过 对病 毒 的二进 制代码 进 行反 汇编来 剖 析P 2 P 僵 尸病 毒 的传 播机 制 、恶 意行 为 、控制 信道 加 密方 式 等 特 点 从 而 实 现 了对 P 2 P 僵 尸 网 络 的跟 踪 、
M ∞ e术 学
P U 。

¨术
僵尸 网络 主要 包括僵 尸主控 者 ( B o t ma s t e r ) 、僵尸 主机 、命令 与控 制 ( C o m m a n d a n d C o n t r o l , C & C ) 网
络 等 三 部分 。P 2 P僵 尸 网络 的 结构 如 图 1所 示 。 由此 可 见 ,P 2 P僵 尸 网络 没 有 中心节 点 对 等 节点 之 间通 过P 2 P协 议 进 行连 接 从 而 在 网络 拓扑 上继 承 了 P 2 P
术 : 支 持 向量机 ( S u p p o r t V e c t o r Ma c h i n e ,S V M) 、人 工 神经 网络 ( A r t i f i c i a I N e u r a N l e t wo r k ,A N N ) 、近邻 分 类器 ( N e a r e s t N e i g h b o r s C l a s s i f i e r .N N C) 高 斯分 类器 ( G a u s s i a n -B a s e d Cl a s s i f i e r ,G B C) 和 朴素 贝 叶斯 分类器 ( N a i v e s B a y e s C l a s s i f i e r ,N B C) 。最后 ,使 用 4

僵尸网络论文

僵尸网络论文

P2P僵尸网络的检测摘要:点对点(P2P)分布式架构的提出为恶意代码提供了更具隐蔽性和弹性的命令分配机制,使得P2P僵尸网络成为互联网上最严重的威胁之一。

研究这种僵尸网络的检测技术非常具有现实意义,由于它具有较强的个性化差异,目前还没有通用的检测方法,现有的检测方法主要是通过分析其恶意行为及网络通信流量,析取其内在活动规律和传播机制等。

讨论了P2P僵尸网络的结构和机制,分析相关的几种主要的检测技术并对未来可能的研究重点作出了预测。

关键字:僵尸网络;点对点;检测技术;网络安全Abstract:The distributed architecture of Peer-to-Peer(P2P)has provided malwares (malicious softwares)the command distribution mechanism with increased resilence and obfuscation.P2P Botnet has become one of the most serious threats to Internet.At present,there is no general detection approach because of the strong differences between individuals,and most researches focus on analyzing their malicious behaviors on the host and communication SO as to understand the rules of their activities and transmission mechanism.This paper discussed the structure and mechanism of P2P Botnet.analyzed the major several related detecting research methods,and predicted the future detecting technology an d development.Key words:Botnet;Peer—to—Peer(P2P);detecting technology;network security1 引言僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染僵尸(Bot)程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

如何识别和防范网络僵尸网络

如何识别和防范网络僵尸网络

如何识别和防范网络僵尸网络网络僵尸网络,也称为僵尸网络、僵尸机网络,是指由恶意软件感染的大量计算机通过互联网组成的网络。

这些受感染的计算机在攻击者的控制下,被用来进行恶意活动,如分布式拒绝服务(DDoS)攻击、垃圾邮件发送等。

网络僵尸网络的影响不容忽视,因此,我们有必要了解如何识别和防范这些网络。

一、网络僵尸网络的特征与危害网络僵尸网络的特征可以总结为以下几点:1. 感染潜伏期长:恶意软件在计算机上潜伏的时间一般较长,这使得感染的计算机难以被察觉。

2. 隐蔽性强:网络僵尸网络是分布式的,攻击者通过远程控制进行操作,很难被发现和追踪。

3. 高度自动化:网络僵尸网络的控制方式通常是自动化的,攻击者可以通过指令批量控制大量僵尸计算机。

4. 威力巨大:网络僵尸网络可以实施各种攻击,如DDoS攻击,使目标服务器的带宽资源耗尽,导致其无法正常工作。

网络僵尸网络的危害非常明显:1. 经济损失:由于网络僵尸网络可以进行大规模的攻击,受害者的网络服务可能被迫停止,导致经济损失。

2. 信息安全威胁:网络僵尸网络可以用来窃取个人或机构的敏感信息,对信息安全造成严重威胁。

3. 社会秩序受损:网络僵尸网络可以被恶意分子利用,从事非法活动,如网络钓鱼、网络诈骗等,破坏社会秩序。

二、识别网络僵尸网络的方法要识别网络僵尸网络,我们可以采取以下方法:1. 安全软件检测:安装并定期更新杀毒软件和防火墙,可以帮助检测和清除潜在的恶意软件。

2. 实时监测网络流量:通过实时监测网络流量,可以及时发现异常的网络活动,从而判断是否存在僵尸网络。

3. 检查网络带宽使用情况:异常的网络带宽使用情况可能是网络僵尸网络活动的表现,及时检查可以帮助发现问题。

4. 注意异常计算机行为:注意发现计算机工作异常的情况,如突然变慢、频繁死机等,可能是受到恶意软件感染的迹象。

三、防范网络僵尸网络的方法为了有效防范网络僵尸网络,我们可以采取以下措施:1. 操作系统和软件更新:及时更新操作系统和软件的安全补丁,以修复已知的漏洞,提高系统的安全性。

基于P2P僵尸网络检测系统的设计与实现

基于P2P僵尸网络检测系统的设计与实现

基于P2P僵尸网络检测系统的设计与实现
梁发洵
【期刊名称】《电脑与电信》
【年(卷),期】2014(000)007
【摘要】近年来僵尸网络成为互联网最严重威胁之一,研究僵尸网络检测技术具有现实意义.讨论了P2P僵尸网络的组成和工作机制,分析P2P僵尸网络的检测方法,提出一P2P僵尸网络检测系统设计方案.
【总页数】3页(P51-53)
【作者】梁发洵
【作者单位】广州城市职业学院,广东广州 510405
【正文语种】中文
【相关文献】
1.基于网络行为特征与Dezert-Smarandache理论的P2P僵尸网络检测 [J], 宋元章;陈媛;王俊杰;王安邦;李洪雨
2.基于snort僵尸网络检测系统的设计与实现 [J], 乔森;艾中良
3.基于报文大小的P2P僵尸网络检测方法 [J], 谷海红; 何杰; 王浩
4.基于机器学习的僵尸网络DGA域名检测系统设计与实现 [J], 于光喜;张棪;崔华俊;杨兴华;李杨;刘畅
5.基于机器学习的僵尸网络DGA域名检测系统设计与实现 [J], 于光喜;张棪;崔华俊;杨兴华;李杨;刘畅
因版权原因,仅展示原文概要,查看原文内容请购买。

基于流量分析的P2P僵尸网络检测

基于流量分析的P2P僵尸网络检测



通 过 对 P P僵 尸 运行 协 议 及 其 机 制 的深 入 研 究 , 出 一 种 基 于 流 量 分 析 的 检 测 算 法 。在 三层 交 换 机 上 抓 取 2 提
流 量 , 照 流量 数 据 的相 同元 素 划 分 集 合 并 得 到 三个 向量 ( 地 址 、 按 源 目的 地 址 和包 大 小 ) 合 , 理 定 义 时 间 滑 动 窗 口 , 于 集 合 基
t n I n a k g i ,t e e i e e s n b e s i ig wi d w ft e o s d n mi n l ss b s d o h l o i m f i P a d p c a e sz o e h n d f s r a o a l l n n o o i ,d e y a c a a y i a e n t e ag rt n d m h o
有 效检 测方法 将是 一 个重 要 的研 究 课 题 。T o s— h rt
e l 等人通 过对 病毒 的二进 制代 码进行 反 汇编 nHoz
来剖 析僵 尸病 毒 的传 播 机 制 、 意 行 为 、 制 信 道 恶 控
加密 方式 等 特 点 , 而实 现 了 对 P P僵 尸 网 络 的 从 2 跟踪 、 检测 与反 制[ 。复旦 大学 黄少 寅提 出了一种 4 ] 基 于 P P僵尸 网络 流 量 的 多 相 流 模 型.Afe h r po esn f lw r s e rm a e wi h s tg t h e e tr ,s c ss u c P,d sia i ff o trt ep e r c sigo o g a p dfo ly r3 s t e ,i est rev co s u ha o reI f c et - n

僵尸网络

僵尸网络

Copyright 2009 Trend Micro Inc.
集中模式示意图
Copyright 2009 Trend Micro Inc.
C&C模式之分散模式 模式之分散模式
• 为了解决集中模式的缺点,僵尸网络开发者引 入分散模式,使僵尸网络更加健壮 • 在分散模式中不只有一个C&C服务器
– 多C&C服务器模式
什么是僵尸网络
• 僵尸网络(Botnet)
– 僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传 统恶意代码形态的基础上发展、融合而产生的一种新 型攻击方式,是由被攻陷主机所组成的可被数字罪犯 远程控制的网络
• 僵尸程序(Bot)
– 是一种软件,该软件允许远程用户控制计算机,而这 一切却不会让本地用户察觉
更新机制
• 更新机制可以使僵尸网络控制者更好地维护僵 尸网络 • 更新机制可以完成如下任务:
– 修复BOT缺陷 – 更新BOT,避免被防毒软件检测到 – 给Brend Micro Inc.
防御机制
• 僵尸网络开发者设计了一些防御机制,以便让 BOT程序可以正常工作,并且保护僵尸网络, • 防御机制有:
– 集中模式 – 分散模式
Copyright 2009 Trend Micro Inc.
C&C模式之集中模式 模式之集中模式
• 集中模式是最早出现的一种模式 • 僵尸网络控制者从一个中心位置(中心C&C服 务器)向僵尸网络中的计算机发布命令 • 集中模式的最大缺点是一旦中心C&C服务器被 关闭,整个僵尸网络将群龙无首,完全失去控 制
• 僵尸机器
– 又称肉鸡,指运行了僵尸程序的计算机
Copyright 2009 Trend Micro Inc.

僵尸网络

僵尸网络

僵尸网络僵尸网络,亦被称为“僵尸网络”或“僵尸网络”,是指一种通过控制一群被黑客控制的计算机,进行恶意活动的网络。

这些受控计算机被称为“僵尸主机”,黑客通过遥控这些主机来实施网络攻击、传播恶意软件或进行其他非法活动。

僵尸网络已经成为网络安全领域中一个严重的威胁。

僵尸网络的形成主要是由于计算机安全意识的匮乏,以及操作系统和软件的漏洞。

黑客利用这些漏洞,通过各种手段将恶意软件植入用户计算机中,从而获得对计算机的控制权。

一旦计算机被感染,它将成为僵尸网络的一部分,并且听命于黑客的指示,进行各种恶意活动。

僵尸网络可以用于多种非法活动。

其中最常见的是分布式拒绝服务攻击(DDoS攻击),黑客利用僵尸网络对特定的目标发动大规模的请求,致使该目标无法正常提供服务,造成严重的网络瘫痪。

此外,僵尸网络还用于传播恶意软件、窃取用户个人信息和银行账户信息、发送垃圾邮件等。

这些活动对个人用户、企业以及整个互联网的安全和稳定性都构成了严重威胁。

为了应对僵尸网络的威胁,各界采取了一系列的措施。

对于个人用户来说,加强计算机安全意识非常重要。

更新操作系统和软件补丁,安装可信的杀毒软件、防火墙和入侵检测系统,定期备份重要数据,以及避免点击来路不明的链接和下载未知来源的文件等,都可以有效防止计算机感染恶意软件。

对于企业和组织来说,建立健全的网络安全体系是至关重要的。

这包括进行网络安全风险评估,制定合适的安全策略和政策,加强对员工的安全培训,确保网络设备和系统的安全配置,以及定期进行安全检查和演练。

此外,政府和法律机构也需要在打击僵尸网络方面发挥重要作用。

政府可以加大对网络犯罪行为的打击力度,加强对网络安全技术和专业人才的培养,建立健全的法律法规体系,提高网络安全法律的适用性和可执行性,以便更好地维护网络安全。

总之,僵尸网络作为一种严重的网络威胁,给个人用户、企业以及整个互联网带来了巨大的风险和损失。

要有效地应对这一威胁,个人用户需要加强计算机安全意识,企业需要建立健全的网络安全体系,政府和法律机构需要加大打击力度。

僵尸网络(Botnet)的检测方法

僵尸网络(Botnet)的检测方法

僵尸网络在传播和准备发起攻击之前,都会有一些异常的行为,如发送大量的DNS查询(Botnet倾向于使用动态DNS定位C&C服务器,提高系统的健壮性和可用性)、发送大量的连接请求等等。
综上所述,可供统计的一些异常行为包括:IRC服务器隐藏信息、长时间发呆(平均回话时长3.5小时)、昵称的规律性、扫描、频繁发送大量数据包(每个客户端每秒至少发生 5~10个包)、大量陌生的DNS查询、发送攻击流量、发送垃圾邮件、同时打开大量端口、传输层流特征(flows-per-address(fpa), packets-per-flow(ppf) and bytes-per-packet(bpp) )、包大小(包大小的中值≤100Bytes)、特定的端口号(6667, 6668, 6669, 7000, 7514)
这方面的研究有很多,其中一个主要的理论分支称为 “告警焊接”, 例如把类似的告警事件放在同一个标签下。最基本的目标就是减少日志,在大多数系统中,要么是基于多事件归因于一个单一的威胁,要么是提供一个针对一个单一的目标的经过整理的通用事件集的视图,我们引入了“证据追踪”的方法通过分析感染过程的通信序列来识别成功的Bot 感染,称为会话关联策略。在这个策略中, Bot 感染过程可以建模成感染主机与外部实体间一个松散顺序的通讯流。特别是所有Bot都共享同样的发生在感染周期的活动集:目标扫描、感染漏洞、二进制文件下载并执行、C&C频道建立、向外地扫描。不必假设所有这些事件都是必须的,也没有要求这些每个事件都被检测到。系统收集每个内部主机的事件踪迹找到一个满足我们对bot 检测要求的合并序列的门限。
Binkley等人提出了一个基于TCP扫描权重(TCP work weight)的启发式异常检测算法以检测IRC僵尸网络控制通信, w=(Ss+Fs+Rr)/Tsr

基于通信流量特征的隐秘P2P僵尸网络检测

基于通信流量特征的隐秘P2P僵尸网络检测
f l o w a t t r i b ut e s s e t . S O a s t o a c hi e v e t h e p u r po s e o f de t e c t i n g P 2P bo t n e t s .Ex p e r i me nt a l r e s u hs s ho w t h a t t he me t h o d h a s a h i g h e r d e t e c t i o n r a t e a n d b e t t e r r e c o g ni t i o n a c c u r a c y, e ns u r i n g f a s t e r e x e c ut i o n e ic f i e n c y a t t he s a me t i me . Ke y wor d s: P 2P bo t n e t s ;c o mmun i c a t i o n t r a f f i c c ha r a c t e r i s t i c s ;l a t e n c y; t wo — s t a g e c l us t e r i n g; p r i nc i p a l c o mpo ne n t s a na l — y s i s ; X— me a n s c l us t e r i n g a l g o r i t h m
第3 0卷 第 6期
2 0 1 3年 6月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f C o mp u t e r s
Vo 1 . 3 0 No . 6
J u n .2 0 1 3
基 于 通 信 流 量 特 征 的 隐秘 P 2 P僵 尸 网 络 检 测

僵尸网络简述

僵尸网络简述

僵尸网络简述1.概念简介僵尸网络Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。

僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向bot发布命令,C&C 充当僵尸主控机和僵尸网络之间的接口。

如果没有C&C服务器,僵尸网络将退化为一组无法协同运行的独立的受恶意软件入侵的机器。

这就是可控性成为僵尸网络的主要特点之一的原因。

2.主要特点根据我们队僵尸网络的定义,它主要有以下几种主要特点:●受感染计算机组成的网络僵尸网络不仅是对许多计算机的大规模感染,更是一个由受感染计算机组织成的网络,并且相互之间或者和一个中间实体之间能够进行通信,并根据指令以协作的方式采取行动。

●能远程调度僵尸网络必须能够接收并执行攻击者或者僵尸主控机发送的命令,并且根据这些指令以协作的方式采取行动。

这就是僵尸网络和其他恶意软件,例如远程控制木马的不同之处。

●用来进行恶意活动威胁存在的主要原因是它实施恶意活动,其主要目的是执行攻击者的指令。

3.C&C结构僵尸网络的C&C结构定义了命令和重要信息是怎样传递到bot的。

●集中式●分散式●混合式3.1集中式C&C结构最常见的僵尸网络C&C结构是集中式的。

在这种结构中,僵尸网络由位于中央位置的C&C进行控制。

这意味着僵尸网络的所有成员都连接到一个发布命令的中央节点。

这种结构给僵尸主控机提供了一个很简单有效的和bot沟通的方法。

另外,僵尸主控机可以很轻松的管理集中式C&C。

3.2分散式C&C结构尽管集中式C&C结构有一些优点,比如简单性和可管理性,但这也是集中式僵尸网络的最大弊端。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Scientific Journal of Information EngineeringJune 2015, Volume 5, Issue 3, PP.97-101 P2P Botnet and Its Detecting TechnologyQi Zhou1, Jing Gao1, Xiaoli Dong1, Qintao Dong21. School of Information Science and Engineering, Lanzhou University, Lanzhou 730000, China2. 68231troop Political Affairs Office of PLA, ChinaAbstractIn this article, firstly, we classified the P2P botnet by their character; then its network running mechanism and life cycle were analyzed; finally, by combining several common P2P botnet, we summarized the current detecting methods that based on mainframe and network, and pointed out main difficult of the P2P botnet detection.Keywords: Botnets; P2P; Detection; Network Traffic基于P2P的僵尸网络及其检测技术周琦1,高靖1,董小丽1,董秦涛21. 兰州大学信息科学与工程学院,甘肃兰州 7300302. 解放军68231部队政治处摘要:本文首先分析P2P僵尸网络的种类,接着对其网络运行机制、生命周期进行深入分析,结合几种常见P2P僵尸网络,总结了现行的基于主机和基于网络的检测方法,最后提出了P2P僵尸网络检测的难点。

关键词:僵尸网络;P2P;检测;网络流量引言僵尸网络是由大量被僵尸程序控制的主机通过某种C&C(命令与控制)信道所组成的网络。

僵尸网络融合了传统的恶意软件,成为一种可控的、能够发动各种恶意活动的攻击平台。

控制者主要通过被僵尸网络控制的感染主机进行恶意行为。

近几年出现的基于P2P (Peer-to-Peer) 的僵尸网络,具有更强的隐蔽性、健壮性和危害性,给僵尸网络追踪、检测和防御带来极大的挑战,引起了网络安全机构及专家学者的高度重视。

根据2013年华为云安全中心统计,从全球来看,中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%,远远高于其他国家,而从控制者来看,美国境内的控制者最多,占重量的 (42.2%),随后是德国 (9.1%),法国 (7%) 和英国 (5.8%),而中国则约为3.8%。

1P2P僵尸网络研究1.1P2P僵尸网络的种类本文在文献[1]的基础上对P2P僵尸网络的分类进行更加详细的描述。

根据P2P僵尸网络选用P2P协议进行组网的方式以及选择僵尸主机的来源将P2P僵尸网络划分为3种类型;(1) 寄生型P2P僵尸网络:使用现有的合法P2P网络组网,僵尸主机也来自于该网络内的主机;(2) 吸附型P2P僵尸网络:依赖于现有的合法P2P网络组网,僵尸主机来自于整个Internet中的脆弱主机;(3) 独立型P2P僵尸网络:使用现有的P2P协议或者设计新的P2P协议组成独立的网络,网络内的节点全部是僵尸主机(不含有良性的P2P节点)。

1.2P2P僵尸网络运行机制僵尸网络的C&C(命令与控制)信道机制是僵尸网络设计中最重要的组成部分。

C&C机制直接决定了僵尸网络的通信协议和网络拓扑结构,从而影响到僵尸网络在网络维护、代码升级、命令分发时的网络运行效率,以及在对抗安全检测和防御、网络或计算机故障时表现出来的韧性。

按照僵尸牧主发布命令和僵尸主机获取命令的方式划分,C&C机制可以划分为“pull”和“push”机制[2]。

“pull”机制也称为“命令发布/订阅”机制,是指僵尸主机主动地从僵尸牧主发布命令的地方获取命令;“push”机制是指僵尸主机被动地等待命令被推送过来,然后将命令转发给其它僵尸主机成员。

(1) Pull机制集中式僵尸网络的C&C信道通常使用“pull”机制实现。

在IRC僵尸网络中,所有的僵尸主机周期性连接到预定的IRC频道上,等待僵尸牧主在这个频道上发布命令;在HTTP僵尸网络中,僵尸牧主将命令发布到某个Web页面中,僵尸主机定期使用HTTP协议访问这个Web页面以检查是否有命令更新。

该Web 页面的地址是事先编码到僵尸程序代码中的,在运行期间可以通过僵尸牧主发布“地址修改命令”对其进行更改。

P2P僵尸网络如果使用定制的P2P协议,可以根据需要使用“pull”机制或“push”机制。

如果使用“pull”机制,一般会借鉴P2P文件共享系统中的文件查询思想:僵尸牧主挑选一个或若干僵尸主机发布命令,让其申明拥有某个特定文件,这个文件的文件名需要预先编码到僵尸程序代码中。

僵尸主机定期在网内查询这个文件来获取命令;一旦申明拥有这个文件的僵尸主机接收到查询命令,就回复查询成功报文,查询成功报文中包含有命令或者发布命令的地址;接下来,当发出查询请求的僵尸主机接收到查询成功报文后,就直接解析命令或是到指定的位置获取命令。

采用“pull”机制实现的僵尸网络都需要僵尸主机周期性地请求命令或者检查命令的更新,实现起来比较容易,但是这种“周期性”规律增加了被检测到的危险。

(2) Push机制基于“push”机制的P2P C&C的核心思想是:僵尸牧主将命令发送给网内的僵尸主机,接收到命令的僵尸主机主动将命令转发给其它的节点。

这种方法避免了周期性请求或检查新的命令,减少了被检测到的危险。

僵尸主机一般把命令伪装成正常的查询报文发送给所有的邻接节点,并依赖于这些邻接节点继续转发该命令。

这个报文对于良性节点来说就是正常的查询报文,而僵尸节点能够将其解析为命令。

这种方案易于实现且难以被防御者检测到,因为命令转发流量中混合了正常的查询检索流量。

1.3P2P僵尸网络生命周期大体上来说,P2P僵尸网络的生命周期可以分为三个阶段[1]:感染阶段、组网与二次感染阶段和接收及命令控制阶段。

(1) 感染阶段也称为初次感染阶段。

攻击者会利用网络中易感计算机的系统漏洞,使用蠕虫、木马等恶意代码技术,通过电子邮件、网站恶意脚本、移动载体等传播媒介来传播和感染恶意僵尸程序。

(2) 组网与二次感染阶段在这个阶段,新感染的主机通过随机扫描等手段试图连接僵尸程序列表中的其他节点,并根据反馈的信息更新自身信息,从而成为一台真正的P2P僵尸主机,进入第三个阶段。

(3) 接收及命令控制阶段完成组网和二次感染的僵尸主机在这个阶段的主要任务就是接收和执行攻击任务。

大多数情况,僵尸网络发起的攻击都是简单地发送携带病毒的垃圾邮件。

当攻击成功后,僵尸网络的规模会随着新感染主机的加入而扩大。

有时候僵尸牧主也会发起比较敏感的攻击行为,比如窃取身份数据、用户密码和金融数据等。

1.4几个重要的P2P僵尸网络2002年第一个使用P2P协议的僵尸网络Slapper出现,这标志着基于P2P协议的僵尸网络正式登上舞台。

早期的Sinit和Nugache等是纯分布式P2P僵尸网络,每台僵尸主机对等连接,僵尸主机既是客户机也是服务器。

2004年Phatbot出现,它是典型的集中式P2P僵尸网络,在Phatbot中,新感染主机需要连接到Gnutella 网络的缓冲服务器取得僵尸节点列表,它基于WASTE协议构建,只支持小规模P2P网络,扩展性差,存在单点失效的问题。

2007年Storm僵尸网络的爆发,标志着P2P僵尸网络技术走向成熟,它是基于Kademlia协议的完全分布式僵尸网络。

开始它用来感染宿主的电子邮件都有一行与风暴相关的标题,之后常用一些当前热门新闻事件来伪装自己。

Storm僵尸网络寄生于合法的P2P网络中,具有很大的隐蔽性,这些优势使得受感染主机呈爆发式增长,2007年11月,Storm每小时都有多达23万台僵尸主机同时在线,成为规模最大、危害最大的僵尸网络。

1.5P2P僵尸网络的检测1.5.1基于主机的检测基于主机的检测主要是指在一个负责监控的主机内部安装传感器,用其监控和记录僵尸程序的可疑行为活动。

现阶段最常见的基于主机的检测方法主要是蜜罐和虚拟机技术,然而随着它们的大量应用,僵尸牧主很容易掌握这些技术,并进行反制。

该方法能够有效检测到活跃的P2P僵尸网络,但当僵尸网络停止活动时就不容易检测到,因此人们开始寻求更加有效的检测方法。

1.5.2基于网络的检测通过大量的研究实验发现,P2P僵尸网络节点需要频繁地交换节点信息,处理P2P网络扰动问题,那么这些节点的网络行为,比如报文大小、发送的频率必然会表现出相似性。

针对这些网络行为相似性,产生了一些优秀的检测方法。

Noh等人[3]提出了一种多阶段流模型的P2P僵尸网络检测方法。

该方法把研究的重点放在僵尸主机与大量的远端节点进行通信的特征上,认为按照某种规则分阶段的流具有相似但时间间隔不规律的特征,然后对相似的流进行分组并压缩,然后通过概率矩阵来构建分组流的转换模型,最后计算出bot的似然率。

Zhang等人[4][4]提出一种P2P流量指纹识别算法,用于建立各种P2P应用的统计概图,使用基于流量聚类分析的方法来识别运行P2P应用的主机,然后根据观察出来的P2P僵尸网络节点表现出来的一些相似性,比如同一个僵尸网络内的僵尸节点使用同样的P2P协议和网络、每两个僵尸节点联系的邻居节点集合之间的交集比较大等,将P2P僵尸主机与合法的P2P网络主机分离出来。

但是这种方法需要基于一个前提假设,即检测的目标网络内至少有2个以上的主机是同一个P2P僵尸网络上的节点,从而才能有效利用僵尸节点之间通信特征的相似性来达到检测的目的。

1.6P2P僵尸网络检测难点1.6.1传统检测技术失效传统的基于特征匹配技术在检测P2P僵尸网络时,几乎完全失效,主要因为:(1) 基于特征匹配技术几乎完全不可行;基于特征匹配技术在检测P2P僵尸网络时,几乎完全失效,主要因为两个原因:首先是僵尸网络特有的C&C机制,使得僵尸牧主可以很容易发布程序升级命令,频繁地修改僵尸程序的特征码;其次是当前的P2P僵尸程序几乎都使用了很严格的加密和认证机制,无法进行有效地特征匹配检测。

(2) 蜜网检测能力不足;P2P僵尸网络没有C&C服务器,使用蜜网采集到的信息利用价值不大,而且蜜网检测点容易遭受僵尸牧主的DDos攻击,从而无法工作。

相关文档
最新文档