BotNet病毒检测与预防的研究.docVIP

BotNet病毒检测与预防的研究 　　摘要：分布式拒绝服务攻击是网络攻击中最为常见的一种恶意攻击方式，给网络用户带来了巨大的影响和不可估量的经济损失。及时有效地检测DDoS的攻击是一项艰巨而又必须的工作。 　　关键词：DDoS；BotNet；安全防御 　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 03-0000-01 　　BotNet Virus Detection and Prevention 　　Chen Cheng 　　(Anhui Fuyang Peoples Hospital,Fuyang236000,China) 　　Abstract:Distributed denial of service attacks are network attacks,the most common type of malicious attack,to network users a great impact and incalculable economic loss.Timely and effective detection of DDoS attacks is a difficult but necessary work. 　　Keywords:DDoS;BotNet;Security defense 　　一、引言 　　2009年11月发行的e-Week在线杂志声称俄罗斯的傀儡牧人操纵了7000多台主机进行垃圾邮件和黑客行为，如果这种情形继续下去，正如猖獗的犯罪以及非法的毒品影响社会经济前景那样，这场僵尸网络灾祸就可能威胁未来的网络。 　　二、BotNet与DDoS攻击方法 　　僵尸网络（BotNet）是一种被攻击者利用多种传播手段控制的计算机网络群，其主要方法是向互联的计算机群注入Bot程序（RoBot的缩写，机器人，即受控制的僵尸程序），使得控制者和被感染的计算机形成一个网络。 　　网络中的计算机在“不知不觉”中被僵尸程序控制，成为一个攻击者，并在指定的条件下对另外的主机进行攻击，就像一个受人控制的“僵尸”一样游走在网络中。据统计，每天在中国出现的僵尸网络多达3-5万个，其危害程度相当巨大。 　　（一）BotNet的特点。首先，僵尸网络是一个可被主控计算机控制的网络，并且这个网络是不断增长的。当有新的计算机感染Bot僵尸程序后，就被添加到该网络中来。因此，僵尸网络是“生长”着的网络。其次，传播僵尸程序的方法有很多，例如通过邮件传播、主动漏洞攻击系统漏洞或蠕动病毒等方法都可以使得主机感染僵尸程序，因此，bot程序也是一种典型的病毒或蠕虫。 　　（二）BotNet的控制机制。BotNet的工作过程大致可分为三个阶段：传播、加入和控制。 　　在传播阶段，是利用各种手段捕获大量的计算机，将病毒植入操作系统内部。常用的传播手段有：电子邮件、系统漏洞、通讯软件、网站脚本、木马程序 　　在加入阶段，隐藏在系统中的Bot程序会通过网络通讯链接到远程服务器上，例如基于IRC协议的僵尸网络中，Bot程序会自动登录到IRC服务器中，下载更多的恶意程序或等待攻击者的进一步命令。 　　在控制阶段，攻击者通过与僵尸主机建立起来的链接，向Bot程序发起指令或下载并安装更多恶意程序。 　　（三）BotNet的生命周期。僵尸网络的存在过程类似，这种存在过程可以称其为生命周期。一个普通的僵尸网络客户端或者僵尸客户端的生命始于发现和利用漏洞，通过欺骗用户运行恶意代码攻击系统漏洞，形成新的僵尸客户端。 　　（四）DDoS攻击。DDoS是Distributed Denial of service（分布式拒绝服务攻击）的缩写，其主要原理是利用受控的分布式主机，对同一个服务器或主机进行攻击，占据被攻击服务器的大部分带宽，甚至是全部带宽，但几乎不占用其应用程序资源。 　　三、蜜网技术 　　蜜罐的英文单词是Honeypot，也有人将其翻译成陷阱。蜜罐是一种网络资源，它表面看起来是一种实际存在的主机，并十分具有被攻击的诱惑。但其实它是被后台检测程序控制的诱饵。 　　（一）蜜罐及蜜网的定义。蜜网通常定义为在一个网络上包含许多高级交互的蜜罐，给攻击者提供真实的系统、程序，以及被称为密墙的第二层搭桥设备监控的服务。静态蜜网可以很快被攻击者定位并记于黑名单，但是分布式蜜网不仅尝试从事该工作，它们很可能捕获更丰富的更多变的数据。 　　（二）蜜网技术的核心原理。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。蜜罐通过欺骗空间技术、网络流量仿真、网络动态配置、组织信息欺骗和多重地址转换等网络诱骗技术来引诱入侵者；通过防火墙技术来进行数据控制，以保证进出