浅谈僵尸网络及其检测方案的研究.pdfVIP

浅谈僵尸网络及其检测方案的研究 蔡隽，童峥嵘 (天津理工大学电信工程学院300191) che163．com，cycjcdq．cool@163．com 摘要：本文从僵尸网路的危害出发、简要介绍了僵尸网路的概念、僵尸网络的拓扑结构及各种拓扑结构 的僵尸行为特征，据此提出了僵尸网络的三种检测方案。 关键词：僵尸网络；僵尸工具；IRC服务器；网络拓扑；检测方案 者的命令，执行相应的动作。运用IRC协议实现 0．引言 Bot、服务器和控制者之间的通信和控制具有很多 僵尸网络(BotNet)自产生以来已给人们带来优势，所以目前绝大多数Bot属于IRCBot。当然， 了巨大的伤害，它不仅可以导致整个基础信息网 采用其他协议甚至自定义的协议也可以实现Bot。 络或者重要应用系统瘫痪…，还可以导致大量机 IRC服务器：IRCBot连接的服务器。 密或个人隐私泄漏，对人们的日常工作、学习、生 2．僵尸网络网络的网络拓扑 活等均产生了极大的负面影响，对国家、个人造成 了巨大的经济损失，给国家及个人的信息安全造 2．1多级控制的僵尸网络(树状)【4J 成了严重的威胁，因此关注僵尸网络并提供解决 树状僵尸网络工作原理： 方案刻不容缓。 (1)控制者开放监听端口 (2)僵尸向控制者通报自己 1．僵尸网络的概念[2】[3] (3)控制者向上级控制者通报自己 僵尸网络(Botnet)是指采用一种或多种传播 (4)控制者向僵尸发指令 手段，将大量主机感染僵尸(bot)程序，从而在控 (5)僵尸执行控制者指令，发起攻击 制者和被感染主机之间所形成的一个可一对多控 僵尸的行为特征： 制的网络。它涉及到以下有关具体概念。 (1)僵尸计算机一般会定时向控制者通信 僵尸工具(Bot)：mbot的简写，可以自动执行(2)控制者同一时间会向多台僵尸发相同指 预定义的功能，可以被预定义的命令所远程控制， 令 并具有一定人工智能的程序。 (3)多台僵尸向同一台控制者的相同端口发 僵尸主机(亦称肉鸡)：含有僵尸工具或其他 起连接 远程控制程序，使其可被攻击者远程控制的计算 2．2基于mC协议实现的僵尸网络(星形)[5】 机。 基于IRC协议的僵尸网络工作原理： 僵尸网络(Botnet)：由Bot工具组成的可通 (1)控制者在IRc服务器上创建通信频道 信、可被攻击者远程控制的网络。 (2)僵尸登陆IRC服务器并加人控制者事先 IRc Bot：利用IRc协议进行通信和控制的创建的频道，接收指令 Bot。通常，IRCBot连接预定义的服务器，加入到 (3)控制者在IRC指定频道上发指令 预定义的频道(Ch籼e1)中，接收经过认证的控制 (4)僵尸收到指令，执行指令，开始攻击 作者简介：蔡隽，女，1978年生，湖北石首人，北京邮电大学程控交换技术及通信网国家实验室信息安全中心，讲师，硕士研究生，主要 研究方向为网络信息安全。 联系方式：北京市海淀区西土城路10号北京邮电大学程控交换技术及通信网国家实验室信息安全中心蔡隽(收)邮政编码： l0()87