基于多告警源关联分析的僵尸检测方法分析-analysis of zombie detection method based on multi-alarm source correlation analysis.docxVIP

华 中 科 技 大 学 硕 士 学 位 论 文  PAGE 63 1 绪 论 1.1 研究背景和意义 Web2.0 和社交网络的快速发展意味着更多的人将自己对世界的感知、认识、理 解和互动迁移到互联网中，这种趋势反过来极大地促进了信息技术的发展，并使得 互联网中计算机数量成倍暴增，IPV4 地址将在 2011 年初耗尽[1]便是一个最有说服力 的证据。网络上成指数增长的计算机和人们的安全意识普遍不高，使得当今的网络 安全正面临日益严重的威胁。信息技术的不断发展与普及，越来越多的人懂得了如 何更好的利用网络资源实现自己的需求，或者达到一定目的。其中不乏一些人利用 网络上的资源达到自己的非法目的，这就导致了一些恶意的程序的诞生，这些恶意 程序的控制者通过在互联网上传播这些程序，组建了属于自己的“肉鸡”群体，也 称为僵尸网络。僵尸网络的危害性在于：它的拥有者可以出售或者出租他的僵尸网 络给一些组织和团体从事非法活动，比如发动 DDoS 攻击，发送大量的垃圾邮件等 等。 国内外研究机构从 2003 年开始着手研究僵尸网络并提出了很多切实可行的方法 来检测网络中的僵尸主机，主要有：蜜网技术、网络行为分析以及控制中心识别等， 比较出名的检测系统有 BotHunter 和 BotSniffer 等。但随着检测方法的不断改进，僵 尸程序也随之更新，从最早的 IRC 僵尸到现在的 P2P 僵尸，甚至出现了混杂两种技 术的僵尸程序，且防检测手段也日益完善。现有的检测方法大多依赖特定的特征库， 对新出现的僵尸程序往往束手无策，而基于网络行为分析的检测方法又存在大量的 误报率。 如何更准确地判定一个网络中是否存在僵尸主机对于降低误报，节省人力物力资 源很重要。因此，本论文提出了基于多告警源关联的方法来检测网络中的主机，检 测系统中存在多个 Sensor(检测器)，每个 Sensor 独立工作，采用自己的方法来检测网 络中的主机是否存在异常，各个 Sensor 将得到的告警结果送入数据库并关联分析， 得到最后确定的结果。在检测中，单个 Sensor 可能存在误报，但关联分析以后，误 报结果大大减少。  1.2 国内外研究现状 僵尸网络被广泛地认为是网络安全的最大威胁，从 1999 年被发现以来，僵尸网 络发展速度极快，到 2007 年底，几乎所有的安全公司和研究机构都将它列为网络安 全的主要威胁，如 Radio Free Security、Watch Guard、SANS、McAfee’s AVERT Labs、 Symantec 等等，甚至包括《商业周刊》都预测僵尸网络将成为 2008 年最大的安全威 胁[2]。纵观僵尸网络由 1999 年到 2010 年初的整个发展历程，可以将其发展分成两个 阶段：2007 年以前的僵尸网络为第一代僵尸网络；2007 年以后的僵尸网络为第二代 僵尸网络。此外，反病毒企业和相关实验室、学术研究单位以及研究机构都对于僵 尸网络做了大量研究工作。 1.2.1 商业研究方向的发展 反病毒厂商基于利益的追求，最先开展僵尸网络的研究和探索相关的应对策略。 由于僵尸程序兼具一般的蠕虫、病毒和木马的功能而且具有高可控性，很难将其归 类为某种已知的恶意软件，但是可从僵尸程序的恶意性出发，将它视为一种由上述 各种技术结合而成的程序，于是“僵尸程序”(Bot)这样一个新的名词诞生了。表 1.1 显示了僵尸程序在恶意行为上和其他恶意软件的比较结果。目前比较著名的僵尸程 序有 SDBot, PhatBot, AgoBot 等，网络上可以下载到这些恶意软件的源代码；各类反 病毒软件的病毒特征码库都收录了这几个重要僵尸程序的特征码；从 2004 年起，赛 门铁克每年发布一次的信息安全威胁趋势分析报告也开始以独立的章节分析并评论 近半年内僵尸网络的活跃状况；俄罗斯著名的反病毒实验室卡巴斯基也指出，僵尸 网络的快速发展是恶意软件领域中最重大的变化[3]。 表 1.1 Bot 与传统恶意软件比较  1.2.2 学术界的研究发展方向 国内外各研究机构约在 2003 年开始关注僵尸网络的发展。主要的研究方法包括： 利用蜜罐和蜜网技术在可控网络环境中获取僵尸程序的可执行文件样本进行代码逆 向；提取样本程序发送的网络数据特征码，分析对应的行为特征；监听网络中其他 主机发送的数据，分析对应的行为特征并匹配特征码串。通过该方法可深入研究和 跟踪僵尸程序的运行情况，甚至获取僵尸程序所在僵尸网络的活跃状况，并给出相 应的分析报告。国际上的蜜网项目组有 Azusa Pacific 大学的 Bill McCarty、中国的狩 猎女神蜜网项目组[4]、法国蜜网项目组的 Richard Clarke、华盛顿大学 Dave Die