博士生开题报告_李书豪.doc

开 题 报 告 混合结构僵尸网络构建及评估 李书豪 中科院计算所 二零一一年四月 一、开展本课题研究的意义 当今世界，互联网(Internet)已经深入到人类活动的很多方面，其影响力越来越大，网络安全问题也接踵而来。对于处于互联网高速发展时期的中国，三网融合不断推进和手机用户快速增长给中国互联网发展增添了新的动力和机遇，同时也使网络信息安全面临新的问题和挑战。其中，僵尸网络(Botnet)给网络信息安全带来了巨大威胁和严重危害，而且程度不断加深，因此受到了工业界和学术界越来越多的重视。作为能够发起各种攻击的平台，僵尸网络已被公认为是互联网安全最大的威胁之一。赛门铁克(Symantec)公司2010年4月发布的《互联网安全威胁报告》[2]指出：中国是僵尸网络的最大受害国之一，仅列美国之后。Arbor Networks公司2010年1月发布的安全报告[1]显示：僵尸网络是全球网络服务提供商(ISP)的第二大运营威胁，仅列分布式拒绝服务(DDoS)攻击之后，而DDoS往往是由僵尸网络发起的。 僵尸网络的危害主要表现以下几个方面。 (1)窃取敏感信息。攻击者利用僵尸程序非法入侵个人电脑、手机等各种网络终端，拥有最高级权限，可以窃取僵尸终端上用户的任何信息，比如邮箱地址、手机号、聊天工具帐号密码、网游帐号密码、网上银行帐号密码，甚至是很多网络应用的好友信息等等。 (2)盗用资源。攻击者利用僵尸程序可以盗用僵尸终端的网络资源，可能会使僵尸终端的网络性能受到影响，甚至遭受损失。比如，ClickBot的控制者利用僵尸终端虚假点击网络广告，以牟取非法经济利益[3]。 (3)发送大量垃圾邮件和垃圾信息。攻击者利用僵尸程序，可以发送垃圾邮件和其他垃圾信息(比如IM消息、微博消息、手机短信等)。赛门铁克的研究人员指出全世界80%以上的垃圾邮件竟然出自十大垃圾邮件僵尸网络[4]。另外，最近的报道[5]指出，手机僵尸病毒利用社会工程学攻击，通过大量发送垃圾短信来感染更多的移动终端。 (4)分布式拒绝服务攻击。攻击者可以给所有僵尸终端发送指令，让其在特定时间同时访问特定的网络目标，从而达到DDoS的目的。由于僵尸网络的特点，利用僵尸网络可以形成更大规模、更高同步性的DDoS攻击。僵尸程序可能发起多种不同的DDoS攻击，主要是TCP SYN和UDP洪水攻击。 (5)存储违法数据。攻击者可以利用僵尸网络建立起分布式的共享数据库，以存放和传播违法数据。比如，为网络仿冒提供钓鱼网站，临时存放其他僵尸终端的返回信息。 (6)发动新的蠕虫攻击。攻击者可以利用僵尸网络缓慢释放蠕虫，而蠕虫最大的威胁是其快速蔓延时产生的数据流量可以导致大面积网络拥塞甚至瘫痪。有研究表明，影响蠕虫破坏效果的重要因素之一是释放蠕虫的初始节点的规模和分布，而僵尸网络正可以满足分布广、规模大的需求。 (7)作为跳板。攻击者可以利用僵尸终端，隐藏身份，发起各种攻击，或从事其他非法活动。 其中，DDoS和Spam是僵尸网络最严重的危害[6]。当然，随着僵尸网络的演变进化，新的危害还会出现。可以看出，僵尸网络不等同于某个特定的安全事件，而是网络犯罪者用来发动各种攻击的通用平台。僵尸网络也与其他恶意代码不同，由僵尸网络控制者通过命令控制通道操控整个网络，具有高度的可控性。利用僵尸网络这样强大的平台，攻击者可以从事各种各样的非法恶意活动，往往比使用传统攻击方式付出的成本更低、造成的危害更大、防范的难度更高。通过僵尸网络实施网络攻击，使步骤更加简化，效率更加明显，并且更易于隐藏攻击者的身份。僵尸网络控制者可以从这些非法攻击中获得经济利益，而这也是僵尸网络不断发展、难以防治的根源。 僵尸网络是可被攻击者(Attacker)操控的计算机群，其组成部分包括僵尸终端(Bot)、命令控制信道(Command Control, CC)和控制者(BotMaster)。僵尸终端是被植入僵尸程序(Bot Program)的计算机，而僵尸程序是一类恶意代码，被控制者通过命令控制信道操纵。控制者是僵尸网络的所有者，他们利用软硬件漏洞攻击、社会工程学攻击和网页挂马等多种入侵手段，非法传播僵尸程序，控制大量僵尸终端，匿名操纵僵尸网络，发送垃圾邮件(Spamming)、发动DDoS攻击、窃取机密信息或从事其他恶意活动，以牟取利益或达到其他目的。可见，僵尸网络的两个本质属性是可控性和协同性。按照拓扑结构将僵尸分为类：纯中心结构、纯P2P结构、组合结构混合结构在学术界，USENIX 协会从2007 年开始举办僵尸网络专题研讨会HotBot（Workshop on Hot Topics in Understanding Botnets），2008 年，WORM与HotBot 合并为LEET（Workshop on Lager-sc