僵尸網(wǎng)絡(luò)發(fā)展研究

李 可 方濱興 崔 翔,3 劉奇旭

1(北京郵電大學(xué) 北京 100876)2(中國科學(xué)院信息工程研究所 北京 100097)3(中國科學(xué)院大學(xué) 北京 101408)4(東莞電子科技大學(xué)電子信息工程研究院 廣東東莞 523808) (like_bupt@foxmail.com)

?

僵尸網(wǎng)絡(luò)發(fā)展研究

李 可1,2方濱興1,4崔 翔1,2,3劉奇旭2,3

1(北京郵電大學(xué) 北京 100876)2(中國科學(xué)院信息工程研究所 北京 100097)3(中國科學(xué)院大學(xué) 北京 101408)4(東莞電子科技大學(xué)電子信息工程研究院 廣東東莞 523808) (like_bupt@foxmail.com)

僵尸網(wǎng)絡(luò)(botnet)作為最有效的網(wǎng)絡(luò)攻擊平臺，給當(dāng)今互聯(lián)網(wǎng)安全帶來了巨大威脅.雖然近幾年關(guān)于僵尸網(wǎng)絡(luò)的攻防技術(shù)研究取得了顯著進(jìn)展，然而，伴隨著互聯(lián)網(wǎng)應(yīng)用的多元化以及通信技術(shù)的不斷革新，僵尸網(wǎng)絡(luò)的形態(tài)和命令控制機(jī)制也在不斷發(fā)生變化，這給防御人員帶來了新的挑戰(zhàn).深入了解僵尸網(wǎng)絡(luò)運行機(jī)理和發(fā)展趨勢對有效應(yīng)對僵尸網(wǎng)絡(luò)引發(fā)的安全威脅具有重要意義.以僵尸網(wǎng)絡(luò)攻擊技術(shù)為核心，從形式化定義、傳播方式、生命周期、惡意行為、命令控制信道方面對僵尸網(wǎng)絡(luò)機(jī)理進(jìn)行全面介紹，按時間順序?qū)⒔┦W(wǎng)絡(luò)的發(fā)展歷程劃分為PC攻擊和廣泛攻擊2個階段，對各階段的技術(shù)特點、行為特性、代表案例以及演化規(guī)律進(jìn)行詳細(xì)闡述，總結(jié)當(dāng)今僵尸網(wǎng)絡(luò)防御方法和研究成果，對已有研究遺留的問題和未來可能研究熱點進(jìn)行討論.

僵尸網(wǎng)絡(luò)；命令控制信道；網(wǎng)絡(luò)對抗；增值網(wǎng)絡(luò)攻擊；綜述

僵尸網(wǎng)絡(luò)(botnet)被廣泛認(rèn)為是在傳統(tǒng)蠕蟲、木馬、后門工具的基礎(chǔ)上融合形成的復(fù)雜的網(wǎng)絡(luò)攻擊形式之一，是一種通過入侵網(wǎng)絡(luò)空間內(nèi)若干非合作用戶終端構(gòu)建的、可被攻擊者遠(yuǎn)程控制的通用計算平臺[1].其中，被入侵的用戶終端稱之為僵尸主機(jī)(bot)或者“肉雞”；攻擊者指對僵尸網(wǎng)絡(luò)具有實際操控權(quán)的控制者(botmaster).通過命令控制信道(command and control channel, C&C channel)，攻擊者可以一對多地操控僵尸主機(jī)發(fā)起惡意軟件分發(fā)、垃圾郵件、DDoS、釣魚攻擊、用戶身份竊取、點擊欺詐、虛擬貨幣挖掘、加密勒索[2]等攻擊活動.

出于利益目的，攻擊者以僵尸網(wǎng)絡(luò)為攻擊發(fā)起平臺，通過網(wǎng)絡(luò)犯罪牟利，嚴(yán)重侵害互聯(lián)網(wǎng)用戶的隱私和財產(chǎn)安全.圍繞其危害性，國內(nèi)外媒體出現(xiàn)過大量相關(guān)報道.2011年出現(xiàn)的ZeuS GameOver僵尸網(wǎng)絡(luò)在全球范圍內(nèi)累計感染了約100萬臺主機(jī)，通過竊取用戶銀行賬戶信息和加密勒索方式，非法牟利超過1億美元[3].賽門鐵克發(fā)布的年度互聯(lián)網(wǎng)安全威脅報告[4]指出2013年全球每天產(chǎn)生約290億封垃圾郵件，其中有76%來源于僵尸網(wǎng)絡(luò).2015年一季度卡巴斯基在全球范圍內(nèi)共監(jiān)測23 095起由僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊，其中中國遭受了8 553起DDoS攻擊，在76個受攻擊國家中排名第一[5].根據(jù)CNCERT發(fā)布的2016年3月互聯(lián)網(wǎng)安全威脅報告顯示，我國木馬或僵尸程序控制的主機(jī)IP數(shù)達(dá)到196萬，環(huán)比上漲44.9%.賽門鐵克2016年5月發(fā)表的安全威脅報告顯示[6]，2015年我國僵尸主機(jī)數(shù)量占到全球總量46.1%，利用肉雞發(fā)起的惡意活動同比上升84%.

2002年出現(xiàn)的Agobot引發(fā)了人們對于僵尸網(wǎng)絡(luò)的關(guān)注，在此之后僵尸網(wǎng)絡(luò)成了安全領(lǐng)域研究人員探討的熱點話題.國際學(xué)術(shù)組織舉辦專門的研討會議對此問題進(jìn)行探討：ACM協(xié)會從2003年開始舉辦的WORM會議(Workshop on Rapid Malcode)以僵尸網(wǎng)絡(luò)為重要議題；USENIX協(xié)會從2007年開始舉辦了僵尸網(wǎng)絡(luò)專題研討會HotBots(Workshop on Hot Topics in Understanding Botnets)；2008年，WORM與HotBots合并為LEET(Workshop on Lager-scale Exploits and Emergent Threats)，專門探討僵尸網(wǎng)絡(luò)、間諜軟件和蠕蟲.國際僵尸網(wǎng)絡(luò)對抗聯(lián)盟AILB-IBFA從2013年12月起舉辦專題研討會議BotConf，圍繞最新僵尸網(wǎng)絡(luò)發(fā)展態(tài)勢和防御研究成果展開討論.近幾年IEEE S&P，CCS，NDSS，Usenix Security等國際頂級安全會議上也相繼發(fā)表了有關(guān)論文[7-11]，為僵尸網(wǎng)絡(luò)研究提供了新思路.

僵尸網(wǎng)絡(luò)作為一種高級形態(tài)的惡意代碼，具有影響范圍廣、破壞性強、控制機(jī)制復(fù)雜、靈活多變的特性，給傳統(tǒng)的安全防御方法帶來了巨大的挑戰(zhàn)，研究人員需對其演化過程以及發(fā)展趨勢進(jìn)行全面了解.近幾年，伴隨著攻防博弈的不斷升級、互聯(lián)網(wǎng)新興技術(shù)的普及，僵尸網(wǎng)絡(luò)在形態(tài)、命令控制機(jī)制、惡意行為方面發(fā)生了重大變化，而國內(nèi)外尚缺少僵尸網(wǎng)絡(luò)演化的系統(tǒng)性介紹.因此，深入理解僵尸網(wǎng)絡(luò)工作原理和關(guān)鍵技術(shù)、總結(jié)當(dāng)前僵尸網(wǎng)絡(luò)新特性和演化規(guī)律對于開展僵尸網(wǎng)絡(luò)防御工作具有重要意義.

基于上述事實，本文主要以僵尸網(wǎng)絡(luò)近幾年的發(fā)展趨勢和攻防技術(shù)演化為核心內(nèi)容，從僵尸網(wǎng)絡(luò)的定義、命令控制、傳播途徑、惡意行為和生命周期5個方面對僵尸網(wǎng)絡(luò)工作機(jī)制進(jìn)行闡述；深入探討僵尸網(wǎng)絡(luò)的PC攻擊階段和廣泛攻擊2個發(fā)展階段的演化過程和階段特性；同時從防御角度出發(fā)，對主流僵尸網(wǎng)絡(luò)防御方法進(jìn)行總結(jié)歸納.

1 僵尸網(wǎng)絡(luò)機(jī)理特性

僵尸網(wǎng)絡(luò)在具備傳統(tǒng)惡意代碼部分特性的同時又有其獨有特點，充分理解其機(jī)理特性是深入開展相關(guān)研究的重要前提.國內(nèi)外相關(guān)綜述類文獻(xiàn)對該部分內(nèi)容有過介紹[1,12-14]，本文從僵尸網(wǎng)絡(luò)的定義和范疇界定出發(fā)，關(guān)注其本質(zhì)和工作機(jī)理，圍繞僵尸網(wǎng)絡(luò)傳播、惡意行為、生命周期以及命令控制信道展開描述.

1.1 僵尸網(wǎng)絡(luò)定義

1.1.1 僵尸網(wǎng)絡(luò)形式化定義

定義1. 僵尸網(wǎng)絡(luò).僵尸網(wǎng)絡(luò)由四元組所構(gòu)成，反映可被攻擊者通過命令控制信道進(jìn)行遠(yuǎn)程控制使之進(jìn)入特定狀態(tài)的計算機(jī)群.記為Botnet=(Zombie,Botmaster,CMD,CCC)：

1)Zombie.攻擊者通過入侵手段獲取的僵尸主機(jī)集合，記為Zombie=(BOT,S,Activity).其中,BOT表示運行在受控僵尸主機(jī)上的僵尸程序集合，記為BOT={bot1,bot2,…,botn}，n反映了該僵尸網(wǎng)絡(luò)的規(guī)模；S代表僵尸程序狀態(tài)集合；Activity代表僵尸程序接受指令后執(zhí)行的動作集合.

為了實現(xiàn)攻擊能力和利益最大化，攻擊者對感染的僵尸主機(jī)環(huán)境和性能有一定要求[15]，可歸納為5個方面：

① 可用性.指僵尸主機(jī)長時間在線、可通過命令控制信道正確接受攻擊指令或進(jìn)行信息回傳的能力，這是僵尸主機(jī)最基本的能力要求.

② 生存性.指僵尸程序在受害主機(jī)環(huán)境中的存活能力，不同終端類型僵尸網(wǎng)絡(luò)所面臨的生存挑戰(zhàn)存在差異.例如，在PC僵尸網(wǎng)絡(luò)中，僵尸主機(jī)的生存威脅主要來自殺毒軟件和防火墻等防護(hù)措施；而對于移動僵尸網(wǎng)絡(luò)，其生存性還需要考慮資費和電量消耗的問題[16].

③ 計算性能.指僵尸主機(jī)的CPU或者GPU的運算能力，該屬性可幫助攻擊者實現(xiàn)復(fù)雜的數(shù)據(jù)處理.例如攻擊者可以利用高運算能力的僵尸主機(jī)進(jìn)行比特幣挖掘[17].

④ 網(wǎng)絡(luò)資源.包含IP地址、地理位置、帶寬、域名等資源.大量覆蓋全球范圍的僵尸主機(jī)資源可克服時區(qū)和局部網(wǎng)絡(luò)訪問限制，為攻擊者提供長期穩(wěn)定的業(yè)務(wù)能力.

⑤ 內(nèi)容資源.指僵尸主機(jī)所包含的有價值信息，一般包含郵箱賬戶、銀行賬戶、聯(lián)系人等個人隱私信息，攻擊者獲取這些信息后可發(fā)起惡意推廣、金融賬戶竊取、電話詐騙等攻擊.

2)Botmaster.指僵尸網(wǎng)絡(luò)控制者，通過命令控制信道操縱僵尸主機(jī)群執(zhí)行惡意活動.

3)CMD.是僵尸程序可執(zhí)行的控制命令集合.記為CMD={cmd1,cmd2,…,cmdn}，常見的命令可分為更新和攻擊兩大類.

4)CCC.是僵尸網(wǎng)絡(luò)命令控制信道，該部分是整個僵尸網(wǎng)絡(luò)實現(xiàn)的基礎(chǔ)與核心，進(jìn)一步可用形式化定義為CCC=(TOPOLOGY,PROTOCOL,RESOURCE,METHOD)

①TOPOLOGY，僵尸網(wǎng)絡(luò)命令控制信道拓?fù)浣Y(jié)構(gòu).

②PROTOCOL，僵尸網(wǎng)絡(luò)信道協(xié)議集合，包含IRC,HTTP,Kademilia,Domian-Flux,Fast-Flux,Tor,SMS等.

③RESOURCE，控制者使用的軟件和服務(wù)資源集合，包括域名、密鑰、代理節(jié)點、跳板網(wǎng)絡(luò)、公共服務(wù)、P2P網(wǎng)絡(luò)節(jié)點等.

④METHOD，命令控制過程中涉及的關(guān)鍵算(方)法，涵蓋C&C服務(wù)器尋址方法、認(rèn)證機(jī)制、加密和編碼算法3部分.

1.1.2 僵尸網(wǎng)絡(luò)范疇界定

僵尸網(wǎng)絡(luò)作為一種由惡意代碼演化的命令驅(qū)動型攻擊平臺，通常被反病毒廠商歸為蠕蟲、后門、間諜軟件以及木馬的范疇，未能給出準(zhǔn)確的定義和區(qū)別.如圖1和表1所示，1)僵尸網(wǎng)絡(luò)包含的僵尸程序?qū)儆趷阂獯a范疇，具備惡意軟件的部分特征；2)僵尸網(wǎng)絡(luò)包含特有的一對多命令控制信道，這也是僵尸網(wǎng)絡(luò)與傳統(tǒng)惡意代碼的最大區(qū)別[18].

Fig. 1 Relationship between the Botnet and malwares.圖1 僵尸網(wǎng)絡(luò)與傳統(tǒng)惡意代碼關(guān)系

CategoryIndependenceSpreadControllabilityInformationStealCollaborativeBotnetYesOptionalYesOptionalYesVirusNoPassiveNoNoNoWormYesActiveNoNoNoTrojanYesGenerallynotYesYesNoSpywareYesGenerallynotNoYesNo

① 病毒(Virus)是通過感染計算機(jī)程序進(jìn)行傳播的惡意代碼，必須具備感染性，且自身是一段代碼而非獨立程序，不可作為進(jìn)程獨立運行，而僵尸程序可以(且多數(shù))不具備感染文件的能力.

② 蠕蟲(Worm)是一種可自我復(fù)制的惡意代碼，必須具備自動傳播能力，而僵尸程序可以不具備自傳播能力，其傳播可通過社會工程學(xué)的方法實現(xiàn).

③ 間諜軟件(Spyware)是在未經(jīng)用戶明確授權(quán)的情況下竊取用戶信息的惡意代碼.因此，間諜軟件必須具備竊密功能，而僵尸網(wǎng)絡(luò)竊密功能是可選的.

④ 木馬(Trojan)是與僵尸程序最接近的惡意代碼，兩者的關(guān)系一直具有爭議性，本文認(rèn)為二者具有3方面的差異：Ⅰ 控制方式的差異.木馬控制者在使用木馬時，一定要在線；而僵尸網(wǎng)絡(luò)控制者在使用僵尸網(wǎng)絡(luò)過程中，可以離線.Ⅱ 協(xié)同性差異.木馬之間一般不強調(diào)協(xié)同工作，而僵尸網(wǎng)絡(luò)則經(jīng)常需要協(xié)同完成任務(wù)，比如命令中繼、DDoS攻擊等.Ⅲ 功能差異.當(dāng)前主流的木馬通常具有屏幕監(jiān)控、攝像頭監(jiān)測、文件管理等功能，而僵尸程序一般不具備這些功能.

1.2 僵尸網(wǎng)絡(luò)傳播機(jī)制

僵尸網(wǎng)絡(luò)的構(gòu)建依賴入侵脆弱主機(jī)并植入僵尸程序，該過程通常稱為僵尸程序傳播，或者稱為僵尸網(wǎng)絡(luò)招募.早期僵尸程序的傳播以遠(yuǎn)程漏洞攻擊、弱口令掃描入侵、文件共享和U盤傳播方式為主.

近年來，隨著防御機(jī)制的不斷完善，原有傳播方法難以達(dá)到理想效果.攻擊者開始采用郵件附件、網(wǎng)頁掛馬(drive-by-download)、應(yīng)用軟件捆綁、付費安裝(pay-per-install)、中間人攻擊(man-in-the-middle)等隱蔽的方式進(jìn)行傳播.例如，ZeroAccess[19]通過偽裝成殺毒軟件和序列號生成器誘騙用戶安裝；Koobface[20]利用受害者社交網(wǎng)站賬號向其好友推送視頻鏈接，誘騙用戶安裝惡意插件實現(xiàn)感染.

1.3 僵尸網(wǎng)絡(luò)惡意行為

Grizzard等人[21]曾按照過程將惡意行為劃分為信息散布(information dispersion)、信息收集(information harvesting)、信息處理(information processing)三個方面.如圖2所示:

Fig. 2 Malicious behavior classification of botnets.圖2 僵尸網(wǎng)絡(luò)惡意行為分類

從攻擊作用點的角度將惡意行為歸納為2類：

1) 外部攻擊.攻擊者利用肉雞帶寬、CPU、IP等資源對外發(fā)動的網(wǎng)絡(luò)攻擊，攻擊目標(biāo)主要為互聯(lián)網(wǎng)中其他用戶和機(jī)構(gòu).DDoS、釣魚攻擊、垃圾郵件、點擊欺詐、掃描等行為均屬于該類.

2) 內(nèi)部攻擊.此類型攻擊沒有直接的外部攻擊對象，其最大的受害者就是肉雞本身，攻擊者通過利用和挖掘肉雞自身資源來牟利.常見的形式包括信息竊取、虛擬貨幣挖掘、加密勒索等.

除了上述方法外，一方面，攻擊者可通過租賃服務(wù)(botnet-as-a-service)的方式牟利，根據(jù)趨勢科技發(fā)布的中國地下網(wǎng)絡(luò)犯罪調(diào)查報告顯示[22]，2014—2015年期間，每100臺Windows 2003或2008系統(tǒng)的僵尸主機(jī)租賃價格約為24美元；另一方面，攻擊者正在地下市場中出售ZeuS和Spyeye[23]等僵尸網(wǎng)絡(luò)的攻擊套件(crimeware rootkit)，購買者可利用這些套件生成定制化的僵尸程序來感染更多脆弱主機(jī)，造成更為廣泛的危害.

1.4 僵尸網(wǎng)絡(luò)生命周期

已知研究將僵尸網(wǎng)絡(luò)的生命周期定義為“從脆弱主機(jī)感染到成為活躍態(tài)的僵尸主機(jī)”[14]，本文描述僵尸主機(jī)從傳播到消亡過程的狀態(tài)遷移，將典型的僵尸網(wǎng)絡(luò)生命周期劃分為“傳播態(tài)”(spreading)、“工作態(tài)”(working)、“閑置態(tài)”(idle)、“離線態(tài)”(offline)、“隔離態(tài)”(block)和“消亡態(tài)”(dead)六個狀態(tài)，狀態(tài)的遷移變化如圖3所示.

1) 新感染并運行的僵尸程序處于閑置態(tài)，此時僵尸程序試圖獲取控制命令；

2) 當(dāng)獲得傳播命令(或默認(rèn)自動傳播)時，僵尸程序進(jìn)入傳播態(tài)，通過僵尸程序的傳播，僵尸網(wǎng)絡(luò)規(guī)模得到擴(kuò)大；當(dāng)獲得其他命令時，僵尸程序進(jìn)入工作態(tài)，執(zhí)行命令完畢后轉(zhuǎn)回到閑置態(tài)；

3) 當(dāng)僵尸程序所在計算機(jī)或網(wǎng)絡(luò)不可用時(如關(guān)機(jī)、休眠、斷網(wǎng)等外力操作)，僵尸程序轉(zhuǎn)為離線態(tài)，離線態(tài)僵尸程序在有限時間內(nèi)會恢復(fù)運行，并進(jìn)入上述某種狀態(tài)；

4) 當(dāng)僵尸程序被外力隔離使之無法獲取控制命令，則處于隔離態(tài)，隔離態(tài)僵尸程序無法正常工作.當(dāng)外力撤銷后，會轉(zhuǎn)為傳播、工作或閑置狀態(tài)之一；

5) 僵尸程序被清除時，僵尸網(wǎng)絡(luò)規(guī)?？s小，最終會進(jìn)入消亡態(tài).

Fig. 3 Status of botnet life-cycle.圖3 僵尸網(wǎng)絡(luò)生命周期示意圖

1.5 僵尸網(wǎng)絡(luò)命令控制信道

僵尸網(wǎng)絡(luò)的本質(zhì)特性是“可控性”和“協(xié)同性”[24]，二者實現(xiàn)的關(guān)鍵點在于控制者與肉雞之間的信息傳遞和交互，即命令控制信道的實現(xiàn).命令控制信道決定了僵尸網(wǎng)絡(luò)的效率和健壯性.一旦其失效，僵尸網(wǎng)絡(luò)將會癱瘓并降級為離散孤立的、脫離控制源的感染節(jié)點集合，威脅性將大大降低.

命令控制信道是攻防雙方主控權(quán)爭奪的關(guān)鍵點.Waledac,MegaD,Mariposa,Zeus Gameover等名聲顯赫的僵尸網(wǎng)絡(luò)受到了來自執(zhí)法部門、CERT組織、域名提供商、研究機(jī)構(gòu)的聯(lián)合反制，致使攻擊者失去了控制權(quán)，僵尸網(wǎng)絡(luò)被關(guān)閉.對于安全研究人員而言，掌握僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和協(xié)議特征是開展僵尸網(wǎng)絡(luò)防御工作的基本前提.

1.5.1 拓?fù)浣Y(jié)構(gòu)分類

拓?fù)浣Y(jié)構(gòu)是命令控制信道的基礎(chǔ)屬性之一，它與僵尸網(wǎng)絡(luò)的層次劃分和通信機(jī)制有直接關(guān)聯(lián)[25-27].歸納起來，僵尸網(wǎng)絡(luò)按拓?fù)浣Y(jié)構(gòu)可劃分為純中心結(jié)構(gòu)、純P2P結(jié)構(gòu)以及混合結(jié)構(gòu)三大類.

1.5.1.1 純中心結(jié)構(gòu)

Fig. 4 Pure centralized structure botnets.圖4 純中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)

“靜態(tài)”指的是C&C服務(wù)器的域名或IP地址是固定的，通常硬編碼在僵尸程序體內(nèi)；“動態(tài)”指的是服務(wù)器地址并非固定不變，而是需要根據(jù)特定算法動態(tài)生成[28]，該算法事先硬編碼在僵尸程序體內(nèi)，算法的輸入是公開可獲得的可變內(nèi)容，比如當(dāng)前日期、社交網(wǎng)站熱點話題等[29].常見的純中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)包括IRC僵尸網(wǎng)絡(luò)、HTTP僵尸網(wǎng)絡(luò)、Fast-Flux僵尸網(wǎng)絡(luò)以及Domain-Flux僵尸網(wǎng)絡(luò).

1.5.1.2 純P2P結(jié)構(gòu)

純中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)雖具備實現(xiàn)簡單、高效、協(xié)同性好優(yōu)勢，但其控制流程存在中心節(jié)點失效問題(single point of failure)，一旦防御人員關(guān)閉中心命令控制服務(wù)器，僵尸主機(jī)將無法繼續(xù)獲取命令，攻擊者也將失去對僵尸主機(jī)的控制權(quán).為了提升僵尸網(wǎng)絡(luò)的健壯性、對抗防御人員的關(guān)停，攻擊者使用非中心結(jié)構(gòu)的P2P(peer-to-peer)模式作為其信道拓?fù)浣Y(jié)構(gòu)，如圖5所示，網(wǎng)絡(luò)中每個僵尸主機(jī)既充當(dāng)客戶端又充當(dāng)服務(wù)端，通信過程不依賴公網(wǎng)可達(dá)服務(wù)器資源.雖然P2P僵尸網(wǎng)絡(luò)命令下發(fā)延遲高于中心結(jié)構(gòu)[21]，但不依賴脆弱中心節(jié)點[30]的特性使其難以被劫持、測量和關(guān)閉.

Fig. 5 Pure P2P structure botnets.圖5 純P2P結(jié)構(gòu)僵尸網(wǎng)絡(luò)

1.5.1.3 混合結(jié)構(gòu)

混合結(jié)構(gòu)通常指僵尸網(wǎng)絡(luò)同時具有中心結(jié)構(gòu)和P2P結(jié)構(gòu)的部分特性，該類型可進(jìn)一步劃分為2個子類：

1) 整體中心結(jié)構(gòu).局部P2P結(jié)構(gòu).如圖6(a)所示，這種混合結(jié)構(gòu)從整體邏輯上看仍屬于CS模式的中心結(jié)構(gòu)，但服務(wù)節(jié)點之間呈現(xiàn)P2P結(jié)構(gòu).通常公網(wǎng)可達(dá)僵尸主機(jī)群構(gòu)成一個動態(tài)可擴(kuò)展的P2P網(wǎng)絡(luò)，形成了一個動態(tài)控制服務(wù)器池.該僵尸網(wǎng)絡(luò)中具有靜態(tài)IP、可被外網(wǎng)訪問的節(jié)點充當(dāng)servant bots，此類節(jié)點同時扮演服務(wù)端和客戶端角色，周期性訪問其他同類節(jié)點，對命令和插件資源進(jìn)行更新；另一類不具備公網(wǎng)可達(dá)屬性的節(jié)點稱為client bots，由于NAT或防火墻等原因，該類節(jié)點無法遠(yuǎn)程被其他節(jié)點主動訪問，只能向servant bots發(fā)起連接請求獲取命令.該結(jié)構(gòu)消除了中心節(jié)點失效問題，具有較好的可擴(kuò)展性.

2) 整體P2P結(jié)構(gòu).該結(jié)構(gòu)是局部中心結(jié)構(gòu).如圖6(b)所示，該結(jié)構(gòu)整體上呈現(xiàn)P2P結(jié)構(gòu)，在局部實現(xiàn)上呈現(xiàn)CS模式.其中一部分公網(wǎng)可達(dá)的僵尸主機(jī)充當(dāng)服務(wù)節(jié)點，彼此之間互相連通，同時每個節(jié)點獨立負(fù)責(zé)管理一定數(shù)量的非公網(wǎng)可達(dá)的僵尸主機(jī)，這種組網(wǎng)結(jié)構(gòu)有利于實現(xiàn)區(qū)域差異化管控，防御者難以探測僵尸網(wǎng)絡(luò)的所有關(guān)鍵節(jié)點和整體規(guī)模.

Fig. 6 Hybrid structure botnets.圖6 混合結(jié)構(gòu)僵尸網(wǎng)絡(luò)

1.5.2 命令控制協(xié)議分類

1.5.2.1 IRC僵尸網(wǎng)絡(luò)

基于IRC協(xié)議的僵尸網(wǎng)絡(luò)是僵尸網(wǎng)絡(luò)發(fā)展史上的經(jīng)典，該協(xié)議實現(xiàn)較為簡單，控制者可借助公共IRC聊天室實時下發(fā)命令，具備良好的效率.

IRC僵尸網(wǎng)絡(luò)命令控制實現(xiàn)過程如下：控制者通常在IRC服務(wù)器中創(chuàng)建一個聊天室，僵尸程序根據(jù)硬編碼的地址信息加入該聊天室，靜默等待控制者發(fā)布命令.命令的發(fā)布主要有2種途徑：1)TOPIC方式，僵尸主機(jī)登陸聊天室首先會接收到該頻道的公告信息，控制者可以將指令發(fā)布在公告中，該方式無需控制者實時在線；2)PRIVMSG方式，在聊天室中，控制者在線通過一對多或一對一的方式向僵尸主機(jī)發(fā)布指令，該方式最為常見.

1.5.2.2 HTTP僵尸網(wǎng)絡(luò)

HTTP協(xié)議具備良好的通用性，能夠穿透IDS和防火墻，作為C&C協(xié)議時其流量混雜在大量的正常請求中不易被發(fā)現(xiàn)，命令下發(fā)延遲低，同時支持對通信內(nèi)容的加密(HTTPS)，因此該協(xié)議成為了當(dāng)前主流的僵尸網(wǎng)絡(luò)信道協(xié)議之一.命令下發(fā)時，攻擊者事先將命令內(nèi)容發(fā)布在指定的Web網(wǎng)頁中，僵尸程序根據(jù)硬編碼的地址輪詢請求獲取.在實現(xiàn)信息回傳時，僵尸程序通過Post方式將本機(jī)信息(bot ID、MAC地址、操作系統(tǒng)等)或竊取的數(shù)據(jù)發(fā)送給控制者.

Fig. 7 Implementation of Fast-Flux botnets.圖7 Fast-Flux僵尸網(wǎng)絡(luò)實現(xiàn)原理

傳統(tǒng)HTTP僵尸網(wǎng)絡(luò)大多數(shù)采用靜態(tài)尋址方式，C&C通信易被防御人員識別和阻斷.基于該事實，攻擊者們開始嘗試使用動態(tài)訪問機(jī)制以增強信道的健壯性，代表性的改進(jìn)協(xié)議包括Fast-Flux[31]和Domain-Flux[29].

1) Fast-Flux僵尸網(wǎng)絡(luò)

Fast-Flux基于多個IP和單一域名之間映射關(guān)系的快速切換來實現(xiàn)，可以隱藏惡意資源和釣魚網(wǎng)站的真實IP.在僵尸網(wǎng)絡(luò)中，該協(xié)議被控制者用來隱藏C&C服務(wù)器的真實IP.如圖7所示，僵尸程序解析硬編碼的C&C域名時，權(quán)威DNS服務(wù)器返回的不是真正的C&C服務(wù)器(在Fast-Flux框架通常稱為mothership[32])IP地址，而是若干代理節(jié)點(稱之為Flux Bot)IP，這些代理節(jié)點通常為該僵尸網(wǎng)絡(luò)中的肉雞，它們以循環(huán)(round-robin)、快速更替的方式充當(dāng)C&C域名的解析地址.當(dāng)僵尸主機(jī)與C&C服務(wù)器通信時，F(xiàn)lux Bot將僵尸主機(jī)發(fā)來的請求透明轉(zhuǎn)發(fā)給mothership，同時將mothership響應(yīng)信息轉(zhuǎn)發(fā)給僵尸主機(jī).這樣，防御人員在追蹤僵尸網(wǎng)絡(luò)通信時，難以發(fā)現(xiàn)mothership真正的IP.

該方法使得C&C服務(wù)器具有大量可更換的IP資源，單純依靠屏蔽IP地址的防御手段將無法關(guān)閉該僵尸網(wǎng)絡(luò).然而，在Fast-Flux實現(xiàn)過程中，其DNS請求流量存在短TTL(time to live)、IP地理位置分布廣、IP地址跨多個自治系統(tǒng)等特征[33]，這些特征可被用來檢測和發(fā)現(xiàn)Fast-Flux僵尸網(wǎng)絡(luò)的通信行為[34].此外，防御人員依舊可以通過屏蔽域名的方法來阻斷僵尸網(wǎng)絡(luò)的C&C信道，因此，基于Fast-Flux的僵尸網(wǎng)絡(luò)雖然隱藏了攻擊者真實身份，但并未從根本上解決信道脆弱性問題.

2) Domain-Flux僵尸網(wǎng)絡(luò)

Domain-Flux協(xié)議的本質(zhì)是多域名到單個IP之間的動態(tài)映射.實現(xiàn)的核心是域名生成算法(domain generation algorithm， DGA)，僵尸程序和控制者共享同一套算法，通過相同的輸入(日期、話題等)分別計算得到大量相同的域名資源，理論上攻擊者只需要將域名資源中任意一個映射到C&C服務(wù)器IP即可保證所有僵尸主機(jī)正常獲取指令.由于域名資源數(shù)量多且動態(tài)變化，防御人員難以完全切斷其信道.Torpig,Kraken和Conficker僵尸網(wǎng)絡(luò)均采用了該協(xié)議進(jìn)行通信.

雖然Domain-Flux在一定程度上提高了命令控制信道的健壯性，但其尋址時間開銷較長，防御人員可根據(jù)大量生成的NXDomain報文和域名字符特征2個維度對該類型僵尸網(wǎng)絡(luò)進(jìn)行檢測.

1.5.2.3 P2P僵尸網(wǎng)絡(luò)

1) 結(jié)構(gòu)化P2P.該類僵尸網(wǎng)絡(luò)基于結(jié)構(gòu)化P2P協(xié)議實現(xiàn)，以2008年出現(xiàn)的Storm[35]為例，該僵尸網(wǎng)絡(luò)采用基于分布式Hash表(distributed hash table， DHT)的Overnet協(xié)議，在獲取命令時僵尸程序以日期和隨機(jī)數(shù)(0～31)作為輸入，通過算法生成32個不同Hash key，通過P2P網(wǎng)絡(luò)查詢這些Hash key值獲取控制者指令.該類型僵尸網(wǎng)絡(luò)的優(yōu)點在于信道的構(gòu)建實現(xiàn)較為便捷、協(xié)議穩(wěn)定可靠，通信流量混雜在合法P2P流量中難以被發(fā)現(xiàn).

2) 非結(jié)構(gòu)化P2P.僵尸主機(jī)間無結(jié)構(gòu)化進(jìn)行連接，連接方式包含2種：①泛洪方式，基于Random思想的Sinit僵尸網(wǎng)絡(luò)隨機(jī)生成IPV4地址并逐一對其進(jìn)行訪問驗證.這種協(xié)議采用純P2P結(jié)構(gòu)，不存在bootstrap階段且不依賴特定資源節(jié)點，十分健壯，然而缺點是節(jié)點的連接度很低[12]，尋址和通信效率較低，產(chǎn)生的大量掃描流量容易暴露自身；②交換方式，每個僵尸主機(jī)維護(hù)一份包含節(jié)點信息的peer list，定期隨機(jī)挑選其中的部分節(jié)點進(jìn)行通信，獲取攻擊者指令和更新節(jié)點信息，該方式使得僵尸網(wǎng)絡(luò)具有良好的可擴(kuò)展性，實現(xiàn)較為靈活.

基于P2P協(xié)議的僵尸網(wǎng)絡(luò)雖然在健壯性方面較HTTP和IRC僵尸網(wǎng)絡(luò)有所改善，但協(xié)議實現(xiàn)過程仍存在2個問題：

1) 命令認(rèn)證的不完備.由于純P2P僵尸網(wǎng)絡(luò)中每個節(jié)點均可充當(dāng)服務(wù)端，理論上任何人都可以將命令注入到該網(wǎng)絡(luò)中，這給P2P僵尸網(wǎng)絡(luò)的信息傳遞帶來了隱患.此外，基于索引模式的P2P協(xié)議未對索引記錄提供者身份進(jìn)行認(rèn)證，使得該類P2P僵尸網(wǎng)絡(luò)容易受到索引污染(index poisoning)[36]和Sybil攻擊[37-38]，命令傳遞存在被劫持和干擾的可能.

Fig. 8 Botnet cases in PC attacks stage.圖8 PC攻擊階段僵尸網(wǎng)絡(luò)案例

2) 初始化脆弱性.僵尸主機(jī)在初始化過程中需要尋找其他節(jié)點并加入該網(wǎng)絡(luò)，這個過程通常稱之為bootstrap，常見的bootstrap方法是僵尸程序訪問硬編碼的peer list或server cache中節(jié)點，請求加入到僵尸網(wǎng)絡(luò)中.由于該過程依賴這些靜態(tài)尋址資源，一旦失效，新感染的僵尸主機(jī)無法加入到網(wǎng)絡(luò)中接收攻擊者指令.所以，bootstrap階段被認(rèn)為是構(gòu)建P2P僵尸網(wǎng)絡(luò)的固有脆弱點之一.例如Nugache僵尸網(wǎng)絡(luò)在該階段依賴固定的22個種子主機(jī)地址[39]，因此普遍認(rèn)為其信道具有脆弱性.

2 僵尸網(wǎng)絡(luò)發(fā)展歷程

從第1個知名的僵尸網(wǎng)絡(luò)出現(xiàn)至今，僵尸網(wǎng)絡(luò)的發(fā)展歷經(jīng)了十余載，其形態(tài)和攻擊技術(shù)發(fā)生了巨大變化，按照時間順序可將該過程劃分為以個人電腦為感染對象的“PC攻擊”(PC attacks) 階段和以多類型終端為感染目標(biāo)的“廣泛攻擊”(extensive attacks) 階段.各階段在終端類型、控制機(jī)制、惡意行為等方面存在顯著差異.

2.1 PC攻擊階段

1998—2009年稱為僵尸網(wǎng)絡(luò)發(fā)展史上的“PC攻擊”階段.在該時期，僵尸網(wǎng)絡(luò)以感染W(wǎng)indows操作系統(tǒng)的PC設(shè)備為主，融合了蠕蟲傳播、rootkit隱藏、多態(tài)變形等多種惡意代碼技術(shù)[13]，在對抗中不斷對其信道協(xié)議和拓?fù)浣Y(jié)構(gòu)進(jìn)行改進(jìn)，最終發(fā)展成為功能多樣化、結(jié)構(gòu)復(fù)雜化的高級形態(tài).

僵尸網(wǎng)絡(luò)的起源最早可追溯到1993年，當(dāng)年出現(xiàn)的一款良性BOT工具Eggdrop[40]能夠幫助管理員實現(xiàn)簡單的IRC網(wǎng)絡(luò)管理.受到Eggdrop的啟發(fā)，黑客們開始借鑒其思想，嘗試編寫惡意的僵尸程序?qū)κ芎χ鳈C(jī)實施控制，支配其發(fā)動網(wǎng)絡(luò)攻擊.如圖8所示，公認(rèn)的第1個知名的惡意僵尸網(wǎng)絡(luò)GTBot[41]誕生于1998年，其僵尸程序會在受害主機(jī)上隱蔽安裝mIRC客戶端，通過客戶端加入IRC頻道等待控制者下發(fā)指令.

在此之后，攻擊者們意識到IRC協(xié)議是一對多進(jìn)行終端控制的有效方式，包括PreetyPark，SDbot[42]，Agobot[43]，Spybot[44]，Rbot在內(nèi)的IRC僵尸網(wǎng)絡(luò)案例不斷出現(xiàn)，其中Agobot由于其高度模塊化設(shè)計、廣泛傳播、大規(guī)模協(xié)同攻擊特性，使得人們意識到僵尸網(wǎng)絡(luò)會成為未來互聯(lián)網(wǎng)安全的重大威脅[21].

雖然IRC僵尸網(wǎng)絡(luò)具有易構(gòu)建和高效可控的優(yōu)點，但其流量具有一定特殊性、通信內(nèi)容為明文傳輸，導(dǎo)致整個僵尸網(wǎng)絡(luò)被封鎖、檢測和監(jiān)控.為了解決上述問題，攻擊者開始考慮采用HTTP和P2P協(xié)議來進(jìn)行管控.

第1個HTTP僵尸網(wǎng)絡(luò)Bobax[45]出現(xiàn)于2004年，該僵尸網(wǎng)絡(luò)的主要功能為發(fā)送垃圾郵件，通過漏洞利用和郵件方式進(jìn)行傳播；此外，2006年出現(xiàn)的垃圾郵件僵尸網(wǎng)絡(luò)Rustock和點擊欺詐僵尸網(wǎng)絡(luò)Clickbot以及2007年出現(xiàn)的竊密型僵尸網(wǎng)絡(luò)ZeuS[46]均采用HTTP作為其命令控制信道協(xié)議.

第1個P2P僵尸網(wǎng)絡(luò)是2002年出現(xiàn)的Slapper，雖然消除了中心節(jié)點失效問題，然而通信加密和認(rèn)證機(jī)制的缺失使得信道仍然很脆弱，此后Sinit,Phatbot,Storm的出現(xiàn)證明了P2P僵尸網(wǎng)絡(luò)具有較好的抗關(guān)停能力，研究人員難以對其整體進(jìn)行測量和監(jiān)控.

隨著攻防博弈的持續(xù)升級，攻擊者不斷改進(jìn)控制技術(shù)以適應(yīng)于復(fù)雜的網(wǎng)絡(luò)環(huán)境，在PC攻擊階段末期，僵尸網(wǎng)絡(luò)開始呈現(xiàn)協(xié)議多樣化和結(jié)構(gòu)復(fù)雜化的趨勢.例如，2008年出現(xiàn)的Conficker僵尸網(wǎng)絡(luò)同時采用Domain-Flux和Random P2P兩種尋址方法，使得防御人員至今難以完全阻斷其命令控制信道；同年出現(xiàn)的Waledac[47]綜合使用了HTTP，F(xiàn)ast-Flux和P2P協(xié)議，具有極好的健壯性和隱秘性.

為了防御未來可能出現(xiàn)的僵尸網(wǎng)絡(luò)，研究人員嘗試提出高級信道模型，對下一代僵尸網(wǎng)絡(luò)進(jìn)行預(yù)測.Wang等人[48]提出了一種新的混合型P2P僵尸網(wǎng)絡(luò)命令控制信道，該信道采用層次化結(jié)構(gòu)， bootstrap過程不依賴硬編碼的peer list或特定域名資源，消除了單點失效問題.命令傳輸過程采用非對稱密鑰加密，難以被防御人員監(jiān)控和劫持.該方法可以實現(xiàn)負(fù)載均衡且具有較好的抗毀能力，因此可管理大規(guī)模僵尸網(wǎng)絡(luò).其局限在于命令控制信道的構(gòu)建過程要求傳播源必須掌握潛在僵尸主機(jī)的IP，因此對釣魚郵件、P2P文件共享、U盤傳播等感染方法無效.

Vogt等人[49]提出了一種混合結(jié)構(gòu)的僵尸網(wǎng)絡(luò)設(shè)計方法，該方法的主要思想是自動把一個大規(guī)模僵尸網(wǎng)絡(luò)劃分成多個僵尸子網(wǎng)，僵尸子網(wǎng)之間通過P2P協(xié)議連接起來.該方法的優(yōu)勢是彼此獨立不易暴露整體規(guī)模，可管理大規(guī)模僵尸網(wǎng)絡(luò)而不會出現(xiàn)性能瓶頸.但該結(jié)構(gòu)設(shè)計缺乏實踐檢驗，在應(yīng)對實際復(fù)雜的網(wǎng)絡(luò)環(huán)境和防御手段時可能存在不穩(wěn)定的風(fēng)險[48].

Hund等人[50]提出了一種難以被追蹤和關(guān)閉的P2P僵尸網(wǎng)絡(luò)Rambot，該模型采用基于信譽評分的驗證機(jī)制(credit-point system)以及工作量證明機(jī)制(proof-of-work)等方法判斷通信節(jié)點身份的真實性，該模型具有一定的智能感知能力，生存性較好.

2.2 廣泛攻擊階段

從2009年起至今，僵尸網(wǎng)絡(luò)呈現(xiàn)出由單一化向多元化發(fā)展的趨勢，體現(xiàn)在感染對象更加廣泛、控制手段更加豐富、應(yīng)用場景更加精細(xì)，其威脅開始逐漸蔓延到了人們?nèi)粘Ｉ钕嚓P(guān)的各個領(lǐng)域，該階段稱之為廣泛攻擊階段.

如表2所示，廣泛攻擊階段出現(xiàn)的新特性有3個方面：1)傳統(tǒng)PC僵尸網(wǎng)絡(luò)與Web 2.0、云計算等新技術(shù)廣泛融合，出現(xiàn)了更加隱蔽的命令控制技術(shù)和特殊形態(tài)的僵尸網(wǎng)絡(luò)；2)伴隨著人們?nèi)粘Ｊ褂玫闹悄茉O(shè)備和應(yīng)用日趨豐富，攻擊者開始將犯罪目光從傳統(tǒng)PC轉(zhuǎn)向以智能手機(jī)、路由器、機(jī)頂盒為代表的多種終端設(shè)備；3)僵尸網(wǎng)絡(luò)構(gòu)建和命令控制技術(shù)在APT(advanced persistent threat)中得到了廣泛應(yīng)用，成為了攻擊鏈中不可或缺的一環(huán).

Table 2 Comparison Two Stages of PC and Extensive Attacks

2.2.1 PC僵尸網(wǎng)絡(luò)新特性

在惡意行為方面，僵尸網(wǎng)絡(luò)的攻擊業(yè)務(wù)與金融犯罪聯(lián)系得更加緊密，體現(xiàn)在3個方面： 1) 金融賬戶竊取，代表性僵尸網(wǎng)絡(luò)為2011年出現(xiàn)的Spyeye和2014年發(fā)現(xiàn)的Dridex[51]；2)比特幣挖掘，2012年左右活躍的ZeroAccess以控制大量受害主機(jī)實施點擊欺詐和挖掘比特幣為目的，每日能獲利約10萬美元[19]；3)加密勒索，2013年以來，伴隨著以比特幣為代表的匿名支付方式的不斷推廣，CryptoLocker,CTB-Locker等加密勒索型僵尸網(wǎng)絡(luò)案例不斷涌現(xiàn)，在該類僵尸網(wǎng)絡(luò)中僵尸程序通過對受害者文件資源加密實施敲詐，用戶需通過比特幣交易方式向攻擊者支付贖金后方可解密.

在控制機(jī)理上，PC僵尸網(wǎng)絡(luò)延續(xù)了采用復(fù)雜的通信手段和拓?fù)浣Y(jié)構(gòu)對抗關(guān)閉的策略.2011年出現(xiàn)的TDL4[52]采用基于Kad網(wǎng)絡(luò)和強加密手段實現(xiàn)通信； ZeuS GameOver[53]，ZeroAccess v2[19]以及Dride均采用混合拓?fù)浣Y(jié)構(gòu)，使得命令控制信道難以被阻斷.與此同時，利用匿名網(wǎng)絡(luò)構(gòu)建隱秘的僵尸網(wǎng)絡(luò)信道也成為了一種新趨勢[54-55]， Skynet[56]僵尸網(wǎng)絡(luò)利用匿名網(wǎng)絡(luò)Tor對命令控制服務(wù)器真實地址進(jìn)行隱藏；Cryptowall 3.0[57]基于I2P匿名網(wǎng)絡(luò)實現(xiàn)僵尸主機(jī)和攻擊者之間的通信.上述案例說明，攻擊技術(shù)的不斷升級給對抗此類高級僵尸網(wǎng)絡(luò)帶來了極大挑戰(zhàn).

以云平臺和社交網(wǎng)站為代表的公共服務(wù)資源逐漸成為了僵尸網(wǎng)絡(luò)滋生的沃土.攻擊者們可借助這些公開資源進(jìn)行傳播[20]和命令下發(fā)[58-59]，防御人員難以發(fā)現(xiàn)隱藏在大量合法用戶活動中的惡意行為，比如亞馬遜EC2云被ZeuS穿透充當(dāng)僵尸網(wǎng)絡(luò)C&C服務(wù)器[60]；以MAC OS X 為感染目標(biāo)的Flashback僵尸網(wǎng)絡(luò)[61]利用Twitter構(gòu)建備用C&C信道，一旦主信道失效，僵尸主機(jī)將通過搜索動態(tài)生成的特定標(biāo)識尋找C&C域名，恢復(fù)與控制者間的通信.

此外，僵尸網(wǎng)絡(luò)行為特性也在逐步與云計算和社交網(wǎng)絡(luò)相結(jié)合，形成基于服務(wù)平臺的特殊僵尸網(wǎng)絡(luò).RSA 2014大會上，Ragan和Salazar[62]介紹了一種云端僵尸網(wǎng)絡(luò)的構(gòu)建方法[63]，通過控制海量云計算資源可實現(xiàn)電子貨幣的挖掘；寄生于社交網(wǎng)站的僵尸網(wǎng)絡(luò)SoN(socialbot network)能模仿正常用戶完成多種在線社交動作[64]，攻擊者可通過控制socialbots實現(xiàn)謠言散布、廣告推送、個人信息收集[65].

在學(xué)術(shù)界，研究人員也開始研究如何利用其他協(xié)議和公開服務(wù)構(gòu)建更為隱蔽的命令控制信道.Xu 等人[66]研究了利用DNS協(xié)議來構(gòu)建命令控制信道，該方法無需借助額外的服務(wù)器，其下行信道具備良好的隱蔽性；Nappa等人[67]利用Skype協(xié)議作為通信載體實現(xiàn)了一種新型僵尸網(wǎng)絡(luò)，該方法可穿透防火墻和NAT設(shè)備，其通信流量隱藏在合法Skype流量之中，難以被區(qū)分和過濾.

Lee等人提出了一種Alias-Flux[68]協(xié)議的信道模型，該模型通過惡意利用縮址服務(wù)和搜索引擎能實現(xiàn)bot對命令控制資源的尋址； Nagaraja等人[69]提出的信道模型以社交網(wǎng)絡(luò)作為通信平臺，通過圖片隱寫技術(shù)實現(xiàn)命令的傳遞.Cui等人[70]提出了一種三信道僵尸網(wǎng)絡(luò)模型，核心思想是將整個命令控制信道按注冊、命令下發(fā)、數(shù)據(jù)回傳功能劃分為3個子信道，分別采用Domain-Flux,URL-Flux,Cloud-Flux作為子信道協(xié)議，該模型具有較好的生存性和可用性.

2.2.2 新興僵尸網(wǎng)絡(luò)崛起

在當(dāng)今用戶安全意識普遍提高、主機(jī)防護(hù)類軟件的普及的背景下，傳統(tǒng)PC僵尸網(wǎng)絡(luò)在傳播、構(gòu)建和主機(jī)生存性上面臨了極大的挑戰(zhàn).攻擊者開始嘗試?yán)梅荘C終端來構(gòu)建融合網(wǎng)絡(luò)環(huán)境下的僵尸網(wǎng)絡(luò)，這些設(shè)備大多防護(hù)手段比較薄弱，容易被滲透和惡意利用.該類型僵尸網(wǎng)絡(luò)稱之為“新興僵尸網(wǎng)絡(luò)”.

2009年出現(xiàn)的首個手機(jī)僵尸網(wǎng)絡(luò)Symbian.Yxes拉開了新興僵尸網(wǎng)絡(luò)的序幕，理論上一切連接互聯(lián)網(wǎng)且具有運算能力的終端都可成為潛在的僵尸主機(jī).路由器、PoS機(jī)、機(jī)頂盒、網(wǎng)絡(luò)攝像頭、智能家居、Web服務(wù)器等設(shè)備[71-73]成為了首選感染目標(biāo).攻擊者在利用這些設(shè)備發(fā)起傳統(tǒng)網(wǎng)絡(luò)攻擊的同時，還可對用戶信息進(jìn)行竊取.2010年出現(xiàn)的首個針對Android系統(tǒng)的手機(jī)僵尸網(wǎng)絡(luò)Geinimi[74]可實現(xiàn)IMEI、地理位置、短信、通信錄等信息的竊取，同時還能發(fā)送垃圾短信和安裝惡意軟件；2012年首個POS機(jī)僵尸網(wǎng)絡(luò)Dexter通過內(nèi)存讀取技術(shù)大量竊取用戶的支付卡數(shù)據(jù)；2015年出現(xiàn)的Moose[75]可通過路由器流量監(jiān)聽竊取用戶社交網(wǎng)站賬號，通過“賣粉”形式盈利.

不同于主流PC僵尸網(wǎng)絡(luò)采用的郵件附件、網(wǎng)頁掛馬、軟件捆綁和PPI的傳播方法，絕大多數(shù)新興僵尸網(wǎng)絡(luò)傳播以口令暴力猜解和固件漏洞利用的方法為主，實現(xiàn)成本較低且無需用戶配合，攻擊者可輕松實現(xiàn)大規(guī)模自動化的滲透.2012年出現(xiàn)的Carna僵尸網(wǎng)絡(luò)通過掃描弱口令全球范圍內(nèi)感染了約42萬臺嵌入式設(shè)備，獲取了約9TB通信日志[76].此外，部分新興僵尸網(wǎng)絡(luò)具備跨平臺特性，感染終端范圍更加廣泛.例如Darlloz僵尸網(wǎng)絡(luò)可同時感染x86,ARM,MIPS以及PowerPC在內(nèi)的多種架構(gòu)設(shè)備[77].

在運行終端和平臺趨于豐富的同時，新興僵尸網(wǎng)絡(luò)的通信協(xié)議通常采用HTTP和IRC協(xié)議，尋址策略通常采用硬編碼地址方式，通信內(nèi)容通常采用簡單加密和混淆來躲避檢測，可滿足實時控制需求，該種模式在具備易用性和高效性的同時其信道健壯性較差.這表明新興僵尸網(wǎng)絡(luò)的命令控制方式較為簡單和脆弱，同當(dāng)今復(fù)雜的高級PC僵尸網(wǎng)絡(luò)相比仍有一定的差距.

在眾多新興僵尸網(wǎng)絡(luò)中，智能手機(jī)以其用戶數(shù)量大、信息資源豐富、計算能力強、軟件種類多的特點，成為了研究人員的主要研究方向，該類僵尸網(wǎng)絡(luò)也被稱為移動僵尸網(wǎng)絡(luò).在預(yù)測工作中，研究人員需考慮手機(jī)應(yīng)用場景下的特有限制條件，包括固定IP資源缺乏、電量消耗以及用戶資費敏感等問題.因此，當(dāng)前移動僵尸網(wǎng)絡(luò)的預(yù)測主要圍繞隱蔽可行的信道協(xié)議設(shè)計為主.

Fig. 9 Botnet cases in Extensive Attacks stage.圖9 廣泛攻擊階段僵尸網(wǎng)絡(luò)案例

早期移動僵尸網(wǎng)絡(luò)的信息傳遞大多采用SMS實現(xiàn).Mulliner等人[78]提出了一種SMS-HTTP混合結(jié)構(gòu)的命令控制信道.主要思路是將控制命令分發(fā)分為2個步驟：1)將加密簽名過的控制命令發(fā)布到網(wǎng)站上;2)通過SMS將控制命令URL推送給僵尸程序.Zeng等人[79]提出了一種利用SMS構(gòu)建的P2P命令控制信道，SMS作為命令控制信道具有時效性強、健壯性好、離線用戶(如關(guān)機(jī)、不在服務(wù)區(qū)等)可延遲接收等優(yōu)點，但利用SMS建立和維持一個可連通的僵尸網(wǎng)絡(luò)拓?fù)潢P(guān)系，需要發(fā)送和接受極大數(shù)量的SMS，造成用戶端資費和信息的明顯異常.

Singh等人[80]提出并評估了使用藍(lán)牙作為命令控制信道的可行性：其優(yōu)點在于健壯性好，不會產(chǎn)生額外的資費開銷；缺點是時效性差，藍(lán)牙傳輸?shù)木嚯x限制造成了通信效率的低下，在實際應(yīng)用中存在問題.

Cui等人[16]提出了一種基于URL-Flux動態(tài)中心結(jié)構(gòu)的移動僵尸網(wǎng)絡(luò)Andbot，該方法利用博客和微博作為其資源發(fā)布平臺，通過UGA算法bot可以動態(tài)從大量生成的URL中去尋找命令資源.該方法具有良好的隱蔽性和韌性，運用在智能手機(jī)場景中能滿足低能耗和低資費需求.

Zhao等人[81]提出了一種基于Google云推送服務(wù)(cloud to device message， C2DM)的移動僵尸網(wǎng)絡(luò).僵尸主機(jī)與合法云信息服務(wù)器(C2DM server)進(jìn)行交互，不訪問可疑域名或IP資源，不依賴資費敏感的SMS，同時不會遺漏離線狀態(tài)下發(fā)送的命令，其通信流量較傳統(tǒng)HTTP和IRC移動僵尸網(wǎng)絡(luò)更小，該方法較之前的研究具有更好的隱蔽性和可控性.

2.2.3 APT中僵尸網(wǎng)絡(luò)

近年來，以“震網(wǎng)”[82]、“火焰”[83]、Duqu[84]、“紅色十月”[85]、DarkHotel[86]、Turla[22]為代表的APT攻擊不斷出現(xiàn)，針對各國政府、軍隊、能源、工業(yè)、科研機(jī)構(gòu)等重要目標(biāo)展開網(wǎng)絡(luò)間諜和破壞活動，嚴(yán)重威脅著國家的政治、經(jīng)濟(jì)和軍事安全.以卡巴斯基、賽門鐵克為代表的安全廠商對有關(guān)案例進(jìn)行了深入的跟蹤分析，揭示了背后的攻擊流程和常用手法.

在完整攻擊鏈中，攻擊者通常在感染立足點后進(jìn)行內(nèi)部橫向平移，構(gòu)建小型僵尸網(wǎng)絡(luò).感染主機(jī)通過代理[87]或隱蔽直連方式同外界建立通信，獲取攻擊者指令或?qū)崿F(xiàn)竊密回傳[88]，此類方法與傳統(tǒng)僵尸網(wǎng)絡(luò)的控制方法極其相似.在Duqu 2.0中[89]，感染主機(jī)將信息隱藏在GIF和JPEG圖片中，通過感染的網(wǎng)關(guān)和防火墻作為中轉(zhuǎn)發(fā)送給外部攻擊者.DUKES黑客組織在APT攻擊中利用日期算法生成用戶名，通過Twitter和Github平臺查找該用戶信息獲取指令[90].

在部分APT攻擊中，攻擊者直接使用公開的僵尸網(wǎng)絡(luò)套件實施攻擊.綽號“沙蟲”(Sandworm)的黑客組織[91]于2014年和2015年12月利用開源的BlackEnergy攻擊套件分別對歐美SCADA工控系統(tǒng)和烏克蘭電網(wǎng)系統(tǒng)發(fā)動攻擊.

雖然APT攻擊與普通僵尸網(wǎng)絡(luò)在命令控制機(jī)制上具有高度相似性，但二者在規(guī)模和信道屬性上存在一定差異：在規(guī)模上，傳統(tǒng)僵尸網(wǎng)絡(luò)側(cè)重大規(guī)模、無差別的感染和控制，而APT強調(diào)對少數(shù)特定目標(biāo)進(jìn)行感染和控制；在信道屬性上，僵尸網(wǎng)絡(luò)強調(diào)對大規(guī)模肉雞的管控，要求其控制信道具有良好的健壯性，而APT攻擊強調(diào)對少數(shù)目標(biāo)的隱蔽和持續(xù)性控制，其C&C信道部分側(cè)重于易用和隱蔽性，不考慮依托復(fù)雜的信道結(jié)構(gòu)和協(xié)議來對抗關(guān)閉.此外，APT攻擊中的通信實現(xiàn)更趨于精細(xì)化和復(fù)雜化， 2015年12月，卡巴斯基披露的間諜組織Turla[92]在攻擊過程中利用劫持衛(wèi)星通信的方式實現(xiàn)信息傳遞,如圖10所示，防御人員難以對攻擊者進(jìn)行溯源，該種技術(shù)是普通僵尸網(wǎng)絡(luò)所不具備的.

Fig. 10 Anonymous C&C communication by hijacking satellite link.圖10 通過衛(wèi)星鏈路劫持實現(xiàn)匿名C&C通信

3 僵尸網(wǎng)絡(luò)對抗

準(zhǔn)確發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的存在，進(jìn)一步對僵尸網(wǎng)絡(luò)采取針對性遏制是打擊僵尸網(wǎng)絡(luò)犯罪的重要環(huán)節(jié).具體地，該部分工作可分為檢測和遏制2個部分：檢測工作旨在發(fā)現(xiàn)僵尸主機(jī)、通信活動以及命令控制服務(wù)器；而遏制工作則注重利用主動清除的手段將僵尸網(wǎng)絡(luò)危害降到最低.

3.1 僵尸網(wǎng)絡(luò)檢測

從技術(shù)實現(xiàn)角度出發(fā)，已知檢測方法通?？蓜澐譃榛诿酃薹治?、基于通信特征碼、基于異常、基于日志4類.

3.1.1 基于蜜罐分析檢測

基于蜜罐分析檢測方法首先通過蜜罐誘捕的方法獲取大量惡意代碼樣本，在可控環(huán)境中進(jìn)行監(jiān)控分析，發(fā)現(xiàn)僵尸程序及其惡意行為.代表性的蜜罐包括Argos,Nepen-thes,Sebek等.該方法可發(fā)現(xiàn)未知僵尸網(wǎng)絡(luò)的行為特征，有助于進(jìn)一步了解僵尸網(wǎng)絡(luò)通信機(jī)理及潛在脆弱點；缺點是難以發(fā)現(xiàn)通過社工方式傳播的僵尸網(wǎng)絡(luò)，難以全面發(fā)現(xiàn)其他已感染節(jié)點，由于缺乏用戶操作，容易被具有反蜜罐功能的僵尸程序所識別[93].

3.1.2 基于通信特征碼檢測

基于通信特征碼檢測的方法是普遍采用的防御方法，通過事先配置特征匹配規(guī)則，諸如Snort等傳統(tǒng)入侵檢測系統(tǒng)可快速、準(zhǔn)確發(fā)現(xiàn)僵尸網(wǎng)絡(luò)活動.該方法適用于具有明確特征的僵尸網(wǎng)絡(luò)，缺點是無法檢測特征未知的僵尸網(wǎng)絡(luò)，需要持續(xù)維護(hù)和更新特征碼知識庫，提高了檢測成本.

3.1.3 基于異常檢測

基于異常檢測的方法主要圍繞僵尸網(wǎng)絡(luò)引發(fā)的異常進(jìn)行檢測，具體又可分為主機(jī)層異常檢測和網(wǎng)絡(luò)層異常檢測.

主機(jī)層異常檢測通過監(jiān)控終端行為發(fā)現(xiàn)異常，監(jiān)控內(nèi)容包括進(jìn)程、文件、注冊表、網(wǎng)絡(luò)連接等行為.Stinson等人[94]假定僵尸程序接收遠(yuǎn)程控制命令后其行為與正常進(jìn)程行為具有差異性，基于該假設(shè)提出的BotSwat能通過監(jiān)控系統(tǒng)調(diào)用及其執(zhí)行參數(shù)來識別僵尸程序，該方法具有較高的準(zhǔn)確率且與C&C協(xié)議無關(guān).

網(wǎng)絡(luò)層異常檢測假定僵尸程序與控制服務(wù)器之間的通信模式較正常用戶通信具有顯著差異，可通過流量分析來發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的蹤跡，常見的異常特征包括高網(wǎng)絡(luò)延遲、高流量、非常規(guī)端口流量等[14].Karasaridis等人[95]提出了一種基于傳輸層流數(shù)據(jù)的檢測方法，該方法能檢測加密的僵尸網(wǎng)絡(luò)通信，同時可以幫助識別僵尸網(wǎng)絡(luò)規(guī)模和特征；Manos Antonakakis 等人[8]根據(jù)Domain-Flux僵尸網(wǎng)絡(luò)產(chǎn)生大量NXDomain 流量的特點提出了一種檢測方法，可識別僵尸網(wǎng)絡(luò)DGA類型；Gu等人[24]提出的BotMiner首先對數(shù)據(jù)流按目的地址和端口進(jìn)行劃分，經(jīng)過流量屬性聚類和主機(jī)異常行為關(guān)聯(lián)分析后檢測出可疑的僵尸網(wǎng)絡(luò)通信，該方法同樣具有協(xié)議無關(guān)性；Leyla等人[96]提出一種面向NetFlow數(shù)據(jù)、動態(tài)選取特征的高速檢測系統(tǒng)DISCLOSURE，該系統(tǒng)克服了檢測特征固定的脆弱性，在不同應(yīng)用場景可自適應(yīng)平衡誤報率和漏報率，每日可檢測十億級規(guī)模的流數(shù)據(jù).

3.1.4 基于日志檢測

基于日志檢測的方法與基于異常檢測的方法比較相似，但數(shù)據(jù)源大多來自DNS、郵件等日志記錄.研究人員通過分析日志中的異常來識別可能的僵尸網(wǎng)絡(luò)行為.Choi等人[97]通過監(jiān)測DNS查詢流量的群體活動特性來發(fā)現(xiàn)僵尸網(wǎng)絡(luò)；基于垃圾郵件內(nèi)容相似性，Zhuang等人[98]對垃圾郵件進(jìn)行分組，根據(jù)不同分組中發(fā)送人IP信息進(jìn)行進(jìn)一步分析，識別不同類型的僵尸網(wǎng)絡(luò)；假定攻擊者可能使用“同一IP地址短時間內(nèi)注冊大量郵件賬戶”以及“同一郵件賬號短時間跨AS域發(fā)送大量垃圾郵件”，Zhao等人提出了一種基于圖論的關(guān)聯(lián)分析系統(tǒng)BotGraph[99]，該系統(tǒng)可通過分析郵件服務(wù)器中賬號激活及登錄日志來發(fā)現(xiàn)垃圾郵件型僵尸網(wǎng)絡(luò).

3.2 僵尸網(wǎng)絡(luò)遏制

通過檢測分析掌握了僵尸網(wǎng)絡(luò)相關(guān)信息后，研究人員需要聯(lián)合有關(guān)組織和部門、運用技術(shù)手段對僵尸網(wǎng)絡(luò)傳播和通信進(jìn)行對抗，該種行為通常稱為遏制(mitigation)，如圖11所示，常見手段包括終端清除、命令控制過程對抗以及命令控制服務(wù)器打擊三大類.

Fig. 11 Classification of botnets mitigations.圖11 僵尸網(wǎng)絡(luò)遏制方法分類

3.2.1 終端清除

終端清除主要指清除已感染終端的僵尸程序.防御人員可以通過挖掘并利用僵尸程序自身漏洞來實現(xiàn)清除[11]，而更加通用的做法是聯(lián)合大型反病毒公司、系統(tǒng)廠商以及互聯(lián)網(wǎng)服務(wù)提供商(ISP)對感染終端進(jìn)行定位，幫助用戶進(jìn)行清理.2014年初，微軟安全部門遠(yuǎn)程幫助用戶移除Sefnit僵尸程序以及包含漏洞的Tor客戶端，使得Tor網(wǎng)絡(luò)中用戶數(shù)量下降了約200萬[100]；Hadi等人[9]利用sinkhole日志數(shù)據(jù)對過去6年Conficker終端清理效果進(jìn)行了評估，證明以國家為單位的僵尸網(wǎng)絡(luò)打擊方案收效甚微，呼吁各國ISP應(yīng)當(dāng)承擔(dān)更多監(jiān)控和清理責(zé)任.

3.2.2 命令控制過程對抗

僵尸網(wǎng)絡(luò)通信協(xié)議在實現(xiàn)過程中可能存在某些脆弱點，比如單點失效問題、控制者身份未識別、命令時效性未校驗等.防御人員利用該類缺陷不僅可干擾和阻斷僵尸網(wǎng)絡(luò)的正常命令下發(fā)，甚至可以接管其控制權(quán)，該類方法統(tǒng)稱為命令控制過程對抗技術(shù).

對于P2P僵尸網(wǎng)絡(luò)而言，常用對抗手段包括索引污染、Sybil攻擊以及peer list污染3種.例如，DHT思想的P2P僵尸網(wǎng)絡(luò)易受到索引污染和Sybil攻擊，Davis等人[38]利用Sybil攻擊對Storm實施了拒絕服務(wù)攻擊；而采用peer list交換路由的P2P僵尸網(wǎng)絡(luò)易遭受peer list污染，Waledac僵尸網(wǎng)絡(luò)在其自定義的P2P協(xié)議中，peer之間交換路由沒有認(rèn)證機(jī)制，遭到了微軟連同學(xué)術(shù)研究機(jī)構(gòu)對其Repeater節(jié)點peer地址表的污染，導(dǎo)致其命令控制信道失效.

對于中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)，由于其中心節(jié)點失效缺陷，防御人員不僅可以通過IP、域名、URL黑名單的方法阻斷僵尸網(wǎng)絡(luò)通信，還可基于sinkhole的思想將C&C域名指向自主可控的資源，實現(xiàn)僵尸網(wǎng)絡(luò)的測量或劫持.利用僵尸程序?qū)&C服務(wù)器身份未進(jìn)行鑒別的缺陷，Stone-Gross等人[28]和Amini等人[101]通過sinkhole的方式成功劫持了基于Domain-Flux協(xié)議的Torpig和Kraken僵尸網(wǎng)絡(luò).

3.2.3 命令控制服務(wù)器打擊

直接打擊C&C服務(wù)器也是常見的對抗手段之一，具體方法包括：1)物理關(guān)閉，聯(lián)合有關(guān)服務(wù)提供商直接關(guān)停C&C服務(wù)器，但攻擊者可通過重新搭建來恢復(fù)控制；2)DoS，防御人員可以對僵尸網(wǎng)絡(luò)的中心服務(wù)器或關(guān)鍵節(jié)點(比如Fast-Flux中權(quán)威域名服務(wù)器)進(jìn)行拒絕服務(wù)攻擊[102]，延緩僵尸主機(jī)正常獲取指令時間，降低其整體可用性.

4 研究現(xiàn)狀及思考

4.1 已有研究存在的問題

在信道預(yù)測方向上，已有工作集中圍繞構(gòu)建隱蔽或健壯的命令控制信道為主，大多存在實現(xiàn)過程復(fù)雜、可用性差的特點，未涉及智能感知和多終端跨平臺管控，難以真正代表未來僵尸網(wǎng)絡(luò)的發(fā)展趨勢.

在僵尸網(wǎng)絡(luò)檢測方向上，以網(wǎng)絡(luò)通信流為對象、基于機(jī)器學(xué)習(xí)算法實現(xiàn)的檢測方法是主流研究方向，但已有成果大多存在檢測耗時較長、特征依賴的問題，難以兼顧準(zhǔn)確性和性能需求.

在僵尸網(wǎng)絡(luò)對抗上，目前存在法律監(jiān)管、各國間信息共享和機(jī)構(gòu)間協(xié)調(diào)等非技術(shù)難題，需要全球范圍內(nèi)有關(guān)機(jī)構(gòu)和組織進(jìn)一步重視僵尸網(wǎng)絡(luò)問題，形成高效、全面、長期的合作應(yīng)對機(jī)制.

4.2 未來研究方向

綜合上述討論，結(jié)合當(dāng)前僵尸網(wǎng)絡(luò)發(fā)展態(tài)勢，未來僵尸網(wǎng)絡(luò)領(lǐng)域的研究重點包括：1)關(guān)注海量異構(gòu)化脆弱終端的發(fā)現(xiàn)和滲透技術(shù)，研究相應(yīng)的檢測和防御方法；2)基于終端數(shù)據(jù)的回收分析，研究智能感知型僵尸網(wǎng)絡(luò)管控技術(shù)；3)研究僵尸網(wǎng)絡(luò)演化與地下黑市中動態(tài)的關(guān)聯(lián)性，從供應(yīng)鏈的角度提出防治僵尸網(wǎng)絡(luò)的方法.

5 總 結(jié)

作為傳統(tǒng)惡意代碼的演化形態(tài)，僵尸網(wǎng)絡(luò)為控制者提供了一種靈活高效的命令控制機(jī)制，是實現(xiàn)DDoS、垃圾郵件、信息竊取、點擊欺詐、惡意軟件分發(fā)的理想平臺.隨著融合網(wǎng)絡(luò)時代的到來，僵尸網(wǎng)絡(luò)在感染對象、管控技術(shù)、惡意行為方面有了新的變化，這將給未來互聯(lián)網(wǎng)安全造成更大的威脅.

本文在全面介紹僵尸網(wǎng)絡(luò)機(jī)理特性的基礎(chǔ)上，按時間順序?qū)⒔┦W(wǎng)絡(luò)發(fā)展史劃分為PC攻擊和廣泛攻擊2階段，詳細(xì)介紹各階段特點和典型案例，總結(jié)僵尸網(wǎng)絡(luò)發(fā)展態(tài)勢.對已有檢測和遏制手段進(jìn)行了歸納分析，小結(jié)當(dāng)今僵尸網(wǎng)絡(luò)研究存在的不足，預(yù)測未來可能的研究熱點.

考慮到當(dāng)前互聯(lián)網(wǎng)技術(shù)更新以及僵尸網(wǎng)絡(luò)發(fā)展呈現(xiàn)的新趨勢，安全領(lǐng)域研究人員必須加強對僵尸網(wǎng)絡(luò)的研究，協(xié)同各安全廠商和政府監(jiān)管部門共同應(yīng)對日趨嚴(yán)峻的威脅.

[1]Fang Binxing, Cui Xiang, Wang Wei. Survey of botnets[J]. Journal of Computer Research and Development, 2011, 48(8): 1315-1331 (in Chinese)(方濱興, 崔翔, 王威. 僵尸網(wǎng)絡(luò)綜述[J]. 計算機(jī)研究與發(fā)展, 2011, 48(8): 1315-1331)

[2]McAfee Communities. McAfee Labs Threat Advisory CTB-Locker. (2015-02-09)[2016-06-14]. https://kc. mcafee. com/resources/sites/MCAFEE/content/live/PRODUCT_DOCU MENTATION/25000/PD25696/en_US/McAfee_Labs_Threat_Advisory-CTB-Locker. pdf

[3]國家應(yīng)急響應(yīng)中心. CNCERT互聯(lián)網(wǎng)安全威脅報告-2016年3月[EB/OL]. (2016-03-17)[2016-06-14]. http://www.cert.org.cn/publish/main/upload/File/2016monthly03.pdf

[4]Symantec. Internet Security Threat Report 2014[EB/OL]. 2014[2016-06-14]. https://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf

[5]Kaspersky Lab. Statistics on botnet-assisted DDoS attacks in Q1 2015[EB/OL]. 2015[2016-06-14]. https://securelist.com/blog/research/70071/statistics-on-botnet-assisted-ddos-attacks-in-q1-2015

[6]Symantec. Internet Security Threat Report[EB/OL]. 2016[2016-06-14]. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

[7]Nadji Y, Antonakakis M, Perdisci R, et al. Beheading hydras: Performing effective botnet takedowns[C] //Proc of the 2013 ACM SIGSAC Conf on Computer & Communications Security. New York: ACM, 2013: 121-132

[8]Antonakakis M, Perdisci R, Nadji Y, et al. From throw-away traffic to bots: Detecting the rise of DGA-based malware[C] //Proc of the 21st USENIX Security Symp (USENIX Security 12). Berkeley, CA: USENIX Association, 2012: 491-506

[9]Asghari H, Ciere M, Van Eeten M J G. Post-mortem of a zombie: Conficker cleanup after six years[C] //Proc of the 24th USENIX Security Symposium (USENIX Security 15). Berkeley, CA: USENIX Association, 2015

[10]Xie Y, Yu F, Achan K, et al. Spamming botnets: Signatures and characteristics[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(4): 171-182

[11]Dittrich D. So you want to take over a Botnet[C] //Proc of the 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2012

[12]Zhuge Jianwei, Han Xinhui, Zhou Yonglin, et al. Research and development of botnets[J]. Journal of Software, 2008, 19(3): 702-715 (in Chinese)(諸葛建偉, 韓心慧, 周勇林, 等. 僵尸網(wǎng)絡(luò)研究[J]. 軟件學(xué)報, 2008, 19(3): 702-715)

[13]Jiang Jian, Zhuge Jianwei, Duan Haixin, et al. Research on botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96 (in Chinese)(江健, 諸葛建偉, 段海新, 等. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]. 軟件學(xué)報, 2012, 23(1): 82-96)

[14]Silva S S C, Silva R M P, Pinto R C G, et al. Botnets: A survey[J]. Computer Networks, 2013, 57(2): 378-403

[15]Puri R. Bots & botnet: An overview[R/OL]. Los Angeles: SANS Institute, 2003 [2016-06-01]. https://www.sans.org/reading-room/whitepapers/malicious/bots-botnet-overview-1299

[16]Cui Xiang, Fang Binxing, Yin Lihua, et al. Andbot: Towards advanced mobile botnets[C] //Proc of the 4th USENIX Conf on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2011

[17]BrianKrebs. Botcoin: Bitcoin Mining by Botnet[EB/OL]. (2013-07-18)[2016-06-14]. http://krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet

[18]Goebel J, Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation[C] //Proc of the 1st Conf on Hot Topics in Understanding Botnets. Berkeley, CA: USENIX Association, 2007

[19]Wyke J. The ZeroAccess botnet-Mining and fraud for massive financial gain[R/OL]. Oxford, UK: SophosLabs, 2012 [2016-06-01]. https://www.sophos.com/en-us/threat-center/technical-papers/zeroaccess-botnet.aspx

[20]Baltazar J, Costoya J, Flores R. The real face of koobface: The largest Web 2.0 botnet explained[J]. Trend Micro Research, 2009, 5(9): 10-28

[21]Grizzard B, Sharma V, Nunnery C, et al. Peer-to-peer botnets: Overview and case study[C] //Proc of the 1st Conf on Workshop on Hot Topics in Understanding Botnets. Berkeley, CA: USENIX Association, 2007

[22]Gu L. Prototype Nation: The Chinese Cybercriminal Underground in 2015[EB/OL]. (2015-11-23)[2016-06-14]. https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-prototype-nation.pdf

[23]Sood A K, Enbody R J, Bansal R. Dissecting SpyEye-Understanding the design of third generation botnets[J]. Computer Networks, 2013, 57(2): 436-450

[24]Gu G, Perdisci R, Zhang J, et al. BotMiner: Clustering analysis of network traffic for protocol-and structure-independent botnet detection[C] //Proc of USENIX Security Symp. Berkeley, CA: USENIX Association, 2008: 139-154

[25]Dagon D, Gu G, Lee C P, et al. A taxonomy of botnet structures[C] //Proc of the 23rd Annual Computer Security Applications Conf (ACSAC 2007). Piscataway, NJ: IEEE, 2007: 325-339

[26]Cooke E, Jahanian F, McPherson D. The zombie roundup: Understanding, detecting, and disrupting botnets[C] //Proc of the USENIX SRUTI Workshop 2005. Berkeley, CA: USENIX Association, 2005

[27]Liu L, Chen S, Yan G, et al. Bottracer: Execution-based bot-like malware detection[G] //Information Security. Berlin: Springer, 2008: 97-113

[28]Stone-Gross B, Cova M, Cavallaro L, et al. Your botnet is my botnet: Analysis of a botnet takeover[C] //Proc of the 16th ACM Conf on Computer and Communications Security. New York: ACM, 2009: 635-647

[29]Zhang L, Yu S, Wu D, et al. A survey on latest botnet attack and defense[C] //Proc of the 10th IEEE Int Conf on Trust, Security and Privacy in Computing and Communications. Piscatawary, NJ: IEEE, 2011: 53-60

[30]Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection[C] //Proc of the 3rd Int Conf on Emerging Security Information, Systems and Technologies. Piscatawary, NJ: IEEE, 2009: 268-273

[31]Riden J. Know your Enemy: Fast-Flux service networks[R/OL]. Ann Arbor, MI: The Honeynet Project, 2008 [2016-06-01]. http://www.honeynet.org/book/export/html/130

[32]Nazario J, Holz T. As the net churns: Fast-Flux botnet observations[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software. Piscatawary, NJ: IEEE, 2008: 24-31

[33]Mahmoud M, Nir M, Matrawy A. A survey on botnet architectures, detection and defences[J]. International Journal of Network Security, 2015, 17(3): 272-289

[34]Holz T, Gorecki C, Rieck K, et al. Measuring and detecting Fast-Flux service networks[C/OL] //Proc of the 2008 Network and Distributed System Security Conf. 2008.[2016-06-11]. http://ei.rub.de/media/emma/veroeffentlichungen/2012/08/07/FastFlux-NDSS08.pdf

[35]Holz T, Steiner M, Dahl F, et al. Measurements and mitigation of peer-to-peer-based botnets: A case study on storm worm[C] //Proc of the 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET’08). Berkeley, CA: USENIX Association, 2008

[36]Liang J, Naoumov N, Ross K W. The index poisoning attack in P2P file sharing systems[C] //Proc of the IEEE INFOCOM 2006. Piscataway, NJ: IEEE, 2006: 1-12

[37]Wang P, Wu L, Aslam B, et al. A systematic study on peer-to-peer botnets[C] //Proc of the 18th Int Conf on Computer Communications and Networks (ICCCN 2009). Piscatawary, NJ: IEEE, 2009: 1-8

[38]Davis C R, Fernandez J M, Neville S, et al. Sybil attacks as a mitigation strategy against the storm botnet[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software (MALWARE 2008). Piscatawary, NJ: IEEE, 2008: 32-40

[39]Dittrich D, Dietrich S. P2P as botnet command and control: A deeper insight[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software (MALWARE 2008). Piscatawary, NJ: IEEE, 2008: 41-48

[40]Pointer R. EggHeads.org-eggdrop development[EB/OL]. 1993 [2016-06-14]. http://dumbledore.hubpages.com

[41]Macesanu G, Codas T T, Suliman C, et al. Development of GTBoT, a high performance and modular indoor robot[C] //Proc of the 2010 IEEE Int Conf on Automation Quality and Testing Robotics (AQTR). Piscatawary, NJ: IEEE, 2010

[42]Micro T. Worm SDBot[EB/OL]. 2003[2016-06-14]. http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=WORMSDBOT.AZ

[43]Micro T. Worm AgoBot[EB/OL]. 2004[2016-06-14]. http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=WORMAGOBOT.XE

[44]Symantec. Spybot worm[EB/OL]. 2003[2016-06-14]. http://www.symantec.com/securityresponse/writeup.jsp?docid=2003-053013-5943-99

[45]Ramachandran A, Feamster N. Understanding the network-level behavior of spammers[C] //Proc of the 2006 Conf on Applications, Technologies, Architectures and Protocols for Computer Communications. New York: ACM, 2006: 291-302

[46]Binsalleeh H, Ormerod T, Boukhtouta A, et al. On the analysis of the zeus botnet crimeware toolkit[C] //Proc of the 8th Annual Int Conf on Privacy Security and Trust (PST). Piscatawary, NJ: IEEE, 2010: 31-38

[47]Stock B, Engelberth M, Freiling F C, et al. Walowdac analysis of a peer-to-peer botnet[C] //Proc of the 2009 European Conf on Computer Network Defense. Los Alamitos, CA: IEEE Computer Society, 2009: 13-20

[48]Wang P, Sparks S, Zou C C. An advanced hybrid peer-to-peer botnet[J]. IEEE Trans on Dependable and Secure Computing, 2010, 7(2): 113-127

[49]Vogt R, Aycock J, Jacobson M J. Army of botnets[C/OL] //Proc of the 2008 Network and Distributed System Security Conf. 2007[2016-06-11]. http://www.internetsociety.org/sites/default/files/Army%20of%20Botnets%20(Ryan%20Vogt).pdf

[50]Hund R, Hamann M, Holz T. Towards next-generation botnets[C] //Proc of the European Conf on Computer Network Defense (EC2ND 2008). Piscatawary, NJ: IEEE, 2008: 33-40

[51]Blueliv. Chasing cybercrime: Network insights of dyre and dridex trojan bankers[EB/OL]. (2015-04-22)[2016-06-14]. https://www.blueliv.com/downloads/documentation/reports/Network_insights_of_Dyre_and_Dridex_Trojan_bankers.pdf

[52]Rodionov E, Matrosov A. The evolution of tdl: Conquering x64[EB/OL]. 2011 [2016-06-11]. http://www.welivesecurity.com/media_files/white-papers/The_Evolution_of_TDL.pdf

[53]abuse.ch. Zeus gets more sophisticated using P2P techniques[EB/OL]. (2011-10-10)[2016-06-14]. http://www.abuse.ch/?p=3499

[54]Casenove M, Miraglia A. Botnet over Tor: The illusion of hiding[C] //Proc of the 6th Int Conf On Cyber Conflict (CyCon 2014). Piscatawary, NJ: IEEE, 2014: 273-282

[55]Klijnsma Y. Large botnet cause of recent Tor network overload[EB/OL]. (2013-09-05) [2016-06-14]. https://blog.fox-it.com/2013/09/05/large-botnet-cause-of-recent-tor-network-overload

[56]Nex. Skynet, a Tor-powered botnet straight from Reddit[EB/OL]. (2012-12-03)[2016-06-14]. https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit

[57]Dontnc M. Guess who’s back again? Cryptowall 3.0[EB/OL]. (2015-01-13)[2016-06-14]. http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html

[58]Kartaltepe E J, Morales J A, Xu S, et al. Social network-based botnet command-and-control: Emerging threats and countermeasures[C] //Proc of the Applied Cryptography and Network Security. Berlin: Springer, 2010: 511-528

[59]Boshmaf Y, Muslukhov I, Beznosov K, et al. Design and analysis of a social botnet[J]. Computer Networks, 2013, 57(2): 556-578

[60]Goodin D. Zeus bot found using amazon’s ec2 as c and c server[EB/OL]. (2009-12-09)[2016-06-14]. http://www.theregister.co.uk/2009/12/09/amazon ec2 bot control channel

[61]Prince B. Flashback botnet updated to include twitter as C&C[EB/OL]. (2012-04-30)[2016-06-14]. http://www.securityweek.com/flashback-botnet-updated-include-twitter-cc

[62]Ragan R, Salazar O. Cloudbots: Harvesting crypto coins like a botnet farmer[EB/OL]. 2014[2016-06-14]. https://www.syscan360.org/slides/2014_EN_CloudBots_RobRaganOscar Salazar.pdf

[63]Higgins K J. Smartphone weather app builds a mobile botnet[EB/OL]. (2010-03-05)[2016-06-14]. http://www.darkreading.com/risk/smartphone-weather-app-builds-a-mobile-botnet/d/d-id/1133138

[64]Boshmaf Y, Muslukhov I, Beznosov K, et al. The socialbot network: When bots socialize for fame and money[C] //Proc of the 27th Annual Computer Security Applications Conf. New York: ACM, 2011: 93-102

[65]Boshmaf Y, Muslukhov I, Beznosov K, et al. Key challenges in defending against malicious socialbots[C] //Proc of the 5th USENIX Conf on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2012: 12-12

[66]Xu K, Butler P, Saha S, et al. DNS for massive-scale command and control[J]. IEEE Trans on Dependable and Secure Computing, 2013, 10(3): 143-153

[67]Nappa A, Fattori A, Balduzzi M, et al. Take a deep breath: A stealthy, resilient and cost-effective botnet using skype[C] //Proc of the Int Conf on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2010: 81-100

[68]Lee S, Kim J. Fluxing botnet command and control channels with URL shortening services[J]. Computer Communications, 2013, 36(3): 320-332

[69]Nagaraja S, Houmansadr A, Piyawongwisal P, et al. Stegobot: A covert social network botnet[C] //Proc of the 13th Int Conf on Information Hiding. Berlin: Springer, 2011: 299-313

[70]Cui Xiang, Fang Binxing, Shi Jinqiao, et al. Botnet triple-channel model: Towards resilient and efficient bidirectional communication botnets[C] //Proc of the 9th Int Conf on Security and Privacy in Communication Networks. Berlin: Springer, 2013: 53-68

[71]Proofpoint. Proofpoint uncovers Internet of things (IoT) cyberattack[EB/OL]. (2014-01-16)[2016-06-14]. https://www. proofpoint. com/us/proofpoint-uncovers-internet-things-iot-cyberattack

[72]Rights RF. Analyzing a backdoor/bot for the MIPS platform[EB/OL]. 2015[2016-06-14]. http://www.sans.org/reading-room/whitepapers/malicious/analyzing-backdoor-bot-mips-platform-35902

[73]Saarinen J. First Shellshock botnet attacks Akamai, US DoD networks[EB/OL]. (2014-09-26)[2016-06-14]. http://www.itnews.com.au/news/first-shellshock-botnet-attacks-akamai-us-dod-networks-396197

[74]Wyatt T. Security alert: Geinimi, sophisticated new Android Trojan found in wild[EB/OL]. (2010-09-29)[2016-06-14]. https://blog. lookout. com/blog/2010/12/29/geinimi_trojan

[75]Bilodeau O, Dupuy T. Dissecting Linux/Moose[EB/OL]. 2015[2016-06-14]. http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

[76]Botnet C. Internet census 2012[EB/OL]. 2012[2016-06-14]. http://internetcensus2012.bitbucket.org/paper.html

[77]Ullrich J. More Device Malware: This is why your DVR attacked my Synology Disk Station (and now with Bitcoin Miner!)[EB/OL]. 2014[2016-06-14]. https://isc.sans.edu/forums/diary/More+Device+Malware+This+is+why+your+DVR+attacked+my+Synology+Disk+Station+and+now+with+Bitcoin+Miner/17879

[78]Mulliner C, SeifertIn J.P. Rise of the iBots: Owning a telco network[C] //Proc of the 5th IEEE Int Conf on Malicious and Unwanted Software (Malware) Nancy. Piscataway, NJ: IEEE, 2010: 71-80

[79]Zeng Y, Shin K G, Hu X. Design of SMS commanded-and-controlled and P2P-structured mobile botnets[C] //Proc of the 5th ACM Conf on Security and Privacy in Wireless and Mobile Networks. New York: ACM, 2012: 137-148

[80]Singh K, Sangal S, Jain N, et al. Evaluating bluetooth as a medium for botnet command and control[C] //Proc of the Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2010: 61-80

[81]Zhao S, Lee P, Lui J, et al. Cloud-based push-styled mobile botnets: A case study of exploiting the cloud to device messaging service[C] //Proc of the 28th Annual Computer Security Applications Conf. New York: ACM, 2012: 119-128

[82]Nicolas F, Liam O, Eric C. W32. Stuxnet Dossier[EB/OL]. 2011 [2016-06-10]. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[83]Bencsáth B, Buttyán L, Félegyházi M, et al. sKyWIper (aka Flame aka Flamer): A complex malware for targeted attacks[EB/OL]. (2012-05-29)[2014-06-10]. https://www.crysys.hu/skywiper/skywiper.pdf

[84]Chien E, OMurchu L, Falliere N. W32. Duqu: The precursor to the next stuxnet[C/OL] //Proc of the 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET). Berkeley, CA: USENIX Association, 2012 [2016-06-01]. https://www.usenix.org/system/files/conference/leet12/leet12-final11.pdf

[85]GReAT. “Red October” diplomatic cyber attacks investigation[EB/OL]. (2013-01-14)[2016-06-14]. https://securelist.com/analysis/publications/36740/red-october-diplomatic-cyber-attacks-investigation/#11

[86]Global Research and Analysis Team. The darkhotel APT a story of unusual hospitality[EB/OL]. 2014[2016-06-14]. https://securelist.com/files/2014/11/darkhotel_kl_07.11.pdf

[87]GData. Uroburos highly complex espionage software with Russian roots[EB/OL]. 2014[2016-06-14]. https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

[88]Bencsáth B, Pék G, Buttyán L, et al. Duqu: Analysis, detection, and lessons learned[C/OL] //Proc of the ACM European Workshop on System Security (EuroSec). New York: ACM, 2012. [2016-06-11]. http://ns2.humantech.dc.hu/publications/files/BencsathPBF12eurosec.pdf

[89]Kaspersky Lab. The DUQU 2. 0 - Securelist.[EB/OL]. (2015-06-11)[2016-06-14]. https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

[90]FireEye. HAMMERTOSS: Stealthy tactics define a Russian cyber threat group[EB/OL]. 2015[2016-06-14]. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hamm ertoss.pdf

[91]Hultquist J. Sandworm team and the ukrainian power authority attacks[EB/OL]. (2016-01-07) [2016-06-14]. https://www.isightpartners.com/2016/01/ukraine-and-sand worm-team

[92]Tanas S. Satellite Turla: APT command and control in the sky[EB/OL]. (2015-09-09)[2016-06-14]. https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky

[93]Wang Ping, Wu Lei, Cunningham R, et al. Honeypot detection in advanced botnet attacks[J]. International Journal of Information and Computer Security, 2010, 4(1): 30-51

[94]Stinson E, Mitchell J C. Characterizing bots’ remote control behavior[M] //Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2007: 89-108

[95]Karasaridis A, Rexroad B, Hoeflin D A. Wide-scale botnet detection and characterization[J]. HotBots, 2007, 7: 7-7

[96]Bilge L, Balzarotti D, Robertson W, et al. Disclosure: Detecting botnet command and control servers through large-scale netflow analysis[C] //Proc of the 28th Annual Computer Security Applications Conf. New York: ACM, 2012: 129-138

[97]Choi H, Lee H, Lee H, et al. Botnet detection by monitoring group activities in DNS traffic[C] //Proc of the 7th IEEE Int Conf on Computer and Information Technology (CIT 2007). Piscatawary, NJ: IEEE, 2007: 715-720

[98]Zhuang L, Dunagan J, Simon D R, et al. Characterizing botnets from email spam records[C] //Proc of the 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2008

[99]Zhao Yao, Xie Yinglian, Yu Fang, et al. BotGraph: Large scale spamming botnet detection[C] //Proc of the 6th USENIX Symp on Networked Systems Design and Implementation. Berkeley, CA: USENIX Association, 2009: 321-334

[100]MSRT. Tackling the Sefnit botnet Tor hazard[EB/OL]. (2014-01-09)[2016-06-14]. https://blogs.technet.microsoft.com/mmpc/2014/01/09/tackling-the-sefnit-botnet-tor-hazard

[101]Amini P, Pierce C. Kraken botnet infiltration[EB/OL]. (2008-04-28)[2016-06-10]. http://dvlabs.tippingpoint.com/blog/2008/04/28/kraken-botnet-infiltration

[102]Leder F, Werner T, Martini P. Proactive Botnet countermeasures-an offensive approach[EB/OL]. 2009 [2016-06-10]. http://www.ccdcoe.org/publications/virtualbattlefield/15_LEDER_Proactive_Coutnermeasures.pdf

Li Ke, born in 1988. PhD candidate. His main research interests include information security and machine learning.

Fang Binxing, born in 1960. PhD, professor, PhD supervisor. Member of Chinese Academy of Engineering, fellow member of China Computer Federation. His main research interests include computer architecture, computer network and information security.

Cui Xiang, born in 1978. PhD, professor, PhD supervisor. His main research interests include information security (cuixiang@iie. ac. cn).

Liu Qixu, born in 1984. PhD. Associate professor, master supervisor. His main research interests include network and information security (liuqixu@iie. ac. cn)

Study of Botnets Trends

Li Ke1,2, Fang Binxing1,4, Cui Xiang1,2,3, Liu Qixu2,3

1(BeijingUniversityofPostsandTelecommunications,Beijing, 100876)2(InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing, 100097)3(UniversityofChineseAcademyofSciences,Beijing, 101408)4(InstituteofElectronicandInformationEngineering,DongguanUniversityofElectronicScienceandTechnologyofChina,Dongguan,Guangdong, 523808)

Botnets, as one of the most effective platforms to launch cyber-attacks, pose great threats to the security of today’s cyber-space. Despite the fact that remarkable progress had been made in the researches of botnets’ both attack and defense technologies in recent years, the forms and command and control mechanisms of botnets, however, as Internet applications are put into a wider variety of uses and communication technologies upgraded more rapidly than ever, are also undergoing constant changes, bringing new challenges to defenders. For this reason, an in-depth investigation of botnets’ working mechanisms and development is of great significance to deal with the threats posed by botnets. This paper, with the attack technologies of botnets as its main focus, gives an comprehensive introduction of the working mechanisms of botnets in terms of its definition, transmission, lifecycle, malicious behaviors and command and control channels, and divides the botnets’ development into two stages, namely, attacks to traditional PC and extensive attacks, with the technological features, behavioral characteristics, case studies and evolutionary patterns of each stage elaborated in a detailed manner. After a summary of existing work on the defense of botnets with the limitations of each approach discussed, possible future attempts are presented.

botnet; command and control channel (C&C channel); countermeasure; value-added network attack; survey

2016-06-14；

2016-08-11

國家自然科學(xué)基金項目(61303239)；廣東省產(chǎn)學(xué)研合作項目“廣東省健康云安全院士工作站”(2016B090921001)

TP393

This work was supported by the National Natural Science Foundation of China (61303239) and the Industry-University-Research Cooperation Project of Guangdong Province (2016B090921001).