僵尸網(wǎng)絡(luò)檢測技術(shù)研究

王淏

摘要：僵尸網(wǎng)絡(luò)有別于以往簡單的安全事件，它是一個具有極大危害的攻擊平臺。利用該平臺，攻擊者能夠發(fā)起各種各樣的破壞行為，由于平臺的搭建是的這些破壞行為產(chǎn)生聚合，造成比傳統(tǒng)破壞行為更大的危害，并且使得攻擊的防范難度增大。僵尸網(wǎng)絡(luò)將攻擊源從一個轉(zhuǎn)化為多個，乃至一個龐大的網(wǎng)絡(luò)體系，通過網(wǎng)絡(luò)來控制受感染的系統(tǒng)，同時不同地造成網(wǎng)絡(luò)危害如更快地傳播蠕蟲、短時間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進(jìn)行非法目的牟利、發(fā)起大范圍的DDos攻擊等，受控網(wǎng)絡(luò)的存在，給危害追蹤和損失抑制帶來巨大的麻煩。

關(guān)鍵詞：滲透;僵尸網(wǎng)絡(luò);行為特征分析

第一章 緒論

1.1 研究背景與意義

目的：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)普及，網(wǎng)絡(luò)安全問題日益突出。僵尸網(wǎng)絡(luò)可以一對多地執(zhí)行相同的惡意行為，比如可以同時對某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)（DDos）僵尸網(wǎng)絡(luò)檢測技術(shù)，同時發(fā)送大量的垃圾郵件等，而正是這種一對多的控制關(guān)系，使得僵尸網(wǎng)絡(luò)檢測技術(shù)者能夠以極低的代價高效地控制大量的資源為其服務(wù)，這也是Botnet僵尸網(wǎng)絡(luò)檢測技術(shù)模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時候，Botnet充當(dāng)了一個僵尸網(wǎng)絡(luò)檢測技術(shù)平臺的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。

1.2 國內(nèi)外研究現(xiàn)狀

國外研究現(xiàn)狀：學(xué)術(shù)界在2003年開始關(guān)注Botnet的發(fā)展。國際上的一些蜜網(wǎng)項目組和蜜網(wǎng)研究聯(lián)盟的一些成員使用蜜網(wǎng)分析技術(shù)對Botnet的活動進(jìn)行深入跟蹤和分析。

國內(nèi)研究現(xiàn)狀：國內(nèi)在2005年時開始對Botnet有初步的研究工作。北京大學(xué)計算機(jī)科學(xué)技術(shù)研究所在2005年1月開始實施用蜜網(wǎng)跟蹤Botnet的項目，對收集到的惡意軟件樣本，采用了沙箱、蜜網(wǎng)這兩種各有優(yōu)勢的技術(shù)對其進(jìn)行分析，確認(rèn)其是否為僵尸程序，并對僵尸程序所要連接的Botnet控制信道的信息進(jìn)行提取，最終獲得了60，000 多個僵尸程序樣本分析報告，并對其中500多個仍然活躍的Botnet進(jìn)行跟蹤，統(tǒng)計出所屬國分布、規(guī)模分布等信息。

1.3 論文主要內(nèi)容與結(jié)構(gòu)

論文針對僵尸網(wǎng)絡(luò)檢測技術(shù)開展研究，重點研究基于網(wǎng)絡(luò)行為分析的僵尸網(wǎng)絡(luò)檢測技術(shù)。首先深入分析了僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)行為特性，在此基礎(chǔ)上建立了命令特征字與流量異常輪廓相結(jié)合的檢測模型，并設(shè)計了一個使用該檢測模型的僵尸網(wǎng)絡(luò)檢測系統(tǒng)結(jié)構(gòu);其次，對檢測系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)-僵尸程序網(wǎng)絡(luò)行為特征提取技術(shù)進(jìn)行了研究，給出了特征提取方法;最后，基于 Bro 入侵檢測系統(tǒng)實現(xiàn)并驗證了檢測系統(tǒng)原型。

（1）設(shè)計了一種基于網(wǎng)絡(luò)行為分析的僵尸網(wǎng)絡(luò)檢測系統(tǒng)結(jié)構(gòu)，根據(jù)僵尸網(wǎng)絡(luò)能

建立 C&C 信道的特點，采用先響應(yīng)后命令的方式，提取命令特征字與流量特征輪廓，建立了命令特征字與響應(yīng)流量異常輪廓相結(jié)合的檢測模型，在此模型的基礎(chǔ)上，設(shè)計了檢測系統(tǒng)結(jié)構(gòu)，系統(tǒng)包括離線分析和在線檢測兩部分，其中離線分析部分實現(xiàn)對檢測特征的分析和提取，在線檢測部分則基于檢測模型，應(yīng)用檢測特征實現(xiàn)對僵尸網(wǎng)絡(luò)的檢測。

（2） 設(shè)計了基于“響應(yīng)-命令”的僵尸程序網(wǎng)絡(luò)行為檢測特征提取方法，設(shè)計了異常檢測和特征檢測相結(jié)合的僵尸程序網(wǎng)絡(luò)行為檢測特征結(jié)構(gòu)，提出了僵尸程序活動周期的概念，并重點研究命令特征提取算法。

（3） 基于 Bro 入侵檢測系統(tǒng)，實現(xiàn)了一個采用網(wǎng)絡(luò)行為分析技術(shù)的僵尸網(wǎng)絡(luò)檢測原型，對原型進(jìn)行測試和分析。

第二章 僵尸網(wǎng)絡(luò)概述

2.1 僵尸網(wǎng)絡(luò)定義

僵尸網(wǎng)絡(luò)的起源可以追溯到 1993 年 EggDrop 的出現(xiàn)，EggDrop 是一個良性的僵尸程序，最初的目的是幫助 IRC 管理員對網(wǎng)絡(luò)進(jìn)行管理，但是這也給了黑客們一些啟發(fā)。而分布式拒絕服務(wù)僵尸網(wǎng)絡(luò)檢測技術(shù)技術(shù)的成熟，給黑客們利用僵尸程序進(jìn)行惡意活動提供了技術(shù)支持，于是在 1999 年第 8 次 DEFCON 年會上發(fā)布了第一個真正意義上的僵尸程序 SubSeven 2.1。隨后在互聯(lián)網(wǎng)中出現(xiàn)了大量的基于 IRC 協(xié)議的僵尸程序，如：SDBot、Agobot、GT-Bot、Rbot 等。此后，為了讓僵尸網(wǎng)絡(luò)具有更好的隱蔽性和僵尸網(wǎng)絡(luò)檢測技術(shù)性，僵尸網(wǎng)絡(luò)檢測技術(shù)者開始利用 HTTP 協(xié)議和 P2P 協(xié)議構(gòu)建僵尸網(wǎng)絡(luò)，因為這兩種僵尸網(wǎng)絡(luò)較 IRC 僵尸網(wǎng)絡(luò)而言是難以檢測到的，并在 2002 年出現(xiàn)了第一個基于 P2P 協(xié)議的僵尸程序 Slapper，最早的基于 HTTP 協(xié)議的僵尸程序是 Bobax。僵尸網(wǎng)絡(luò)是一種新型的網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)檢測技術(shù)方式，它是由傳統(tǒng)的惡意代碼形態(tài)。

2.2 僵尸病毒的網(wǎng)絡(luò)行為特征

一是傳播：傳播是指采用特洛伊木馬、郵件病毒等幾種方式傳播僵尸程序到別的主機(jī)上。

二是加入：加入是指被感染主機(jī)隨著隱藏的僵尸程序的發(fā)作而加入到僵尸網(wǎng)絡(luò)中。

三是控制：控制是指僵尸網(wǎng)絡(luò)檢測技術(shù)者發(fā)送命令使受感染主機(jī)執(zhí)行惡意行為。

2.3 僵尸網(wǎng)絡(luò)運(yùn)行流暢與危害

與其它的惡意代碼相比，僵尸網(wǎng)絡(luò)有很大的不同：首先它可以建立一個命令與控制（C&C）信道。通過該信道，控制者能夠?qū)Ρ凰刂频挠嬎銠C(jī)發(fā)送 C&C 信息，即對僵尸主機(jī)進(jìn)行實時控制，而僵尸主機(jī)的各種信息（所在地、在線與否和主機(jī)型號等）都將通過該 C&C 信道傳送給控制者;其次，從僵尸網(wǎng)絡(luò)的結(jié)構(gòu)和已知的僵尸網(wǎng)絡(luò)來看，僵尸網(wǎng)絡(luò)具有隱蔽性強(qiáng)、傳播速度快、分布范圍廣、難以追蹤、危害等級高和高度可控性等特點，使得其危害日益嚴(yán)重。所以僵尸網(wǎng)絡(luò)檢測成為近年來網(wǎng)絡(luò)安全研究領(lǐng)域的研究熱點之一。利用發(fā)送分布式拒絕服務(wù)僵尸網(wǎng)絡(luò)檢測技術(shù)造成網(wǎng)絡(luò)堵塞;發(fā)送新的蠕蟲僵尸網(wǎng)絡(luò)檢測技術(shù)可以使網(wǎng)絡(luò)癱瘓;發(fā)送大量的垃圾郵件;可以通過僵尸主機(jī)盜用大量的網(wǎng)絡(luò)資源、竊取用戶的個人信息等。

第三章 總結(jié)與展望

滲透測試人員在使得累積因子A（t）達(dá)到上界A_max時，提高M(jìn)CS，當(dāng)NACK出現(xiàn)頻度比較高使得累積因子A（t）達(dá)到下界A_min時，降低MCS。在MCS達(dá)到最大值或者最小值的時候，其次動態(tài)調(diào)整MCS和重復(fù)模塊。清除了所有的事件日志，但取證分析者可能會注意到目標(biāo)系統(tǒng)上其他有意思的事情，從而能效益對鏈路狀況進(jìn)行度量，調(diào)整重復(fù)次數(shù)和MCS重復(fù)次數(shù)。類似的，本章根據(jù)反饋的確認(rèn)信息的種類及累計數(shù)量進(jìn)行調(diào)整。每次收到一個ACK，累計加1個值，每次收到一個NACK子載波間隔（MAC Flooding 滲透攻擊），累計減1個值。因為高M(jìn)CS對應(yīng)的?；诙嗑S參數(shù)調(diào)整的NB-IoT鏈路自適應(yīng)方法由兩部分組成：我們注重MCS的調(diào)整。當(dāng)接收到的ACK比NACK數(shù)量多使得累積因子A（t）達(dá)到上界A_max時，提高M(jìn)CS，當(dāng)NACK出現(xiàn)頻度比較高使得累積因子A（t）達(dá)到下界A_min時，降低MCS。在MCS達(dá)到最大值或者最小值的時候，其次動態(tài)調(diào)整MCS和重復(fù)次數(shù)可以適應(yīng)環(huán)境的環(huán)境的持續(xù)改變。子載波間隔（MAC Flooding 滲透攻擊）為清晰描述方案。