僵尸网络命令控制机制与检测技术分析.pdfVIP

僵尸网络命令控制机制与检测技术分析 李晓桢 ，夏群峰 (江南计算技术研究所 ，江苏 无锡 214083) 摘 要：作为攻击者手中一个强有力的攻击平台，僵尸网络为攻击者提供 了灵活、高效并且隐蔽的控制和攻击方式。僵尸网络 是网络安全领域所关注的重要威胁之一，对我 国网络安全的危害尤其严重。首先介绍了僵尸网络的结构和工作机制 ，然后着重 分析 了其命令与控制机制，并针对各种命令与控制机制介绍了当前检测僵尸网络的技术和方法。 关键词：僵尸网络；Bot程序；命令与控制机制 Analysis on the Command ControlMechanism and Detection Techniques ofthe Botnet LIXiao-zhen，XIA Qun-feng (~$ngnanInst／tuteofColnputingTechnology,l,Iu／xi~$ngsuZ14083,饬 Abstract：Asapowerfulattack flat--roofoftheattacker，botnetprovidesaflexible efficientandstealthy strategy ofcontrolandattack for 、 thea％~,acker．Bo％nethasbeen a seriousthreatto the Internet security，especially inChina mainland．In thispaper，wefr{stpresentthe structure andworking mechanism ofthe botnet，thenanalyzethe command andcontrolmechanism of thebotnetemphatically， basedon whichthispaper reviewsthe latesttechniquesonbotherdetectionatthe Iast． Key words：BotNet；Bot；CommandandControlMechnism 1引言 行了分析和比较。 僵尸网络是指攻击者利用互联网用户的计算机秘密建 立的可以集中控制的计算机群。而攻击者控制计算机的方 2僵尸网络的结构和工作原理 式就是在被控计算机中植入一种称为僵尸程序 (B0t)的 2．1僵尸网络的结构 恶意程序，该程序秘密运行在被控制计算机中，可以接收 僵尸网络主要是由控制者、僵尸主机和命令与控制服 预定义的命令和执行预定义的功能，其本质是一个网络客 务器 (Command ControlServer，CCS)构成，如图 户端，可以主动连接控制服务器读取控制指令 ，按照指令 1所示。 执行相应的代码。攻击者可以利用其控制的僵尸网络作为 攻击平台实施各种网络攻击，如DD0S攻击、窃取机密 资料、散布蠕虫病毒等。通过僵尸网络进行网络攻击，其 隐秘性、破坏性和威胁程度都远大于单一的网络攻击模式。 僵尸网络已成为网络安全领域面临的重要威胁之一。 2007年度的CNCERT／CC网络安全工作报告…指出， 经过抽样检测我国大陆地区已有 360多万台主机被植入僵 尸程序，各种僵尸网络被用来发动DDoS攻击一万余次， 图 1僵尸 网络 的结构 实现信息窃取操作 3000多次。我国已成为感染僵尸程序 控制者是操控僵尸网络的攻击者；僵尸主机是指感染 计算机数量最多的国家，且这些计算机多数是被其他国家 了恶意Bot程序，可以被远程控制的计算机，平常处于空 或地区的攻击者所控制，研究僵尸网络的识别和检测方法， 闲状态，只有在收到命令时才进行相应操作，其行为不易 进而降低或消除僵尸网络的威胁，已经迫在眉睫。本文首