基于特征相似性的僵尸云網(wǎng)絡(luò)檢測?

成淑萍

（1.四川文理學(xué)院智能制造學(xué)院 達(dá)州 635001）（2.達(dá)州智能制造產(chǎn)業(yè)技術(shù)研究院 達(dá)州 635001）

1 引言

近年來，隨著云計算技術(shù)的發(fā)展和成熟，越來越多的其他技術(shù)都爭先恐后地與之相結(jié)合，產(chǎn)生了一大批的新型技術(shù)和事物，人們從中獲得的收益也日益增大。當(dāng)然這結(jié)合中間也少不了網(wǎng)絡(luò)安全的威脅者——病毒、蠕蟲、惡意代碼等。其中網(wǎng)絡(luò)安全的最大威脅之一的僵尸網(wǎng)絡(luò)的變化多樣一直是研究人員的研究難點(diǎn)，在云計算的時代里，僵尸網(wǎng)絡(luò)利用云計算的高資源利用率優(yōu)勢彌補(bǔ)了在傳統(tǒng)網(wǎng)絡(luò)的缺點(diǎn)，使其如魚得水。僵尸云網(wǎng)絡(luò)的研究成為網(wǎng)絡(luò)安全研究者的研究熱點(diǎn)問題，其中僵尸云網(wǎng)絡(luò)的檢測及反制是研究的難點(diǎn)。

傳統(tǒng)的僵尸網(wǎng)絡(luò)是一種入侵網(wǎng)絡(luò)空間內(nèi)若干非合作用戶終端構(gòu)建的、可被攻擊者遠(yuǎn)程控制的通用計算平臺［1～2］。在云環(huán)境中構(gòu)建的具有傳統(tǒng)僵尸網(wǎng)絡(luò)的作用的僵尸網(wǎng)絡(luò)就是僵尸云網(wǎng)絡(luò)。與以往的僵尸網(wǎng)絡(luò)相比，BotClouds中的BotMasters不是使用一個被感染網(wǎng)絡(luò)的主機(jī)，而是使用云服務(wù)構(gòu)建僵尸網(wǎng)絡(luò)。BotMasters購買云服務(wù)提供商的主機(jī)群，在每臺主機(jī)上安裝Bot程序從而形成基于云計算的僵尸網(wǎng)絡(luò)或稱為僵尸云。傳統(tǒng)的僵尸網(wǎng)絡(luò)需要大量的時間來進(jìn)行構(gòu)造，而僵尸云往往只需要幾分鐘，傳統(tǒng)僵尸網(wǎng)絡(luò)因檢測和監(jiān)測的不斷威脅或計算機(jī)用戶的使用不能充分利用處理器和寬帶資源，而僵尸云可以沒有中斷的顧慮充分利用這些資源［3］。

本文在分析傳統(tǒng)僵尸網(wǎng)絡(luò)相似性特征度量的情況下，提出了基于特征相似性的僵尸云網(wǎng)絡(luò)的檢測框架。

2 相關(guān)研究

傳統(tǒng)的僵尸網(wǎng)絡(luò)檢測機(jī)制有基于行為特征［4～6］、基于蜜罐/蜜網(wǎng)技術(shù)［7～9］、基于流量聚類分析［10～11］三種，從已有的研究成果可以看出這三種檢測機(jī)制都存在一定的問題。基于行為特征的檢測機(jī)制對特征庫中已有的僵尸網(wǎng)絡(luò)檢測方法的效率及準(zhǔn)確度是最高的，但僵尸網(wǎng)絡(luò)采用的協(xié)議、網(wǎng)絡(luò)結(jié)構(gòu)的變化對已有的特征就會失效；基于蜜罐/蜜網(wǎng)技術(shù)的檢測機(jī)制以一種新的思想來構(gòu)建一個誘捕網(wǎng)，在保證網(wǎng)絡(luò)的高度可控性的前提下，可以用多種工具對攻擊信息進(jìn)行收集和分析，但它的被動性和指紋的存在使其效率和實(shí)施較困難；基于流量聚類分析的檢測機(jī)制能對網(wǎng)絡(luò)流量時行主機(jī)的監(jiān)測和捕獲，并從收集到的網(wǎng)絡(luò)數(shù)據(jù)信息采用某種聚類分析算法得出其特征，但面對大量的網(wǎng)絡(luò)流量某單個用戶實(shí)施比較困難，對于專業(yè)機(jī)構(gòu)流量分析效率、準(zhǔn)確度難以得到保證，另外對于加密的通信流量分析都存在相當(dāng)大的問題。

對于BotCloud的檢測國內(nèi)的研究成果較少，在對云環(huán)境下的僵尸網(wǎng)絡(luò)的研究［12］中對僵尸云計算平臺下僵尸網(wǎng)絡(luò)的檢測技術(shù)有簡單的介紹，并沒有進(jìn)行深入的分析和研究。國外有大量的研究成果，2014年基于僵尸云網(wǎng)絡(luò)的行為的檢測方法中，針對僵尸云網(wǎng)絡(luò)的被感染端發(fā)起攻擊時會出現(xiàn)與傳統(tǒng)僵尸網(wǎng)絡(luò)不同指標(biāo)特征，從一個系統(tǒng)的視角對僵尸云網(wǎng)絡(luò)發(fā)起攻擊時可能會產(chǎn)生的特征進(jìn)行分析［13］。但因僵尸云網(wǎng)絡(luò)所具有的云計算技術(shù)的新特點(diǎn)，用傳統(tǒng)僵尸網(wǎng)絡(luò)的行為特征去檢測新型的僵尸云網(wǎng)絡(luò)已經(jīng)失去了作用，因此必須先分析出僵尸云網(wǎng)絡(luò)行為的新特征，再利用特征相似性來進(jìn)行僵尸云網(wǎng)絡(luò)的檢測。Jerome Francois提出一種利用主機(jī)的分布式計算框架依賴模型的自適應(yīng)算法進(jìn)行取證分析，并在開源的Hadoop集群中進(jìn)行了實(shí)驗(yàn)，可以檢測出僵尸網(wǎng)絡(luò)主機(jī)之間的關(guān)系［14］，但云服務(wù)提供商之間的合作還有很多問題需要解決。

從上面的國內(nèi)外研究現(xiàn)狀可以發(fā)現(xiàn)已有的檢測機(jī)制不適合云環(huán)境下的僵尸云網(wǎng)絡(luò)。因此，我們在傳統(tǒng)的行為特征檢測機(jī)制上進(jìn)行改進(jìn)，用數(shù)據(jù)流、數(shù)據(jù)包和主機(jī)通信量［15］三個流量統(tǒng)計信息來刻畫僵尸網(wǎng)絡(luò)的特征因素，并把該方法應(yīng)用到云計算的環(huán)境中，使其特征庫能進(jìn)行實(shí)進(jìn)更新，解決傳統(tǒng)的基于行為特征的檢測機(jī)制中存在的問題。

3 基于特征相似性的僵尸云網(wǎng)絡(luò)檢測

3.1 特征相似性度量因素

1）數(shù)據(jù)流統(tǒng)計

數(shù)據(jù)流主要反映僵尸主機(jī)的在線情況，用兩個連續(xù)時間段內(nèi)的數(shù)據(jù)流統(tǒng)計具有相似的變化趨勢來判斷兩組僵尸主機(jī)屬于同一僵尸網(wǎng)絡(luò)。以某個時間段數(shù)據(jù)流的數(shù)量作為統(tǒng)計值記為fpt，其中fpti（t）表示僵尸網(wǎng)絡(luò)i在第t時間段的數(shù)據(jù)流統(tǒng)計數(shù)量。兩組僵尸主機(jī)在數(shù)據(jù)流統(tǒng)計量變化趨勢的相似度的計算如式（1）所示，當(dāng)Sfpt（t，t+1）的值越趨近于1，兩組僵尸主機(jī)的數(shù)據(jù)流統(tǒng)計量在這兩個時間段內(nèi)的變化情況越相近。

2）數(shù)據(jù)包統(tǒng)計

由于僵尸網(wǎng)絡(luò)的受控主機(jī)群在某一工作階段與服務(wù)器交互的信息是比較固定的，因此與服務(wù)器的通信數(shù)據(jù)流中的數(shù)據(jù)包數(shù)量（ppf）相近。ppfj（t）為第t個時間段數(shù)據(jù)流fpti（t）中數(shù)據(jù)包數(shù)量的統(tǒng)計值，在此我們考慮的網(wǎng)絡(luò)狀態(tài)為理想情況下。ppf在兩個時間段變化的相似度計算如式（2）所示，當(dāng)Sppf（t，t+1）的值越趨近于1，兩組僵尸主機(jī)的通信數(shù)據(jù)流中的數(shù)據(jù)包數(shù)量越相近，也就代表兩組僵尸主機(jī)正在與服務(wù)器完成相同的動作。

3）主機(jī)通信量統(tǒng)計

同一僵尸網(wǎng)絡(luò)的受控主機(jī)在控制者的統(tǒng)一操作下，其通信量有相似的變化規(guī)律。通過綜合分析各通信特征變化趨勢的相似性，判斷兩批僵尸主機(jī)間的關(guān)系。以IP地址表示在線僵尸主機(jī)，第t個時間段，某個IP地址的通信數(shù)據(jù)流數(shù)量（fpi）的統(tǒng)計值為fpij（t）。僵尸網(wǎng)絡(luò)處于攻擊狀態(tài)的主機(jī)的通信量數(shù)據(jù)非常龐大，為了更方便計算兩組僵尸主機(jī)的主機(jī)通量量的相似度，我們把fpi出現(xiàn)的次數(shù)加權(quán)算術(shù)平均值進(jìn)行計算，其函數(shù)見式（3），其中m為總次數(shù)，j為某次的通信數(shù)據(jù)流，N為該時間段內(nèi)總的通信量。FPIi（t）在兩個連續(xù)時間段內(nèi)的相似度見式（4）所示，當(dāng)Sfpi（t，t+1）的值越趨近于1，則兩組僵尸主機(jī)屬于同一僵尸網(wǎng)絡(luò)的可能性較大。

3.2 檢測框架模型

該檢測框架采用集中式的結(jié)構(gòu)，其結(jié)構(gòu)圖如圖1所示。中心點(diǎn)為中心關(guān)聯(lián)模塊，其主要功能為每個云服務(wù)提供商（CSP）提供聚類分析、檢測報告反饋及與特征數(shù)據(jù)庫之間的數(shù)據(jù)交換。單個云服務(wù)提供商與中心點(diǎn)的功能圖如圖2所示，在云服務(wù)提供商中主要包含數(shù)據(jù)收集、特征收集與管理器三部分功能。

圖1 檢測框架結(jié)構(gòu)圖

圖2 檢測框架中云服務(wù)提供商功能分解圖

數(shù)據(jù)收集：主要把由該主機(jī)發(fā)出，和訪問該主機(jī)的數(shù)據(jù)流量收集起來，作為特征信息收集的基礎(chǔ)數(shù)據(jù)。

特征數(shù)據(jù)收集：把數(shù)據(jù)收集到信息運(yùn)用特征相似性度量的三個因素進(jìn)行特征數(shù)據(jù)收集。

管理器：主要作用是與中心點(diǎn)進(jìn)行數(shù)據(jù)的交換，把收集到的特征數(shù)據(jù)發(fā)送給中心點(diǎn)進(jìn)行聚類分析，然后給出報告。如果發(fā)現(xiàn)收集到數(shù)據(jù)為特征數(shù)據(jù)通知云服務(wù)提供商斷開兩者的通信并進(jìn)行通信的過濾，從而從僵尸網(wǎng)絡(luò)的受控主機(jī)與僵尸服務(wù)器斷開通信，也可使正在執(zhí)行攻擊任務(wù)的受控主機(jī)失去攻擊目標(biāo)。

4 結(jié)語

本文針對新型的僵尸云網(wǎng)絡(luò)，與云計算技術(shù)結(jié)合的情況下，采用數(shù)據(jù)流、數(shù)據(jù)包和主機(jī)通信量三個特征，提出了一個新的基于特征相似性的僵尸云網(wǎng)絡(luò)檢測框架，并對框架中每個功能部分進(jìn)行了闡述。為下一步進(jìn)行實(shí)體實(shí)驗(yàn)提供了理論支撐依據(jù)。但在研究中還存在以下兩個問題，一是三個特征相似性度量因素只考慮了理想狀態(tài)的網(wǎng)絡(luò)情況，沒有對實(shí)際網(wǎng)絡(luò)通信中存在多種問題進(jìn)行考慮，以至度量因素的準(zhǔn)確度需進(jìn)一步提高；二是不同云服務(wù)提供商之間的競爭和技術(shù)多樣化，在該檢測機(jī)制在某個云服務(wù)提供高上實(shí)施的可行性較高，但如何使多個云服務(wù)提供商進(jìn)行協(xié)作檢測就是下一步研究的重點(diǎn)和難點(diǎn)。