基于多維流量特征的IRC僵尸網絡頻道檢測

閆健恩，袁春陽，許海燕，張兆心

（1. 哈爾濱工業大學 計算機科學與技術學院，黑龍江 哈爾濱 150001；2. 國家計算機網絡應急技術處理協調中心，北京 100029）

1 引言

僵尸網絡（Botnet）是從傳統惡意代碼形態的基礎上進化的，并通過相互融合發展而成為目前最為復雜的攻擊方式之一[1]。僵尸網絡作為一種新型的攻擊方式，給互聯網的安全造成了嚴重威脅和巨大損失。CNCERT 2012年11月監測報告指出，我國有165萬余個 IP 地址對應的主機被木馬或僵尸程序控制[2]。

從拓撲結構上看，基于IRC協議的僵尸網絡是一種集中式僵尸網絡[3]。雖然分布式僵尸網絡比較流行，但IRC 僵尸網絡由于實現簡單、操控性靈活，目前在互聯網上仍然活躍。如何準確檢測僵尸網絡及其控制通信信道，是一個很大的挑戰。僵尸網絡檢測技術從數據來源可分為基于網絡流量數據和其他系統信息數據(如DNS日志數據、入侵檢測記錄數據等)；從異常模式分析可分為基于內容特征分析(如通信端口、特殊二進制代碼等)和基于行為特征分析(如網絡行為特征或流量行為特征)。在分析和檢測研究中，最早開展跟蹤研究工作的團隊是德國蜜網項目組，他們對近100個Botnet活動進行了跟蹤和分析。此外，FEDYNYSHYN等[4]使用不同的分類算法，分析了正常網絡流量和僵尸網絡流量在發送和接收數據數量上的差異，結合域名和IP地址，實現了僵尸網絡的檢測，但其只分析了流量數量單一的特征，具有一定的缺陷。文獻[5]分析僵尸網絡發起攻擊時的異常TCP流量，以此進行僵尸網絡檢測，不過，此方法對非TCP流量的攻擊或者非攻擊活動的僵尸網絡檢測無效。另外，文獻[6]中使用惡意URL黑名單，分析了僵尸網絡使用域名的特性，從而實現了對僵尸網絡活動的追蹤，并對可疑 URL進行判別。文獻[7]利用僵尸網絡客戶端定期持續向控制者主動進行連接的特性，借助正常目的地址白名單，檢測僵尸網絡。還有 LU等[8]使用隱式馬爾可夫鏈模型對僵尸網絡的流量進行分析和檢測。文獻[9]中對僵尸網絡的整體情況和目前的檢測技術進行了較全面的介紹。文獻[10]介紹了基于智能手機短信技術構建新型移動互聯網僵尸網絡。

基于流量特征的檢測適應于大規模數據量的情況，不進行數據內容分析，相對執行效率較高，能夠滿足實時分析的需求。不過，以往流量技術檢測僵尸網絡的方法中，關注的只是數據流的部分或局部時段屬性特征，從而不能全面刻畫僵尸網絡數據流的特點，故本文從多種僵尸網絡頻道數據流的特征出發，考慮不同周期內數據流的特點，從而實現了對僵尸網絡頻道的檢測。

2 僵尸網絡頻道流量特征

由于正常的網絡活動可以看成是沒有主觀控制意識的隨機活動，而IRC僵尸網絡的活動具有人為控制的特點，因而從網絡數據流量角度看，正常的網絡流量隨機性較強，即使有突發流量變化，也不會出現規律性的周期變化。而僵尸網絡的數據流量由于人為主觀控制的原因，具有周期性和規律性特點，下面分析一下僵尸網絡流量的特征。

1) 聚類和相似性特征

同一頻道中的不同客戶端的流量存在聚類性質和相似性。文獻[11]中，作者把同一頻道內的正常主機和同一頻道內的僵尸主機的數據流進行分析得到：同一僵尸頻道內的僵尸主機與服務器之間形成的數據流具有很明顯的聚類和相似性特征，而同一正常頻道內的正常主機與服務器之間的數據流差距較大，不具有聚類和相似性特征。產生這種特征原因是：處于同一個頻道的僵尸主機只能被動地接收來自服務器端的命令，執行相應的操作并返回操作結果，因此，同一頻道上的所有僵尸主機在與服務器交互組成的數據流之間具有聚類和相似性特征；并且不同僵尸頻道上的客戶端數據流之間不存在聚類和相似性特征。對于正常的頻道內的客戶端數據流，由于客戶端交互內容的隨意性，因此不存在聚類和相似性特征。

2) 命令反應時間特征

僵尸程序內置的命令執行功能可以完成控制者通過服務器推送過來的命令，在較短的固定時間周期內向服務器返回回饋信息，而正常的IRC用戶聊天，由于用戶隨機的思考時間和消息輸入時間，則會存在數據之間不固定的時間間隔，它與僵尸程序的反應時間的特征差距很大。例如，正常IRC聊天過程中，用戶在登錄過程中需要人工輸入用戶名和密碼，在選擇頻道時也會需要一定時間，而僵尸程序中已經內置登錄過程中的一切信息，完成登錄頻道的時間僅需十幾到幾十毫秒。

3) 平均分組長度特征

在僵尸網絡沒有發動惡意行為時，絕大部分時間處于靜默期，在這段時間內服務器和客戶端之間主要通過 PING/PONG分組維持網絡連通。因為PING/PING分組長度較小且發送的時間間隔較大，因此，僵尸網絡的平均分組長度通常較小，并且同一個服務器的PING/PONG數據分組的長度是固定不變的[12]。

4) 相鄰數據分組的時間間隔特征

由于處于靜默期的僵尸網絡通過 PING/PONG分組進行交互，而同一個服務器的相鄰 PING/PONG分組間的時間間隔相對穩定，文獻[6]中對僵尸網絡中的相鄰PING/PONG數據分組之間的時間間隔進行測試，發現PING/PONG數據分組的時間間隔為90～110 s。因此，如果數據分組的到達時間間隔一直處在90～110 s，而且持續時間很長，則可以認為其處于僵尸網絡的靜默期。

5) 流量高峰和協同流量高峰特征

僵尸網絡不同時期內，頻道數據流量的大小是不同的。處于靜默期的僵尸網絡，頻道上只有少量的 PING/PONG分組在服務器端和客戶端進行交互；而處于攻擊期的僵尸網絡，會通過服務器在短時間內會發送大量的攻擊命令，隨后bot主機也會向服務器反饋其執行命令的結果。由于這種行為，僵尸網絡在客戶端會存在流量高峰的特征，并且服務器端和客戶端會存在協同流量高峰特征。而正常IRC頻道中主機之間的交互流量一般比較平緩，很難出現較大的波幅。

利用以上介紹的僵尸網絡多種流量數據特征，本文提出了一個檢測IRC僵尸網絡頻道的方法，通過流量特征的分析，發現僵尸網絡活動。

3 基于多維流量特征的僵尸網絡流頻道檢測

數據流可以為2個IP地址之間的所有數據分組組成的流，也可以為2個主機的（IP,PORT）對組成的流。因此，需要在研究中給出明確的數據流定義。

定義 數據流S=(sip,sport,dip,dport,data)，其中sip是IRC服務器IP地址；sport是IRC服務器端口；dip是客戶端IP地址；dport為客戶端端口；data是滿足上述IP地址和端口條件的2個主機之間發送的所有數據分組。

僵尸網絡頻道數據的流量高峰和協同流量高峰、命令反應時間、平均分組長度和相鄰數據分組的時間間隔這些特征，通過分析捕獲的數據流即可獲得，在此不做過多描述，下面主要講述分析數據流的聚類和相似性的方法。

3.1 數據流聚類算法

在實際應用過程中，使用最大最小距離算法和k-means算法結合的方式進行數據流聚類分析，但是原始的聚類算法不能滿足要求，故對2種算法進行改進，從而滿足效率和性能的要求。原始的最大最小距離算法[13]和 k-means算法[14,15]在此不做描述，著重描述改進的算法。

1) 改進的最大最小距離算法

最大最小距離算法中的第一個聚類中心 c1是隨機產生的，這樣得到的距離|c2-c1|也具有隨機性。而在算法的最后需要判斷是否需要產生新的聚類中心時要對參數 m進行設定，判斷公式為 max S{Dsj}＞m(|c2-c1|)。因此，對參數m設定一個固定值并得到很好的聚類效果是非常困難的。下面對最大最小聚類算法進行相關的改進以消減原始算法中的隨機性。改進的最大最小算法如下。

算法輸入：待聚類的數據集S= {s1,s2,…,sn}。

算法輸出：帶有類別標識的數據集合。

算法描述：

步驟1

步驟3

重復步驟2的方法直到沒有新的聚類中心產生。

算法步驟2中的threshold是設定的固定值，可以根據實驗數據和專業領域知識確定，這樣處理的優點是聚類中心的產生不會因第一個聚類中心的產生而具有很大的隨機性。

由于 k-means算法需要事先設定聚類中心個數，如果任意設定該數量，那么可能得到的聚類結果不是十分精確，因此如果結合改進的最大最小距離算法，不僅可以按照需要的距離劃分聚類中心，同時也解決了k-means算法的聚類結果受初始凝聚點影響很大的缺點。改進的k-means算法如下。

2) 改進的k-means算法

算法輸入：待聚類的數據集S= {s1, s2,…,sn}。

算法輸出：帶有類別標識的數據集合Z。

算法描述：

步驟1

使用改進的最大最小距離算法得到最初的若干個聚類中心，C={c1, c2,…,ck}

步驟2

步驟3

計算每個Zj中新的均值作為聚類中心，重復步驟2和步驟3，直到初始分類的均值沒有變化。

3.2 數據流相似性分析

相似性分析是分析單位時間內各條數據流在各個時間段內的分組數和字節數特征。對聚類中的任意2條數據流，分別計算在對應時間段內的分組數之差的均值、分組數之差平方的均值、字節數之差的均值以及字節數之差平方的均值，采用歐式距離計算相似性。距離越小就說明2條數據流之間的相似性程度越大。相似性分析算法如下。

算法輸入：

3.3 僵尸網絡頻道檢測

通過對僵尸網絡頻道數據流特征的分析，本文使用流量聚類特征、相似性特征、平均分組長特征、流量高峰特征和協同流量高峰特征5個特征作為檢測依據。聚類特征和相似性特征可以通過頻道數據流分析判別。統計數據流中數據分組的平均長度，然后與給定的閾值進行對比，即可決定數據流是否滿足條件，平均分組長度閾值可以通過機器學習等方法確定。流量高峰特征和協同流量高峰特征通過單位時間的數據流對比分析即可判斷。檢測僵尸頻道時，根據5個流量特征計算檢測特征值，當特征值達到檢測閾值時，可以認為檢測到了僵尸網絡。下面給出檢測特征值函數f(x)的定義為

其中，ωi為影響力系數，0<ωi<1，且xi表示參與檢測的流量特征，當一個考察流量特征符合檢測條件時，xi=1，否則xi=0，n為檢測過程中流量特征數量。

影響力系數表明每種流量特性在IRC僵尸網絡頻道數據流中表現的強弱和重要性。IRC僵尸網絡活動的群體性和一致性是重要行為表現，尤其是相似性特點，故設置聚類特征影響系數ω1=0.2、相似性特征影響系數ω2=0.3，而靜默期的正常IRC頻道和僵尸頻道都使用PING/PONG分組維持通信，數據分組大小類似，只是在時間長短上有差異，因此設置平均分組長度特征影響系數ω3=0.1，同樣，流量高峰和協同流量高峰也是群體性和一致性是重要行為表現，所以，設置流量高峰特征影響系數ω4=0.2、協同流量高峰特征影響系數ω5=0.2。通過實驗數據統計分析，將僵尸網絡數據流檢測函數的閾值設定 0.5，當超過此閾值時可以判斷檢測到僵尸網絡流量。閾值的選取與檢測數據的數量、僵尸網絡的周期性有關聯，因此可以通過不斷的積累和自學習更新閾值，達到更好的檢測效果。

4 實驗及結果分析

在Windows XP環境搭建IRC測試環境，包括1臺部署IRC服務器、1臺部署正常IRC客戶端、6臺部署bot客戶端、1臺作為僵尸網絡控制者的主機。在IRC服務器上建立多個頻道。其中包括2個正常頻道normal1和normal2，normal1內正常IRC客戶端保持靜默狀態，normal2內正常IRC客戶端進行聊天活動，一臺IRC客戶端主機分別登錄這2個頻道；3個僵尸網絡頻道 botnet1、botnet2、botnet3，每個頻道中，有2臺包含bot客戶端的主機，其中botnet1內 bot客戶端保持僵尸網絡的靜默狀態，botnet2內bot客戶端由攻擊期轉向靜默期，botnet3內bot客戶端接收控制命令，執行攻擊。使用wincap技術分別采集測試環境客戶端和服務器端 48 h的數據流量，由于normal1頻道保持靜默狀態，故使用了normal2中數據流s4作為正常頻道數據分析，8條數據流如表1所示。下面對數據流進行分析。

表1 數據流與頻道關系

4.1 數據流聚類分析

聚類分析結果如表2所示。從表中可以看到，8條數據流被分為5個類別，改進的k-means算法的聚類1中包含數據流s5和s6；聚類2包含數據流s1和 s2；聚類 4包含數據流 s7和 s8。因為它們分別處于僵尸頻道botnet1、botnet3和botnet2，接收控制者發送控制命令并將命令的執行結果返回給控制者，或保持僵尸網絡靜默狀態，因此具有相同的特性，被聚類到一起。聚類3只有數據流s3，因為是控制者數據流，不同于其他頻道中的數據；聚類5只有數據流s4，由于處于正常頻道，與其他僵尸客戶端通信內容不同。而原始k-means算法將s5、s7和 s6、s8聚集到一類，原因是初始中心數量的隨機選取產生的影響，并且s7和s8所在的頻道是從攻擊期進入靜默期，攻擊持續時間較短，流量也較小，從而影響了聚類的結果。另外，改進的k-means算法在收斂速度上也比原始方法快，尤其是在大量數據情況下，在本次實驗處理時，由于數據量較小，收斂速度差別不是很大。

表2 數據流聚類比較分析結果

4.2 數據流相似性分析

相似性分析的結果如表3所示。可以看到聚類1、2、4中的所有數據流具有很大的相似性。產生上述結果的原因是這 3個聚類中的數據流分別處于同一個僵尸頻道。每一個僵尸頻道中的所有數據流幾乎會在同一時間接收到控制者的控制命令并幾乎同時向控制者返回命令執行結果信息。因此，僵尸頻道中的每個客戶端的數據流很相似，具有相似性特征。

4.3 數據分組平均長度分析

數據分組平均長度分析結果如表4所示。數據表明：由于s5和s6為botnet1中的僵尸流，處于靜默期，之間只有PING/PONG數據分組，平均分組大小最小；s7和s8為botnet2中的僵尸流，從攻擊期轉向靜默期，平均數據分組大小稍大；s4為normal1和normal2的正常聊天流，平均數據分組大小較大；而s3為控制者流，向僵尸主機發送控制命令，平均數據分組大小較s4大；流s1和s2為botnet3中的數據流處于攻擊期，不斷執行控制命令并返回命令執行結果，平均數據分組大小最大。

表3 數據流相似性分析結果

表4 平均分組長度分析結果

4.4 流量高峰和協同流量高峰分析

由于數據流 s1與 s2，s5與 s6，s7與 s8分別是同一僵尸頻道中的數據，具有相同的行為活動，因此，分別使用其中的一個來描述各條數據流的變化情況。數據流 s1和 s3的數據流量如圖 1所示，由于s1是botnet3中的數據流，且處于攻擊期，因此數據流量比較大；s3由于是控制者，它控制整個僵尸網絡的頻道，因此數據流量最大，另外，bot端接收攻擊命令后，要對其返回結果，故流量 s1和 s3具有基本同步的流量高峰。數據流 s4和 s5的數據流量情況如圖 2所示，s4為正常 IRC聊天頻道數據流，因此流量變化相對穩定，沒有明顯的流量高峰，s5雖然是僵尸網絡頻道數據流，不過由于處于靜默期，數據流量較少，故高峰情況不明顯。圖 3中數據流 s7由于僵尸活動是從攻擊期轉向靜默期，在前期攻擊期出現流量的高峰，不過大部分時間數據量較少。從以上分析可知，處于攻擊期的僵尸網絡流量高峰特征明顯，如數據流s3、s1(s2)和s7(s8)，而正常頻道s4和靜默期的僵尸網絡流量s5(s6)，這個特征不明顯。

圖1 s1和s3流量高峰示意

圖2 s4和s5流量高峰示意

圖3 s5和s7流量高峰示意

接下來，分析總數據流和各條數據流之間的協同流量高峰。由于數據流 s1(s2)是處于攻擊期的botnet3的數據流，并且數據流s3為控制者數據流，它們會產生大量數據分組并明顯影響總的數據分組個數，因此，攻擊期間客戶端和服務器之間存在協同流量高峰特征，結果如圖4和圖5所示。數據流 s7(s8)的前段時間處于攻擊期，具有流量高峰特征，不過由于其發送數據分組較少，故與服務器間沒有明顯的協同流量高峰特征，結果如圖6所示。而數據流s4為正常聊天數據流，s5(s6)是處于靜默期的僵尸網絡數據流，因此與服務器不存在協同流量高峰特征，結果如圖7所示。

圖4 s1和IRC服務器協同流量高峰示意

圖5 s3和IRC服務器流量協同高峰示意

圖6 s7和IRC服務器流量協同高峰示意

圖7 s4 與s5和IRC服務器流量協同高峰示意

綜合上述實驗數據結果，使用定義的僵尸網絡頻道檢測特征值函數分別計算每個頻道數據流的特征值，結果如表5所示。可以看到，僵尸頻道中的數據流特征值都在給定閾值之上，故使用流量多特征的檢測方法，可以檢測出僵尸網絡的數據流，從而判斷僵尸網絡的存在。不過，由于IRC僵尸頻道中的bot是集體活動，流量特征比較明顯，便于從流量的角度發現其惡意活動，但控制者由于單獨存在或者利用中間跳板，其多種流量特征反映不盡相同，故檢測時可能需要更多的信息。

表5 數據流檢測特征值

5 結束語

本文對基于流量特征的IRC僵尸網絡頻道檢測方法進行了探索和研究，分析了僵尸網絡在不同活動階段所反映的流量特點，提出了基于多維僵尸網絡流量特征的IRC僵尸網絡頻道檢測方法，通過實驗表明，方法在檢測的有效性方面是可行的。不過方法也存在不足，例如，如果僵尸網絡處于非攻擊活動階段時，很難從流量特征進行檢測等，因此還需要其他的檢測方法輔助進行，從而更加準確地發現僵尸網絡活動。

[1] 諸葛建偉, 韓心慧, 周勇林等. 僵尸網絡研究[J]. 軟件學報, 2008(3)：702-715.ZHUGE J W, HAN X H, ZHOU Y L, et al. Research and development of Botnets[J]. Journal of Software, 2008(3)：702-715.

[2] CNCERT/CC互聯網安全威脅報告[EB/OL]. http：//www.cert.org.cn/publish/main/upload/File/20121227monthly11.pdf, 2012.CNCERT/CC Internet security threat report[EB/OL]. http：//www.cert.org.cn/publish/main/upload/File/20121227monthly11.pdf, 2012.

[3] 江健, 諸葛建偉, 段海新等. 僵尸網絡機理與防御技術[J]. 軟件學報, 2012, 23(1)： 82-96.JIANG J, ZHUGE J W, DUAN X H, et al. Research on Botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1)： 82-96.

[4] FEDYNYSHYN G, CHUAH M, TAN G. Detection and classification of different Botnet C&C channels[A]. Proceedings of the 8th International Conference[C]. Banff, Canada, 2011.228-242.

[5] BINKLEY J R, SINGH S. An algorithm for anomaly-based Botnet detection[A]. Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet[C]. Berkeley, CA, USA, 2006.43-48.

[6] TSAI M H, CHANG K C, LIN C C, et al. C&C tracer： Botnet command and control behavior tracing[A]. Proceedings of the 2011 IEEE International Conference on Systems, Man and Cybernetics (SMC)[C].Anchorage, AK, 2011. 1859-1864.

[7] GIROIRE F, CHANDRASHEKAR J, TAFT N, et al. Exploiting temporal persistence to detect covert botnet channels[A]. Proceedings of the Recent Advances in Intrusion Detection[C]. Springer Berlin Heidelberg, Brittany, France, 2009. 326-345.

[8] LU C, BROOKS R. Botnet traffic detection using hidden Markova models[A]. Proceedings of the Seventh Annual Workshop on Cyber Security and Information Intelligence Research[C]. Oak Ridge, TN,USA, 2011. 31.

[9] BREZO F, SANTOS I, BRINGAS P G, et al. Challenges and limitations in current botnet detection[A]. Proceedings of the 22nd International Workshop on Database and Expert Systems Applications(DEXA)[C]. Toulouse, 2011. 95-101.

[10] HUA J, SAKURAI K. Botnet command & control based on short message service and human mobility[J]. Computer Networks, 2012(57)：579-597.

[11] AKIYAMA M, KAWAMOTO T, SHIMAMURA M, et al. A proposal of metrics for Botnet detection based on its cooperative behavior[A].Proceedings of Applications and the I nternet Workshops[C]. Hiroshima, Japan, 2007. 82.

[12] 王爽. 基于流量特征的IRC僵尸網絡檢測技術研究[D]. 哈爾濱：哈爾濱工業大學, 2008.WANG S. Research of IRC Botnet D etection Technology Based on Traffic Flow Characteristics[D]. Harbin： Harbin Institute of Technology, 2008.

[13] 孫吉貴, 劉杰, 趙連宇. 聚類算法研究[J]. 軟件學報, 2008, 19(1)： 48-61.SUN J G, LIU J, ZHAO L Y. Clustering algorithms research[J]. Journal of Software, 2008, 19(1)：48-61.

[14] HANSEN P, NGAI E, CHEU NG B K, et al. Analysis of global k-means, an incremental heuristic for minimum sum-of-squares clustering[J]. Journal of Classification, 2005, 22(2)：287-310.

[15] 陳德軍, 羅金成, 張兵. 基于改進的 k-means聚類算法的分類評價方法[J]. 武漢理工大學學報, 2011,33(1)：32-35.CHEN D J, LUO J C, ZHANG B. Classification and evaluation on reviewers based on improved k-means clustering algorithm[J]. Journal of WUT(Information & Management Engineering), 2011, 33(1)：32-35.