一种新颖的Ｐ２Ｐ僵尸网络检测技术.docVIP

一种新颖的Ｐ２Ｐ僵尸网络检测技术 　　摘要:针对当前僵尸网络向P2P方向发展的趋势,在对P2P僵尸网络本质的理解和把握的基础上,提出了一种新颖的P2P僵尸网络检测技术。对于某个被监视的网络,关注其内部每台主机的通信行为和网络恶意活动。把这些通信行为和网络恶意活动分类,找出具有相似或相关通信和网络恶意行为的主机。根据我们对定义的理解,这些主机就属于某个P2P僵尸网络。 　　关键词:P2P;僵尸网络;检测;网络安全 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)22-pppp-0c 　　 　　僵尸网络是当前因特网面临最大的威胁之一,僵尸网络对因特网造成的主要危害包括DDoS攻击、机密信息窃取、发送垃圾邮件等。从1999年因特网出现第一个具有僵尸网络特性的恶意代码PrettyPark算起至今,IRC僵尸网络一直占据着重要地位。但是2002年第一个P2P僵尸网络Slapper的出现使得僵尸网络进入了一个新的发展阶段。接着在2003年和2004年出现的Sinit和Phatbot都是典型的P2P僵尸网络,他们的扩散进一步吸引了大众的眼球。2006年Nugache以及2007年Peacomm(又称其为Storm)僵尸网络的大规模爆发,则似乎预示着僵尸网络进入了一个全新的P2P时代[1]。 　　 　　随着大家对僵尸网络危害的认识逐渐深入,对僵尸网络检测技术的研究也成了各方面关注的热点。最先开始系统研究僵尸网络的机构是成立于1999年的蜜网工作组(The Honeynet Project)[2],随后,安全领域的学术研究和会议讨论热点都涉及僵尸网络的议题。USESIX协会从2007年开始举办僵尸网络专题讨论会HotBots ( workshop on hot topics in understanding botnets)。各大反病毒公司也分别就僵尸网络的检测和反制做了许多有意义的工作。但是由于IRC僵尸网络占据着主导地位,因此大多数的僵尸网络检测技术都集中在基于IRC的僵尸网络上。而对IRC僵尸网络的检测基本无一例外都致力于检测其CC ( Command Control )信道,这是因为基于IRC的僵尸网络的CC具有集中性的特点,只要找到了其CC服务器,就可以破坏整个僵尸网络。而P2P僵尸网络则不一样,它的CC并集中的服务器,而是分散的终端(peers)。这样以来对P2P僵尸网络的检测就越发困难,而且即使检测到了某台主机被感染了P2P僵尸程序(bot),关闭掉整个僵尸网络也很困难,因为僵尸终端分布在整个互联网范围内。Matt Jonkman提出了基于数据包大小和频率来检测Storm Worm的通用方法。但是该方法的主要缺点是不检测数据包的内容,很容易引起虚警[3]。Helsinki科技大学的Antti Nummipuro提出了基于主机的P2P僵尸网络检测方法[4],但是该方法与其他恶意代码检测技术类似,并没有特别新颖或创新之处。阿姆斯特丹大学的Reinier Schoof和Ralph Koning等人对P2P僵尸网络的检测则关注在P2P对等端的发现上[5]。而GA Tech的Guofei Gu等人则提出通过检测网络流量以及网络活动的方法检测P2P僵尸网络(也包括检测其他类型的僵尸网络)方法,相对来说更加具有现实性和可靠性[6]。 　　本文主要解决如下问题:通过对某个网络内(比如某个局域网)的所有主机的通信和恶意行为进行监控,找到具有相似通信和恶意行为的主机,则基本就可以判定这些主机为某个僵尸网络的部分僵尸主机。 　　 　　1 对P2P僵尸网络检测的深入认识 　　 　　1.1 P2P僵尸网络的本质理解 　　僵尸网络的传统定义为:攻击者(称为botmaster,也称作僵尸主人)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制(command and control, CC)信道所组成的网络[7]。而我们则主要通过僵尸网络的通信和恶意活动方面对P2P僵尸网络进行本质定义如下:通过CC信道被控制的具有协同性的恶意代码群组。我们主要从如下的几个方面理解这个定义: 　　1) 恶意代码。意味着僵尸程序被僵尸主人用来展开恶意行为,比如扫描、发送垃圾邮件、向僵尸主机下载延伸的其他恶意代码,等一系列恶意行为。 　　 　　2) 被控制的。意味着被感染的僵尸主机必须向CC信道发起连接,加入僵尸网络。只有这样,僵尸主机才可以获取到僵尸主人的命令完成不同的行为,或者对自己升级等。也就是说,被感染的僵尸主机必须同CC通信,否则就不能扮演其角色,完成其任务。 　　3) 协同性群组。意味着被同一个僵尸主人控制的同一个僵尸网络的多个僵尸程序将表现出相似地或相关联的通信特征和恶意行为特征。假设僵