僵尸網(wǎng)絡(luò)檢測及防御技術(shù)研究

摘要：近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊事件層出不窮，而僵尸網(wǎng)絡(luò)攻擊以其強(qiáng)大的破壞性占據(jù)了目前網(wǎng)絡(luò)攻擊手段的領(lǐng)軍位置，成為了目前計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的最大的安全威脅之一。本文闡述了僵尸網(wǎng)絡(luò)及其網(wǎng)絡(luò)行為過程和發(fā)展趨勢，對傳統(tǒng)的IRC僵尸網(wǎng)絡(luò)和新型的P2P僵尸網(wǎng)絡(luò)的特點(diǎn)、檢測方法和防御策略進(jìn)行了研究與分析。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；檢測方法；防御策略

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 引言

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，針對互聯(lián)網(wǎng)的攻擊手段也越來越多，近年來，互聯(lián)網(wǎng)出現(xiàn)了一種新的攻擊方式，我們將這種攻擊方式統(tǒng)稱為僵尸網(wǎng)絡(luò)攻擊。賽門鐵克公司2004年報(bào)告顯示，在2004年上半年每天監(jiān)測到的感染僵尸程序的計(jì)算機(jī)數(shù)量從2000臺上升至30000多臺；CipherTrust公司2005年數(shù)據(jù)顯示，每天大約有16萬左右的新僵尸程序出現(xiàn)；2010年，我國共有3萬5千多家網(wǎng)站被黑客纂改，國家互聯(lián)網(wǎng)應(yīng)急中心檢測發(fā)現(xiàn)48萬多個(gè)木馬控制端IP；共發(fā)現(xiàn)13000多僵尸網(wǎng)絡(luò)控制端IP。種種數(shù)據(jù)顯示僵尸程序的數(shù)量、僵尸網(wǎng)絡(luò)的規(guī)模和危害程度呈逐年上升的趨勢，僵尸網(wǎng)絡(luò)已成為目前互聯(lián)網(wǎng)最為嚴(yán)重的安全威脅之一。面對僵尸網(wǎng)絡(luò)的威脅，如何制定針對性的防御及反制策略已成為人們研究的重點(diǎn)。

2 僵尸網(wǎng)絡(luò)的特點(diǎn)、結(jié)構(gòu)

僵尸網(wǎng)絡(luò)是指被BOT程序感染的一群計(jì)算機(jī)，這群被植入惡意控制功能程序的計(jì)算機(jī)被通稱為僵尸計(jì)算機(jī)。通過信道控制（CC）和命令的這群僵尸計(jì)算機(jī)組成的網(wǎng)絡(luò)稱為僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的結(jié)構(gòu)主要可以分為基于P2P協(xié)議的分布式結(jié)構(gòu)和基于IRC協(xié)議或者HTTP協(xié)議的集中式結(jié)構(gòu)兩種。僵尸網(wǎng)絡(luò)具有分布廣泛、具有感染性和集中控制等特點(diǎn)，最主要的特點(diǎn)是可以一對多執(zhí)行相同的惡意行為。正是由于具有一對多控制關(guān)系，使得可以用非常低的代價(jià)高效的控制海量的資源為攻擊者服務(wù)，使得僵尸網(wǎng)絡(luò)攻擊模式受到廣大黑客們的青睞。通常被黑客們用做大規(guī)模的網(wǎng)絡(luò)攻擊，如發(fā)送大量垃圾郵件或者進(jìn)行DDOS（分布式拒絕服務(wù)攻擊）、網(wǎng)絡(luò)釣魚、竊取私密信息等。和木馬病毒、蠕蟲等不受攻擊者控制的安全威脅不同，僵尸網(wǎng)絡(luò)可以提供一個(gè)極度受控制的平臺，攻擊者可以通過這個(gè)平臺有目的的進(jìn)行攻擊。由于僵尸網(wǎng)絡(luò)的高度受控性，各種僵尸程序的數(shù)量呈連續(xù)增長趨勢，僵尸網(wǎng)絡(luò)攻擊活動也越來越頻繁。。

僵尸網(wǎng)絡(luò)是攻擊者通過僵尸程序控制大量計(jì)算機(jī)，并通過一定的控制命令信道所組成的網(wǎng)絡(luò)。目前僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要有星型、多服務(wù)器、分層和網(wǎng)狀結(jié)構(gòu)。這幾種結(jié)構(gòu)相對來說星型結(jié)構(gòu)攻擊效率高易摧毀；多服務(wù)器結(jié)構(gòu)前期構(gòu)建時(shí)間長抗毀性比星型強(qiáng)；分層結(jié)構(gòu)抗毀性比多服務(wù)器強(qiáng)攻擊效率低、網(wǎng)狀結(jié)構(gòu)具有最高的抗毀性但是規(guī)模容易被發(fā)現(xiàn)控制指令信息傳輸時(shí)延大。

3 僵尸網(wǎng)絡(luò)的檢測方法

近年來，通過對Koobface、Zeus、Mega-D、Waledac等一系列新型僵尸網(wǎng)絡(luò)的研究發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)的活動主要分為感染、控制命令、發(fā)起攻擊3個(gè)階段。僵尸網(wǎng)絡(luò)主要是通過遠(yuǎn)程漏洞攻擊、弱口令掃描入侵、郵件附件、惡意文檔、文件共享等方式植入僵尸程序感染計(jì)算機(jī)的。以前的基于IRC協(xié)議集中式結(jié)果的僵尸網(wǎng)絡(luò)主要是以主動掃描和遠(yuǎn)程漏洞攻擊感染計(jì)算機(jī)，這種類蠕蟲方式攻擊的主要缺點(diǎn)是不夠隱蔽，容易被檢測到。近年來，僵尸網(wǎng)絡(luò)的攻擊感染方式逐漸以隱蔽的網(wǎng)頁掛馬為主。針對僵尸網(wǎng)絡(luò)的攻擊特點(diǎn)，現(xiàn)今僵尸網(wǎng)絡(luò)檢測大體上可以分為流量分析檢測、蜜罐技術(shù)監(jiān)控、增值網(wǎng)絡(luò)攻擊檢測這三種方法。

3.1 流量分析檢測

由于僵尸網(wǎng)絡(luò)攻擊時(shí)會出現(xiàn)海量僵尸程序在收發(fā)控制命令和攻擊時(shí)會表現(xiàn)出同一時(shí)間窗內(nèi)進(jìn)行內(nèi)容相似的通信，網(wǎng)絡(luò)流量分析一般與網(wǎng)絡(luò)安全事件檢測聯(lián)合來篩選可疑流并對流進(jìn)行聚類分析。流量分析具體可以分為：基于特征簽名、基于異常、基于DNS等方式?；谔卣骱灻牧髁糠治鍪抢媒┦绦虻奶卣骱灻托袨樘攸c(diǎn)來檢測網(wǎng)絡(luò)中是否存在僵尸網(wǎng)絡(luò)，當(dāng)出現(xiàn)新的未被發(fā)現(xiàn)過的僵尸網(wǎng)絡(luò)此方法就會失效；基于異常的流量分析主要是根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)時(shí)延、異常端口活動及異常系統(tǒng)活動等來檢測僵尸網(wǎng)絡(luò)，如果僵尸網(wǎng)絡(luò)處于未活動期間此方法就會失效；基于DNS的流量分析的原理是因?yàn)榻┦绦蚴峭ㄟ^發(fā)出DNS查詢和命令和信道控制服務(wù)器連接的，所以如果監(jiān)控到DNS流量出現(xiàn)異常的情況就可以發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的蹤跡，不過僵尸網(wǎng)絡(luò)通常也可以發(fā)出虛假的DNS查詢來欺騙此檢測方式。

3.2 蜜罐技術(shù)監(jiān)控

蜜罐技術(shù)主要是通過撒誘餌的方式誤導(dǎo)僵尸網(wǎng)絡(luò)攻擊一些事先布置好的計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)點(diǎn)以及信息來達(dá)到減輕實(shí)際系統(tǒng)被攻擊強(qiáng)度。隨著僵尸網(wǎng)絡(luò)的攻擊方式和感染手段的多樣化，蜜罐的思想技術(shù)也隨之得到了很大的發(fā)展，現(xiàn)如今蜜罐技術(shù)已經(jīng)擴(kuò)展成為通過多個(gè)蜜罐、多種工具組成的一個(gè)具有高度可控性的誘捕黑客的蜜網(wǎng)。最早的蜜網(wǎng)主要是用來監(jiān)測集中式結(jié)構(gòu)的僵尸網(wǎng)絡(luò)，現(xiàn)如今蜜網(wǎng)也能有效監(jiān)測分布式結(jié)構(gòu)的僵尸網(wǎng)絡(luò)。

3.3 增值網(wǎng)絡(luò)攻擊檢測

通過仔細(xì)分析，我們發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的主要用途在于發(fā)起增值網(wǎng)絡(luò)攻擊，2009年賽門鐵克的年度安全報(bào)告顯示，85%左右的垃圾郵件源自僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)發(fā)出的郵件一般具有內(nèi)容相似、同IP短時(shí)間內(nèi)注冊大量賬號等特點(diǎn)。通過檢測垃圾郵件、定位垃圾郵件源頭可以發(fā)現(xiàn)僵尸程序，這也是目前所常用的辦法。

4 僵尸網(wǎng)絡(luò)的防御策略

由于僵尸網(wǎng)絡(luò)的巨大危害性，如何防御僵尸網(wǎng)絡(luò)攻擊，如何降低僵尸網(wǎng)絡(luò)的危害成為大家研究的重點(diǎn)。通過對僵尸網(wǎng)絡(luò)的形成機(jī)理分析，我們可以通過幾個(gè)層面來防御僵尸網(wǎng)絡(luò)攻擊：

4.1 網(wǎng)絡(luò)層面

僵尸網(wǎng)絡(luò)通信的實(shí)現(xiàn)必須通過各個(gè)網(wǎng)絡(luò)端口，我們可以將大與1024號的所有端口設(shè)置為禁止程序進(jìn)入，就算偶爾有特殊程序要用到某個(gè)端口，我們也可以在某個(gè)時(shí)間點(diǎn)暫時(shí)性的打開此端口的控制。通過端口控制來防御僵尸網(wǎng)絡(luò)攻擊。

4.2 計(jì)算機(jī)層面

增加安全意識，選擇適合自己網(wǎng)絡(luò)的殺毒軟件和防火墻、定期安裝軟件和系統(tǒng)補(bǔ)丁、修復(fù)系統(tǒng)和軟件漏洞、不隨意打開陌生電子郵件和網(wǎng)絡(luò)文件、關(guān)閉共享功能。

5 結(jié)束語

目前僵尸網(wǎng)絡(luò)的檢測或防御系統(tǒng)對是以針對集中式結(jié)構(gòu)的僵尸網(wǎng)絡(luò)為主，新型的分布式結(jié)構(gòu)的僵尸網(wǎng)絡(luò)的檢測和防御手段還比較缺乏。如何有效檢測和防御新型分布式結(jié)構(gòu)的僵尸網(wǎng)絡(luò)將成為未來一個(gè)重要的研究課題。

參考文獻(xiàn)：

[1] OWASP. The Ten Most Critical Web Application Security Risks[EB/OL].（2010-10-14）[2010-1022].http：//www.owasp. org/index.php/ Top_10_2010.

[2]沈利香.僵尸網(wǎng)絡(luò)傳播模式分析和防治對策[J].常州工學(xué)院學(xué)報(bào)，2008，（06）.

[3]安德智.僵尸網(wǎng)絡(luò)的攻擊原理及其對策[J].計(jì)算機(jī)安全，2007，（05）.

[4] Dean T， Marc F， Eric J， et al. Symantec global Internet security threat report： Trends for July-December 07（Volume ⅩⅢ ）[R]. Cupertino， CA， USA： Symantec Inc.， 2008.

[5]王威，方濱興，崔翔.基于終端行為特征的IRC僵尸網(wǎng)絡(luò)檢測[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（10）.

[作者簡介]鄧嬋（1986.02-），女，漢族，籍貫湖南，長沙師范學(xué)校，工程師，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)、教育技術(shù)。