P2P僵尸网络的跟踪与测量：Storm+Worm实例研究.pdfVIP

P2P僵尸网络的跟踪与测量： Storm J Worm实例研究1 潘俊华 张建宇 郭晋鹏 北京大学计算机科学技术研究所，网络与软件安全保障教育部重点实验室，北京，100871 摘要僵尸网络已成为互联网的重大安全威胁之一。相较于采用传统客户端 Peer)僵尸网络具有去中心化的特性，不存在集中控制点，因而比较难以对其进 行追踪和测量。本文提出了一种主动拓扑探测与路由引导相结合的P2P僵尸 Worm作为研究实例，开发出TraceStorm系统，对 网络测量方法，并以Storm StormWorm的实时规模和全局规模等进行了详细的测量。 StormWornlStormnet 关键词P2P僵尸网络 一、引 言 and 制(command 大量主机组成、具有一对多CC信道的网络[2]。黑客操纵僵尸网络发送大量垃圾邮件、 窃取敏感信息、进行点击欺诈以及发动分布式拒绝服务攻击，已经成为当前互联网的重大 安全威胁之一[6，7，271。 目前已知的僵尸网络根据网络体系结构以及CC机制的不同，主要分为IRC僵尸 单、低时延、匿名的实时通信方式，因此在僵尸网络的发展初期成为了构建CC信道的 结构与IRC僵尸网络类似，所不同的是以Web网站取代了IRC服务器作为集中控制点， 且基于HTTP协议的CC信道具有更好的伪装性、隐蔽性和防火墙穿透能力[2]，比较 著名的HTTP僵尸程序包括Bobax、Rustock[8]、ClickbotE9]等。 IRC僵尸网络和HTTP僵尸网络仍然是采用传统的客户端一服务器结构，具有集中 控制点，容易被跟踪、检测和反制。为了使僵尸网络更具健壮性和隐蔽性，一些新出现的 cornlTl等P2P僵尸网络各自实现了不同的P2P控制机制，体现了一些先进的设计思想， 并且在不断地演变和发展当中。Wang等人在文献E53提出了一种混合型、对抗性很强的 P2P僵尸网络设计框架。由于P2P僵尸网络没有中心控制点，更加难以被检测、追踪、测 资助。 ·741· 量和反制，P2P僵尸网络很可能会成为僵尸网络的趋势和主流，因此探索对P2P僵尸网 络追踪、测量和反制的有效方法，减轻互联网上的安全危害，显得尤为迫切和重要。 本文提出了一种主动拓扑探测与路由引导相结合的P2P僵尸网络的测量方法，并对 最著名的P2P僵尸程序StormWorm进行实例测量和研究。 僵尸网络的测量方法 文献[3]指出，僵尸网络的规模测量一直以来都是艰难的任务，而且目前研究领域并 没有对“僵尸网络的规模”给出严格定义，导致了误解和不一致，监测并估计“僵尸网络规 模”必须阐明所使用的计数方法，给出明确的解释并说明监测过程相关的上下文信息。本 文将沿用文献[3]的测量标准，把僵尸网络生命周期内任意时问点上感染的全部僵尸主机 数量定义为僵尸网络的全局规模(footprint)，将特定时间点接受僵尸网络命令与控制信 population)L2j。 道的在线僵尸主机数量定义为僵尸网络的实时规模(1ive 由于P2P僵尸网络不具有中心控制的特点，用于测量IRC和HTTP僵尸网络的技 术将不再适用于P2P僵尸网络，如测量实时规模的内部渗透和DNS劫持[2’3]技术，测量 全局规模的DNS缓冲探测[16]和DNS黑名单探测[17]技术等。 同Holz等人的方法[1]一样，我们的测量方法适用于以下特征的P2P僵尸网络： 节点服务器。 2)基于发布／查找的通信机制：在这种系统里，信息问的传递并不是直接在临近节点 间进行，而是信息拥有者先发布(publish)到某些节点，信息需求者再通过特定的路由机 制查找到信息所在的节点，获取需要的信息。 3)匿名访问机制：这种设计框架的P2P系统具有分布性、稳定性和健