僵尸網絡檢測技術研究

王淏

摘要：僵尸網絡有別于以往簡單的安全事件，它是一個具有極大危害的攻擊平臺。利用該平臺，攻擊者能夠發起各種各樣的破壞行為，由于平臺的搭建是的這些破壞行為產生聚合，造成比傳統破壞行為更大的危害，并且使得攻擊的防范難度增大。僵尸網絡將攻擊源從一個轉化為多個，乃至一個龐大的網絡體系，通過網絡來控制受感染的系統，同時不同地造成網絡危害如更快地傳播蠕蟲、短時間內竊取大量敏感信息、搶占系統資源進行非法目的牟利、發起大范圍的DDos攻擊等，受控網絡的存在，給危害追蹤和損失抑制帶來巨大的麻煩。

關鍵詞：滲透;僵尸網絡;行為特征分析

第一章 緒論

1.1 研究背景與意義

目的：隨著網絡技術的快速發展和網絡普及，網絡安全問題日益突出。僵尸網絡可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分布式拒絕服務（DDos）僵尸網絡檢測技術，同時發送大量的垃圾郵件等，而正是這種一對多的控制關系，使得僵尸網絡檢測技術者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet僵尸網絡檢測技術模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個僵尸網絡檢測技術平臺的角色，這也就使得Botnet不同于簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。

1.2 國內外研究現狀

國外研究現狀：學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析。

國內研究現狀：國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目，對收集到的惡意軟件樣本，采用了沙箱、蜜網這兩種各有優勢的技術對其進行分析，確認其是否為僵尸程序，并對僵尸程序所要連接的Botnet控制信道的信息進行提取，最終獲得了60，000 多個僵尸程序樣本分析報告，并對其中500多個仍然活躍的Botnet進行跟蹤，統計出所屬國分布、規模分布等信息。

1.3 論文主要內容與結構

論文針對僵尸網絡檢測技術開展研究，重點研究基于網絡行為分析的僵尸網絡檢測技術。首先深入分析了僵尸網絡的網絡行為特性，在此基礎上建立了命令特征字與流量異常輪廓相結合的檢測模型，并設計了一個使用該檢測模型的僵尸網絡檢測系統結構;其次，對檢測系統實現的關鍵技術-僵尸程序網絡行為特征提取技術進行了研究，給出了特征提取方法;最后，基于 Bro 入侵檢測系統實現并驗證了檢測系統原型。

（1）設計了一種基于網絡行為分析的僵尸網絡檢測系統結構，根據僵尸網絡能

建立 C&C 信道的特點，采用先響應后命令的方式，提取命令特征字與流量特征輪廓，建立了命令特征字與響應流量異常輪廓相結合的檢測模型，在此模型的基礎上，設計了檢測系統結構，系統包括離線分析和在線檢測兩部分，其中離線分析部分實現對檢測特征的分析和提取，在線檢測部分則基于檢測模型，應用檢測特征實現對僵尸網絡的檢測。

（2） 設計了基于“響應-命令”的僵尸程序網絡行為檢測特征提取方法，設計了異常檢測和特征檢測相結合的僵尸程序網絡行為檢測特征結構，提出了僵尸程序活動周期的概念，并重點研究命令特征提取算法。

（3） 基于 Bro 入侵檢測系統，實現了一個采用網絡行為分析技術的僵尸網絡檢測原型，對原型進行測試和分析。

第二章 僵尸網絡概述

2.1 僵尸網絡定義

僵尸網絡的起源可以追溯到 1993 年 EggDrop 的出現，EggDrop 是一個良性的僵尸程序，最初的目的是幫助 IRC 管理員對網絡進行管理，但是這也給了黑客們一些啟發。而分布式拒絕服務僵尸網絡檢測技術技術的成熟，給黑客們利用僵尸程序進行惡意活動提供了技術支持，于是在 1999 年第 8 次 DEFCON 年會上發布了第一個真正意義上的僵尸程序 SubSeven 2.1。隨后在互聯網中出現了大量的基于 IRC 協議的僵尸程序，如：SDBot、Agobot、GT-Bot、Rbot 等。此后，為了讓僵尸網絡具有更好的隱蔽性和僵尸網絡檢測技術性，僵尸網絡檢測技術者開始利用 HTTP 協議和 P2P 協議構建僵尸網絡，因為這兩種僵尸網絡較 IRC 僵尸網絡而言是難以檢測到的，并在 2002 年出現了第一個基于 P2P 協議的僵尸程序 Slapper，最早的基于 HTTP 協議的僵尸程序是 Bobax。僵尸網絡是一種新型的網絡僵尸網絡檢測技術方式，它是由傳統的惡意代碼形態。

2.2 僵尸病毒的網絡行為特征

一是傳播：傳播是指采用特洛伊木馬、郵件病毒等幾種方式傳播僵尸程序到別的主機上。

二是加入：加入是指被感染主機隨著隱藏的僵尸程序的發作而加入到僵尸網絡中。

三是控制：控制是指僵尸網絡檢測技術者發送命令使受感染主機執行惡意行為。

2.3 僵尸網絡運行流暢與危害

與其它的惡意代碼相比，僵尸網絡有很大的不同：首先它可以建立一個命令與控制（C&C）信道。通過該信道，控制者能夠對被他所控制的計算機發送 C&C 信息，即對僵尸主機進行實時控制，而僵尸主機的各種信息（所在地、在線與否和主機型號等）都將通過該 C&C 信道傳送給控制者;其次，從僵尸網絡的結構和已知的僵尸網絡來看，僵尸網絡具有隱蔽性強、傳播速度快、分布范圍廣、難以追蹤、危害等級高和高度可控性等特點，使得其危害日益嚴重。所以僵尸網絡檢測成為近年來網絡安全研究領域的研究熱點之一。利用發送分布式拒絕服務僵尸網絡檢測技術造成網絡堵塞;發送新的蠕蟲僵尸網絡檢測技術可以使網絡癱瘓;發送大量的垃圾郵件;可以通過僵尸主機盜用大量的網絡資源、竊取用戶的個人信息等。

第三章 總結與展望

滲透測試人員在使得累積因子A（t）達到上界A_max時，提高MCS，當NACK出現頻度比較高使得累積因子A（t）達到下界A_min時，降低MCS。在MCS達到最大值或者最小值的時候，其次動態調整MCS和重復模塊。清除了所有的事件日志，但取證分析者可能會注意到目標系統上其他有意思的事情，從而能效益對鏈路狀況進行度量，調整重復次數和MCS重復次數。類似的，本章根據反饋的確認信息的種類及累計數量進行調整。每次收到一個ACK，累計加1個值，每次收到一個NACK子載波間隔（MAC Flooding 滲透攻擊），累計減1個值。因為高MCS對應的。基于多維參數調整的NB-IoT鏈路自適應方法由兩部分組成：我們注重MCS的調整。當接收到的ACK比NACK數量多使得累積因子A（t）達到上界A_max時，提高MCS，當NACK出現頻度比較高使得累積因子A（t）達到下界A_min時，降低MCS。在MCS達到最大值或者最小值的時候，其次動態調整MCS和重復次數可以適應環境的環境的持續改變。子載波間隔（MAC Flooding 滲透攻擊）為清晰描述方案。