王淏
摘要:僵尸網(wǎng)絡(luò)有別于以往簡單的安全事件,它是一個具有極大危害的攻擊平臺。利用該平臺,攻擊者能夠發(fā)起各種各樣的破壞行為,由于平臺的搭建是的這些破壞行為產(chǎn)生聚合,造成比傳統(tǒng)破壞行為更大的危害,并且使得攻擊的防范難度增大。僵尸網(wǎng)絡(luò)將攻擊源從一個轉(zhuǎn)化為多個,乃至一個龐大的網(wǎng)絡(luò)體系,通過網(wǎng)絡(luò)來控制受感染的系統(tǒng),同時不同地造成網(wǎng)絡(luò)危害如更快地傳播蠕蟲、短時間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進(jìn)行非法目的牟利、發(fā)起大范圍的DDos攻擊等,受控網(wǎng)絡(luò)的存在,給危害追蹤和損失抑制帶來巨大的麻煩。
關(guān)鍵詞:滲透;僵尸網(wǎng)絡(luò);行為特征分析
第一章 緒論
1.1 研究背景與意義
目的:隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)普及,網(wǎng)絡(luò)安全問題日益突出。僵尸網(wǎng)絡(luò)可以一對多地執(zhí)行相同的惡意行為,比如可以同時對某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)(DDos)僵尸網(wǎng)絡(luò)檢測技術(shù),同時發(fā)送大量的垃圾郵件等,而正是這種一對多的控制關(guān)系,使得僵尸網(wǎng)絡(luò)檢測技術(shù)者能夠以極低的代價高效地控制大量的資源為其服務(wù),這也是Botnet僵尸網(wǎng)絡(luò)檢測技術(shù)模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為的時候,Botnet充當(dāng)了一個僵尸網(wǎng)絡(luò)檢測技術(shù)平臺的角色,這也就使得Botnet不同于簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。
1.2 國內(nèi)外研究現(xiàn)狀
國外研究現(xiàn)狀:學(xué)術(shù)界在2003年開始關(guān)注Botnet的發(fā)展。國際上的一些蜜網(wǎng)項目組和蜜網(wǎng)研究聯(lián)盟的一些成員使用蜜網(wǎng)分析技術(shù)對Botnet的活動進(jìn)行深入跟蹤和分析。
國內(nèi)研究現(xiàn)狀:國內(nèi)在2005年時開始對Botnet有初步的研究工作。北京大學(xué)計算機(jī)科學(xué)技術(shù)研究所在2005年1月開始實施用蜜網(wǎng)跟蹤Botnet的項目,對收集到的惡意軟件樣本,采用了沙箱、蜜網(wǎng)這兩種各有優(yōu)勢的技術(shù)對其進(jìn)行分析,確認(rèn)其是否為僵尸程序,并對僵尸程序所要連接的Botnet控制信道的信息進(jìn)行提取,最終獲得了60,000 多個僵尸程序樣本分析報告,并對其中500多個仍然活躍的Botnet進(jìn)行跟蹤,統(tǒng)計出所屬國分布、規(guī)模分布等信息。
1.3 論文主要內(nèi)容與結(jié)構(gòu)
論文針對僵尸網(wǎng)絡(luò)檢測技術(shù)開展研究,重點研究基于網(wǎng)絡(luò)行為分析的僵尸網(wǎng)絡(luò)檢測技術(shù)。首先深入分析了僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)行為特性,在此基礎(chǔ)上建立了命令特征字與流量異常輪廓相結(jié)合的檢測模型,并設(shè)計了一個使用該檢測模型的僵尸網(wǎng)絡(luò)檢測系統(tǒng)結(jié)構(gòu);其次,對檢測系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)-僵尸程序網(wǎng)絡(luò)行為特征提取技術(shù)進(jìn)行了研究,給出了特征提取方法;最后,基于 Bro 入侵檢測系統(tǒng)實現(xiàn)并驗證了檢測系統(tǒng)原型。
(1)設(shè)計了一種基于網(wǎng)絡(luò)行為分析的僵尸網(wǎng)絡(luò)檢測系統(tǒng)結(jié)構(gòu),根據(jù)僵尸網(wǎng)絡(luò)能
建立 C&C 信道的特點,采用先響應(yīng)后命令的方式,提取命令特征字與流量特征輪廓,建立了命令特征字與響應(yīng)流量異常輪廓相結(jié)合的檢測模型,在此模型的基礎(chǔ)上,設(shè)計了檢測系統(tǒng)結(jié)構(gòu),系統(tǒng)包括離線分析和在線檢測兩部分,其中離線分析部分實現(xiàn)對檢測特征的分析和提取,在線檢測部分則基于檢測模型,應(yīng)用檢測特征實現(xiàn)對僵尸網(wǎng)絡(luò)的檢測。
(2) 設(shè)計了基于“響應(yīng)-命令”的僵尸程序網(wǎng)絡(luò)行為檢測特征提取方法,設(shè)計了異常檢測和特征檢測相結(jié)合的僵尸程序網(wǎng)絡(luò)行為檢測特征結(jié)構(gòu),提出了僵尸程序活動周期的概念,并重點研究命令特征提取算法。
(3) 基于 Bro 入侵檢測系統(tǒng),實現(xiàn)了一個采用網(wǎng)絡(luò)行為分析技術(shù)的僵尸網(wǎng)絡(luò)檢測原型,對原型進(jìn)行測試和分析。
第二章 僵尸網(wǎng)絡(luò)概述
2.1 僵尸網(wǎng)絡(luò)定義
僵尸網(wǎng)絡(luò)的起源可以追溯到 1993 年 EggDrop 的出現(xiàn),EggDrop 是一個良性的僵尸程序,最初的目的是幫助 IRC 管理員對網(wǎng)絡(luò)進(jìn)行管理,但是這也給了黑客們一些啟發(fā)。而分布式拒絕服務(wù)僵尸網(wǎng)絡(luò)檢測技術(shù)技術(shù)的成熟,給黑客們利用僵尸程序進(jìn)行惡意活動提供了技術(shù)支持,于是在 1999 年第 8 次 DEFCON 年會上發(fā)布了第一個真正意義上的僵尸程序 SubSeven 2.1。隨后在互聯(lián)網(wǎng)中出現(xiàn)了大量的基于 IRC 協(xié)議的僵尸程序,如:SDBot、Agobot、GT-Bot、Rbot 等。此后,為了讓僵尸網(wǎng)絡(luò)具有更好的隱蔽性和僵尸網(wǎng)絡(luò)檢測技術(shù)性,僵尸網(wǎng)絡(luò)檢測技術(shù)者開始利用 HTTP 協(xié)議和 P2P 協(xié)議構(gòu)建僵尸網(wǎng)絡(luò),因為這兩種僵尸網(wǎng)絡(luò)較 IRC 僵尸網(wǎng)絡(luò)而言是難以檢測到的,并在 2002 年出現(xiàn)了第一個基于 P2P 協(xié)議的僵尸程序 Slapper,最早的基于 HTTP 協(xié)議的僵尸程序是 Bobax。僵尸網(wǎng)絡(luò)是一種新型的網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)檢測技術(shù)方式,它是由傳統(tǒng)的惡意代碼形態(tài)。
2.2 僵尸病毒的網(wǎng)絡(luò)行為特征
一是傳播:傳播是指采用特洛伊木馬、郵件病毒等幾種方式傳播僵尸程序到別的主機(jī)上。
二是加入:加入是指被感染主機(jī)隨著隱藏的僵尸程序的發(fā)作而加入到僵尸網(wǎng)絡(luò)中。
三是控制:控制是指僵尸網(wǎng)絡(luò)檢測技術(shù)者發(fā)送命令使受感染主機(jī)執(zhí)行惡意行為。
2.3 僵尸網(wǎng)絡(luò)運(yùn)行流暢與危害
與其它的惡意代碼相比,僵尸網(wǎng)絡(luò)有很大的不同:首先它可以建立一個命令與控制(C&C)信道。通過該信道,控制者能夠?qū)Ρ凰刂频挠嬎銠C(jī)發(fā)送 C&C 信息,即對僵尸主機(jī)進(jìn)行實時控制,而僵尸主機(jī)的各種信息(所在地、在線與否和主機(jī)型號等)都將通過該 C&C 信道傳送給控制者;其次,從僵尸網(wǎng)絡(luò)的結(jié)構(gòu)和已知的僵尸網(wǎng)絡(luò)來看,僵尸網(wǎng)絡(luò)具有隱蔽性強(qiáng)、傳播速度快、分布范圍廣、難以追蹤、危害等級高和高度可控性等特點,使得其危害日益嚴(yán)重。所以僵尸網(wǎng)絡(luò)檢測成為近年來網(wǎng)絡(luò)安全研究領(lǐng)域的研究熱點之一。利用發(fā)送分布式拒絕服務(wù)僵尸網(wǎng)絡(luò)檢測技術(shù)造成網(wǎng)絡(luò)堵塞;發(fā)送新的蠕蟲僵尸網(wǎng)絡(luò)檢測技術(shù)可以使網(wǎng)絡(luò)癱瘓;發(fā)送大量的垃圾郵件;可以通過僵尸主機(jī)盜用大量的網(wǎng)絡(luò)資源、竊取用戶的個人信息等。
第三章 總結(jié)與展望
滲透測試人員在使得累積因子A(t)達(dá)到上界A_max時,提高M(jìn)CS,當(dāng)NACK出現(xiàn)頻度比較高使得累積因子A(t)達(dá)到下界A_min時,降低MCS。在MCS達(dá)到最大值或者最小值的時候,其次動態(tài)調(diào)整MCS和重復(fù)模塊。清除了所有的事件日志,但取證分析者可能會注意到目標(biāo)系統(tǒng)上其他有意思的事情,從而能效益對鏈路狀況進(jìn)行度量,調(diào)整重復(fù)次數(shù)和MCS重復(fù)次數(shù)。類似的,本章根據(jù)反饋的確認(rèn)信息的種類及累計數(shù)量進(jìn)行調(diào)整。每次收到一個ACK,累計加1個值,每次收到一個NACK子載波間隔(MAC Flooding 滲透攻擊),累計減1個值。因為高M(jìn)CS對應(yīng)的?;诙嗑S參數(shù)調(diào)整的NB-IoT鏈路自適應(yīng)方法由兩部分組成:我們注重MCS的調(diào)整。當(dāng)接收到的ACK比NACK數(shù)量多使得累積因子A(t)達(dá)到上界A_max時,提高M(jìn)CS,當(dāng)NACK出現(xiàn)頻度比較高使得累積因子A(t)達(dá)到下界A_min時,降低MCS。在MCS達(dá)到最大值或者最小值的時候,其次動態(tài)調(diào)整MCS和重復(fù)次數(shù)可以適應(yīng)環(huán)境的環(huán)境的持續(xù)改變。子載波間隔(MAC Flooding 滲透攻擊)為清晰描述方案。