基于源端检测的僵尸网络防御模型研究.docVIP

基于源端检测的僵尸网络防御模型研究 　　摘要:文章介绍了僵尸网络的组成及其危害,分析了僵尸网络的攻击技术与检测方法,重点研究了僵尸网络的防御策略,提出了一种防御模型,并对其进行了性能分析。 　　关键词:僵尸网络;源端检测;防御模型 　　中图分类号:TP311文献标识码:A文章编号:1009-3044(2010)18-4876-02 　　 　　Research of Botnet Defense Model Based on Source-end Detection 　　WANG Wei 　　(Anhui Technical College of Water Resources anf Hydroelectric Power, Hefei 231603, China) 　　Abstract: This paper introduces the composition and its harm of Botnet, analyses attacks and detection technology of Botnet, focus on the defense strategy of Botnet, this paper puts forward a model of defense, then analyses its performance. 　　Key words: botnet; source-end detection; defense model 　　 　　僵尸网络(Botnet),是20世纪90年代末兴起的危害互联网的产物,近年来已经成为影响互联网安全的重大威胁之一,是目前互联网上黑客最青睐的攻击平台。 　　1僵尸网络概述 　　僵尸网络是指由黑客直接或通过控制服务器间接集中控制的僵尸程序感染计算机群,是由攻击者远程控制的被攻陷主机所组成的网络,如图1所示。 　　僵尸主机(Zombie)指被植入了僵尸程序(Bot)的计算机,控制者(Botmaster)是出于恶意目的,通过传播Bot控制大量Zombie,并进行网络攻击的网络黑客。命令控制服务器(Command Control Server,简称CC S)是大量Zombie连接的服务器, Botmaster通过该服务器或由自身控制Zombie。通常,根据Bot程序的种类、Botnet基于的控制协议和有无命令控制服务器三种情况对僵尸网络进行分类。 　　2 僵尸网络攻击及其检测 　　僵尸网络是一个分布式、可控制的网络,是随着Bot程序的不断恶意传播而形成的,其形成过程大致经历了Bot的传播、感染计算机、Zombie加入僵尸网络和Botmaster控制僵尸网络四个过程。 　　在确定网络攻击目标后,僵尸网络的攻击过程大致可分为三个步骤:即①控制者向其控制的命令控制服务器或直接向僵尸主机发出攻击指令;②命令控制服务器向僵尸主机发出攻击指令;③僵尸主机向受害者发起直接攻击,如图1所示。 　　僵尸网络可以一对多地执行相同的恶意行为,利用僵尸网络可以地发起的攻击行为有:分布式拒绝服务攻击、垃圾邮件、蠕虫释放、窃取信息、滥用资源影响网络的性能等。 　　僵尸网络攻击常用的技术有:①hypervisor技术;②Fast Flux domains技术;③P2P技术等。 　　为了应对僵尸网络的安全威胁,实现对僵尸网络的防御,首先要求对可能存在的僵尸网络发现与跟踪;其次,要求能够对互联网络环境下有无僵尸网络进行检测;最后,还要在现实网络环境中进行防御体系架设,防止僵尸网络的形成。 　　僵尸网络跟踪的基本过程是:首先通过各种途径获取网络中实际存在的僵尸网络及其控制信道等相关信息,然后模拟成受控的僵尸程序加入僵尸网络中,从而对僵尸网络的内部活动进行观察和跟踪。 　　发现僵尸网络的方法主要有三类,即:通过部署蜜罐对僵尸程序进行样本捕获;利用网络行为监测法;利用网络IDS发现僵尸网络。 　　3基于源端检测的僵尸网络防御模型 　　传统的僵尸网络防御方法主要有两种:一种是通过加强主机的安全防御等级防止被僵尸程序感染,及时清除主机中的僵尸程序;另一种是通过摧毁或无效化僵尸网络命令及其控制机制。 　　由图1所示的僵尸网络攻击体系及其攻击过程可知,对于僵尸网络攻击的防御可以定位于三个位置,即:发起攻击的源端、僵尸主机端和受害者端。其中,控制者端是僵尸网络发起攻击的源端,在此位置发现并防御僵尸网络攻击是效率最高、效果最好的方法。本文提出一种基于源端检测的僵尸网络防御模型。 　　1)基本思想 　　僵尸网络的控制者发动攻击时,会向其控制的僵尸主机发出相同的含有攻击指令的IP数据包,当该IP包到达控制者端的边界路由器时,部署在路由器上的检测算法以检测数据表为基础,依据该