僵尸网络防范技术研究.pdfVIP

僵尸网络防范技术研究 韩正平 高岩饶金龙甄力 (总参指挥自动化工作站) 摘要论文分析了僵尸网络的特点、传播方式与危害。从僵尸程序样本分析入手，研究僵尸网络检测、追踪与清除技术， 并设计僵尸网络防范技术框架，为研制僵尸网络防范系统奠定了技术基础。 关键词僵尸网络蜜罐分布式拒绝服务漏洞 到这个网络中来。 1引言 (2)这个网络是采用一定的恶意传播手段形成的，例如 僵尸网络是近年来兴起的危害计算机网络的重大安全 主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都 威胁之一，攻击者通过各种途径传播僵尸程序感染网络上的 可以用来进行僵尸网络的传播，从这个意义上讲，僵尸程序 大量主机，被感染的主机通过一个控制信道接收攻击者的指 也是一种病毒或蠕虫。 令，组成一个僵尸网络。僵尸网络通常可以在攻击者的控制 (3)僵尸网络最主要的特点，就是可以一对多地执行相 下进行进一步的传播，从而使得僵尸网络的规模越来越大。 同的恶意行为，比如可以同时对某目标网站进行分布式拒绝 一旦攻击者拥有一定规模的僵尸网络，就可以利用僵尸网络 服务攻击。同时发送大量的垃圾邮件等，而正是这种一对多 所控制的资源危害网络。 的控制关系，使得攻击者能够以极低的代价高效地控制大量 我军军事信息网络采用TCP／IP体制构建，运行其上的的资源为其服务。在执行恶意行为的时候，僵尸网络充当了 系统软件以通用操作系统和常见应用软件为主，存在 一个攻击平台的角色，这也就使得僵尸网络不同于简单的病 WWw、邮件、文件传输、数据库、视频等通用应用。在这种 毒和蠕虫，也与通常意义的木马有所不同。 条件下，互联网上的安全威胁同样存在于军事信息网络。由 2．3僵尸网络的传播途径 于军事信息网络承载着大量的涉密信息，一旦僵尸网络在网 (1)系统漏洞：通过攻击系统存在的漏洞获得访问权后 上扩散，将会造成严重的失泄密威胁。 执行僵尸程序，将被攻击系统感染成为僵尸主机，僵尸网络 2僵尸网络慨述 往往通过攻击多个系统漏洞进行扩散。 (2)邮件病毒：通常表现为在邮件附件中携带僵尸程序 2．1僵尸网络定义 或在邮件内容中包含下载执行僵尸程序的链接，并通过一系 僵尸网络是指攻击者出于恶意目标，采用一种或多种传 列社会工程学的技巧诱使接收者执行附件或点击链接，也可 播手段，传播僵尸程序将大量主机感染成僵尸主机，并通过 能通过利用邮件客户端的漏洞自动执行，从而使得接收者主 一对多的命令和控制信道所组成的网络。僵尸网络的结构 机被感染成为僵尸主机。 如图1所示。 (3)即时通信软件：利用即时通讯软件向好友列表发送 执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击， 从而进行感染。 (4)恶意网站脚本：打开网站时即通过利用浏览器自动 执行远程脚本的功能对主机进行感染。 (5)特洛伊木马：伪装成有用的软件，在网站、FrP服务 器、P2P网络中提供，诱骗用户下载并执行。