基于僵尸網絡追蹤的網絡購物安全技術研究

胡博文

摘 要：隨著互聯網和電子商務平臺的發展，網絡購物已成為人們社會生活中的日常行為。僵尸網絡是一種新興的互聯網威脅，其數量、規模和危害級別正在迅速增長，并已使全球網絡進入新的警戒狀態。尤其是在網絡購物方面，僵尸網絡常被不法分子利用而對網絡購物平臺發起網絡攻擊。眾多真實的案例表明，利用僵尸網絡追蹤技術保障網絡購物安全已成為從事網絡安全的研究人員所重點關注的領域。文章以當前僵尸網絡的研究技術為基礎，進而對僵尸網絡的檢測與追蹤技術進行歸納與總結，為學該領域的研究提供借鑒，并為網絡購物平臺日后在研制、開發和部署位于路由節點的僵尸網絡檢測與追蹤實時監控系統奠定基礎。

關鍵詞：僵尸網絡;網絡安全;檢測技術;追蹤技術;網絡購物安全

0? ? 引言

僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。僵尸網絡具有隱匿、靈活的特點，并且可以高效地執行一對多命令與控制機制，這些特點使得被攻擊者廣泛接受并使用于實現竊取敏感信息、發送分布式拒絕服務攻擊和發送垃圾郵件等攻擊目的[1]。從1999年被發現以來，僵尸網絡正在步入快速發展期，并已對網絡購物安全造成了嚴重威脅，其特點如下。

（1）當下的網絡購物平臺擁有數量龐大的用戶規模，并且用戶具有高度分散等特點，這也為僵尸網絡提供了非常便利的條件將自己產生的非法流量隱藏在用戶產生的合法海量流量中。

（2）在當前的電子商務中，商家會根據用戶的瀏覽興趣、習慣與關系進行歸類分組，這也使得社交僵尸網絡竊取用戶的個人信息與傳播過程變得更加方便。

（3）當下的網絡購物平臺普遍具有開放性，這使得網絡上的惡意用戶可以利用平臺的開放性進行欺騙，或誘惑性地使普通用戶安裝下載攻擊性程序。

（4）此外，因為網絡購物平臺具有不會關閉的特點，使得僵尸網絡可以長期生存在平臺上，并且不易被查殺，隨著時間的累積，僵尸網絡的規模將逐漸擴大。

本文以當前僵尸網絡的研究技術為基礎，對僵尸網絡國內外的檢測與追蹤技術進行了歸納與總結，分析了以協議、內容、流量為三大特征的分析檢測技術，深入探討了利用數據倉庫、數據挖掘以及大規模拓跋可視化為技術出發點的追蹤技術，并在總結僵尸網絡演變規律的基礎上提出了一個基于路由節點的僵尸網絡檢測與追蹤解決方案。對僵尸網絡進行檢測與追蹤的相關技術研究如圖1所示。

1? ? 相關研究

1.1? 僵尸網絡檢測技術研究

1.1.1? 僵尸網絡檢測技術

要想在路由節點上實現對網絡購物中僵尸網絡快速、準確的檢測，首先就必須研究在路由節點對僵尸網絡進行基于協議特征的檢測、基于內容特征的檢測和基于流量特征的檢測。

（1）基于協議特征的檢測。目前，僵尸網絡主要利用IRC，HTTP和P2P3種協議進行命令的傳輸和攻擊控制，研究這3種不同的協議在命令傳輸和攻擊過程中的不同特征，尤其要研究在路由節點上呈現出的協議特征來檢測僵尸網絡的爆發。

（2）基于內容特征的檢測。基于路由節點，對僵尸網絡數據內容的特征進行研究。通過監控路由節點中的數據內容，分析并總結僵尸網絡在傳播、加入、控制3個階段產生的數據內容的規律和特性，達到透徹了解僵尸網絡在路由節點的數據內容特征的目的。

（3）基于流量特征的檢測。基于路由節點，對僵尸網絡流量變化的特征進行研究。通過監控路由節點中的流量數據，分析并總結僵尸網絡中僵尸主機與僵尸服務器的特性所產生的流量數據的規律和特性，達到透徹了解僵尸網絡在路由節點的流量特征的目的。

在此基礎上，需要進行如下技術研究：

（1）不同的僵尸網絡在協議特征、內容特征和流量特征上也具有很大的差異，所以需要研究這3種檢測方法對不同的僵尸網絡檢測的速度和準確性。

（2）研究這3種檢測方法對路由節點的性能和網絡速度造成的影響。這3種檢測方法都是基于路由節點的，可能會架設在主干網絡的關鍵節點上，需要研究網絡流量較大時對檢測效率和網絡延時的影響。

（3）研究如何在檢測效率和對網絡的影響之間找到平衡點，實現在對網絡速度影響盡可能小的情況下，達到對僵尸網絡快速、準確檢測的目的。

1.1.2? 國內外的具體研究成果

王志等[2]在對bot程序執行軌跡進行分析的基礎上，提出了一種發掘僵尸網絡控制命令集合的方法，對bot程序覆蓋率特征進行分析，獲得其執行軌跡，進而實現僵尸網絡控制命令空間的發掘;臧天寧等[3]對已知僵尸網絡內部通信行為進行特征提取，并利用這些特征定義云模型，進而分析判斷已知bot主機群的隸屬關系;在協同檢測方面，王海龍等[4]提出的協同檢測模型可以在信息、特性和決策3個層次進行協同，臧天寧等[3]提出的協同檢測模型可以分析各種安全事件之間隱藏的關聯關系，即使它們發送的地理位置不同、時間段不同。

1.2? 僵尸網絡追蹤技術研究

僵尸網絡的追蹤技術是為了了解僵尸網絡內部的活動過程，以便對僵尸網絡的對抗環節變得有目的而為。本文分析總結了國內外近幾年較為流行的追蹤技術，在對比分析的基礎上推演僵尸網絡的演變規律，最終提出一套安全、穩定、高效的研究方案。

1.2.1? 數據倉庫技術

數據（倉）庫系統一般都是大型應用系統的核心系統之一，其運行效率直接影響整個應用系統的效率。在整個應用系統的軟件結構中，數據（倉）庫好比整個系統的“咽喉”，它負責從底層分布的數據源提取整個網絡中所有的關鍵業務數據并向上層應用界面提供實時、可靠與全面的數據支持。在基于路由節點的拓撲中，在路由節點上要捕獲大量的數據，對于一個大型網絡來說，會存在成千上萬個節點，這些節點之間的連接關系要保存在數據庫中，將會有巨大的數據量，所以必須使用數據倉庫技術合理、有效地保存這些數據。

要構建一個數據倉庫存儲拓撲數據，就必須合理設計數據倉庫中的各種表，選擇是基于維度模型還是基于雪花模型。通過研究數據倉庫技術，能夠更好地組織在關鍵路由節點所收集到的數據，為下一步數據挖掘提供有力的數據支撐。

1.2.2? 數據挖掘技術

數據挖掘技術（Data Mining）是一個近幾年快速成長的領域，又稱從數據中發現知識（KDD）。它的功能就是從海量數據中分析獲取那些有效的、新穎的、具有潛在價值的過程，并且把這種知識發現的過程轉化為最終可理解模式的非平凡過程。根據數據挖掘的應用領域不同，可以將數據挖掘模型分為分類模型、關聯模型、順序模型、聚簇模型、孤立點分析和演變分析等。在實現過程中，數據挖掘包括數據清理、數據集成、數據選擇、數據變換、數據挖掘、模型評估、知識展示等幾個步驟。

隨著數據處理能力和數據挖掘技術水平的不斷提升，人們現在可以快速地從海量數據中挖掘分析出對自己有用的信息與知識。在大規模網絡的拓撲中，路由節點在網絡中采集到了大量的路由信息，而這其中就夾雜著很多錯誤、重復的路由信息。通過對采集到的各種路由數據進行分析，找出其特征并結合目前世界上數據挖掘的主流技術，參照現存的各種數據挖掘算法，設計出一種合適的算法，能夠根據數據倉庫提供的各種拓撲數據，準確、高效地從原始數據中提取出網絡拓撲結構，為上層模塊功能的實現提供保障。

1.2.3? 大規模網絡拓撲可視化技術

平面可視化就是結合平面的全面性和可視化的可視性反映網絡的整體拓撲結構。全面性是指能夠在平面上看到拓撲圖的所有點和邊，要求點和邊布局在平面上時不允許出現覆蓋。可視性是指要使點和邊的布局能夠使拓撲圖的顯示具有清晰美觀的效果。對于規模很大的網絡，點和邊的個數可能達到數十萬個，其連接關系非常復雜。為此，基于分治法分解問題，解決子問題，把子問題解組合為原問題的解的模式，首先把大規模的網絡拓撲結構分割成一些規模小的網絡，然后將其逐一平面可視化，再通過對子圖的布局把子圖組合成一張完整的圖，實現大規模網絡拓撲的平面可視化。

通過研究平面可視化算法和圖形顯現技術，達到顯示大規模網絡拓撲的目的。顯示的大規模網絡拓撲要清晰、美觀，能夠準確地反映出大規模網絡的拓撲結構。

1.2.4? 國內外的具體研究成果

以C&C協議的全面性、高效性和全面性為基礎，方濱興等[5]提出了兩種追蹤手段。（1）以僵尸網絡為主體，以滲透的方式加入僵尸網絡以求掌握僵尸網絡內部的活動情況; （2）結合C&C協議，在可控環境中運行Sandbo，通過對其通信的內容進行審計，從而獲知僵尸網絡的活動。針對IRC僵尸網絡，Rajab[6]和Freiling等[7]通過Infiltrator滲入僵尸網絡記錄其內部活動。Cho等[8]在自動獲取MegaD C&C協議的基礎上，通過Infiltrator對MegaD進行長達4個月的追蹤。通過追蹤，不僅及時掌握了發送垃圾郵件相關指令和郵件模板，還結合Google Hacking獲得了MegaD完整的、演進中拓撲結構。更進一步，通過分析不同控制服務器的垃圾郵件策略，可以發現MegaD是被兩組不同控制者管理的。

2? ? 僵尸網絡檢測與追蹤解決方案

2.1? 僵尸網絡檢測子系統

如圖2所示，整個僵尸網絡檢測技術系統方案由3個子系統組成：分別為協議特征分析子系統、內容和流量特征分析子系統及決策算法子系統。這3個部分相互協作、有機協調，共同完成對僵尸網絡的檢測。

2.1.1? 協議特征分析子系統

協議分析子系統主要功能是協議分析引擎在協議特征數據庫的輔助下，通過對路由節點數據的采集與分析，從中分析出僵尸網絡特用的協議，并把協議相關數據通過采集與預處理模塊做規范化處理后提交給決策算法子系統[9]。若在提供聊天服務的IRC協議中植入了Botnet，可以通過檢測路由節點那些不占用應用資源但是消耗流量資源巨大的服務，符合這種性質的大多數為非法的“僵尸”服務。

2.1.2? 內容和流量特征分析子系統

內容和流量分析子系統的主要功能是內容和流量分析引擎在僵尸網絡數據樣本庫的輔助下，對網絡數據包進行內容和流量分析，然后將分析得到的可疑數據提交給訓練與自我學習模塊，進而進行數據挖掘處理，將數據挖掘與分析得到的結果提交給決策算法子系統。其中的僵尸網絡數據樣本庫主要是用來存儲已經采集到的僵尸網絡通信內容和流量特征，該樣本庫的內容在檢測系統檢測過程中不斷得到更新與豐富，使該內容和流量分析子系統能夠不斷適應新的情況，檢測與發現新的僵尸網絡。

2.1.3? 決策算法子系統

決策算法子系統的主要功能是接收來自協議特征分析子系統和內容、流量特征分析子系統的數據，通過決策算法模塊，采用神經網絡與模糊數學技術，對兩個子系統提交的數據進行檢測，這樣既可以在不依賴外部系統的前提下檢測加密以后的僵尸網絡，又能跨越僵尸網絡的惡意行為，在僵尸主機停滯狀態下檢測出僵尸網絡。特征提取會將非正常流量的數據特征存儲到僵尸網絡捕獲數據庫中，被僵尸網絡樣本庫使用[10]。

2.2? 僵尸網絡拓撲發現子系統

如圖3所示，僵尸網絡拓撲發現子系統由3個子系統組成，數據采集和探測子系統、中間層處理子系統和拓撲前端顯示子系統。

2.2.1? 數據采集和探測子系統

數據采集和探測子系統的數據來源主要是由圖3中的多個僵尸網絡捕獲數據庫中的節點連接數據，經過預處理和規范化模塊去噪后存入拓撲連接總表。由很多個路由節點捕獲到數據，聚集在一起組成一個大的數據倉庫，我們利用現有的數據挖掘技術，采用人工智能處理方式，提取出對拓撲顯示有用的數據，大大提高了查詢的效率。

2.2.2? 中間層處理子系統研究

中間層處理子系統根據路徑總表及IP地理信息等輔助信息表生成相應的拓撲連接關系表存放在拓撲信息庫中[11]。

2.2.3? 拓跋圖前段顯示子系統研究

拓撲信息庫中存放著所有捕獲到的僵尸網絡中的傀儡主機和服務器，傀儡主機和傀儡主機之間，以及服務器和服務器之間的關系。拓撲顯示模塊從拓撲信息庫中提取拓撲連接信息，以中國地圖為背景，顯示這些點與線之間的網絡拓撲結構圖。同時可以顯示出僵尸網絡的層次結構圖，這樣可以根據每個節點的度把所有節點分成傀儡主機、中心服務器和總控制機3種類型[12]，更有利于對僵尸網絡的反制和防御。

3? ? 結語

僵尸網絡以其靈活、高效和復雜的網絡攻擊特性，已經對網絡購物的各個領域造成了巨大損失，這也是僵尸網絡在近幾年迅速成為網絡安全研究熱點的原因。本文首先深入剖析了僵尸網絡的產生及危害，進而分析了以協議、內容、流量為三大特征的分析檢測技術，深入探討了利用數據倉庫、數據挖掘以及大規模拓跋可視化為技術出發點的追蹤技術，總結了國內外僵尸網絡的追蹤技術，并在總結僵尸網絡的演變規律的基礎上提出了一個基于路由節點的僵尸網絡檢測與追蹤解決方案，結合最新的僵尸網絡的研究，力圖提煉出僵尸網絡的未來研究方向，發現僵尸網絡演化趨勢下的新技術。

[參考文獻]

[1]張蕾.僵尸網絡特性與發展研究分析[J].河西學院學報，2010（5）：76-80.

[2]王志，蔡亞運，劉露，等.基于覆蓋率分析的僵尸網絡控制命令發掘方法[J].通信學報，2014（1）：156-166.

[3]臧天寧，云曉春，張永錚，等.僵尸網絡關系云模型分析算法[J].武漢大學報（信息科學版），2012（2）：247-251.

[4]王海龍，胡寧，龔正虎.Bot_CODA：僵尸網絡關系云模型分析算法[J].武漢大學學報（信息科學版），2012（2）：247-251.

[5]方濱興，崔翔，王威.僵尸網絡綜述[J].計算機研究與發展，2011（8）：1315-1331.

[6]RAJAB M，ZARFOSS J，MONROSE F，et al.A multifaceted approach to understanding the botnet phenomenon[C]//New York： Proc of the 6th ACM SIGCOMM Conf on Internet Measurement.ACM，2006.

[7]FREILING F，HOLZ T，WICHERSKI G.Botnet tracking： Wxploring a root-cause methodology to prevent denial of service attacks[C]//Berlin：proc of the 10th European Symp on Research in Computer Security，2005.

[8]CHO C Y，CABALLERO J，GRIER C，et al.Insights from the inside，A view of botnet management from infiltration[C]// Berkeley：Proc of the 3rd USENIX Conf on Large-Scale Exploits and Emergent Threats： Botnets，Spyware，Worms and More，2010.

[9]江健，諸葛建偉，段海新，等.僵尸網絡機理與防御技術[J].軟件學報，2012（1）：82-96.

[10]李躍，翟立東，王宏霞，等.一種基于社交網絡的移動僵尸網絡研究[J].計算機研究與發展，2012（5）：1-8.

[11]蔣鴻玲，邵秀麗.基于神經網絡的僵尸網絡檢測[J].智能系統學報，2013（2）：113-118.

[12]李光正，史定華.小世界網絡上隨機SIS模型分析[J].計算機工程，2009（12）：281-288.

（編輯 王雪芬）

Research on online shopping security technology based on Botnet tracking

Hu Bowen

（School of Computer Technology， Qingdao University， Qingdao 266071， China）

Abstract：With the development of the Internet and e-commerce platforms， online shopping has become an indispensable daily behavior in peoples social life. Botnets are an emerging Internet threat that is rapidly growing in number， size and level of harm and has put global networks into a new state of alert.Especially in the aspect of online shopping， Botnets are often used by criminals to launch network attacks on online shopping platforms. Many real cases show that using Botnet tracking technology to ensure the security of online shopping has become the focus of researchers engaged in the field of network security. In this paper， based on the current Botnet research technology， thus the Botnet detection and tracking technology are summarized and the summary， provide reference for the study of the academic field research， and for the network shopping platform in research， development and deployment in the routing node Botnet detection and tracking in real time monitoring system to lay the foundation.

Key words：Botnet; network security; detection technology; tracking technology; online shopping security