聚类分析技术在IRC僵尸网络检测系统中应用.docVIP

聚类分析技术在IRC僵尸网络检测系统中应用 　　摘 要：僵尸网络是当前互联网中重大安全威胁之一，黑客通过在互联网中传播僵尸病毒，将大量计算机变成自己可控制的僵尸计算机，从而实现攻击。本文以僵尸网络中最常见的IRC僵尸网络为例，分析了IRC僵尸网络的工作原理，提出利用聚类分析技术中的马氏距离算法和欧氏距离算法对IRC僵尸网络进行检测。 　　关键词：僵尸网络；IRC；聚类分析 　　中图分类号：TP309.5 　　学术界自2003年开始关注僵尸网络这一新型的网络安全威胁，和以往的病毒、蠕虫等威胁不同，僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式，控制者在成功完成攻击后，在受攻击的系统上植入一个具有远程控制功能的小程序（bot），并将这些攻陷的机器（僵尸计算机）组成了一个具备一定规模的网络，由一台或多台控制端控制[1]。僵尸网络为攻击者提供了较为隐匿、并且灵活、高效的一对多命令与控制的机制，可以控制大量的僵尸计算机以达到窃取信息、分布式拒绝服务攻击（DDos）和垃圾邮件发送等攻击的目的。 　　僵尸网络主要分为三类：IRC僵尸网络、HTTP僵尸网络和P2P僵尸网络。IRC僵尸网络是最早产生的，由于IRC网络结构简单、灵活、容易控制，因此直到现在仍然是僵尸网络的主流类型。IRC僵尸网络是基于互联网在线聊天协议IRC，IRC协议是一种常用的实时网络聊天协议，应用很广泛，目前大部分聊天软件都使用的是IRC协议，而这也为黑客带来了可乘之机，他们以IRC协议为基础建立了他们可控制的IRC僵尸网络。如何鉴别网络中的计算机是否感染僵尸病毒是网络安全的重要任务之一，本文通过分析研究IRC僵尸网络通信数据的特征，提出使用聚类分析的技术来对IRC僵尸网络进行检测。 　　1 IRC僵尸网络的工作原理 　　IRC僵尸网络主要是利用IRC协议的形式，以一对多的命令和控制的信道来构建其控制服务器，继而控制IRC服务器，转发指令给僵尸计算机，最常见的有AGOBOT，GT-BOTS等。 　　IRC僵尸网络的基本原理是：黑客通过控制IRC服务器传播僵尸病毒到正常计算机，然后创建他们特殊的通信频道，被感染了僵尸病毒的计算机会根据病毒程序所设定好的配置登录到黑客指定的通信频道，黑客本身并不直接登录IRC服务器，而是通过网络中的某一台主机发送各种控制指令，僵尸收到指令后开始实施攻击，进而对僵尸网络实施控制。其工作原理如图1所示。 　　IRC僵尸网络从传播到发起攻击主要经历了僵尸病毒的传播、僵尸网络的控制、攻击目标三个步骤，其中命令控制僵尸网络是其整个工作机制的核心部分。 　　1.1 僵尸病毒的传播 　　僵尸网络主要是通过在主机上植入僵尸程序来构建的，传播的方式主要是通过远程漏洞扫描、弱口令扫描、邮件附件、恶意文档、文件共享等。对于IRC网络来说，黑客通过找到IRC服务器的漏洞，将僵尸病毒上传到IRC服务器上，使得登录IRC服务器的用户在安装聊天软件时被植入僵尸病毒，成为僵尸计算机。黑客一般使用动态域名服务将僵尸程序连接的域名映射到他所控制的多台IRC服务器上，以避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪。 　　1.2 僵尸网络的控制 　　黑客会将僵尸程序加入其私有的IRC命令与控制信道中，当黑客和已被其植入僵尸病毒程序的僵尸计算机，登录到其控制的IRC服务器上时，黑客会用一些常用的口令如login、！login、！auth等来验证僵尸计算机。 　　1.3 攻击目标 　　当黑客的控制权限被僵尸计算机认证通过后，这些僵尸计算机就会即可执行由黑客发出的各种指令。目前黑客对僵尸网络的攻击主要还是分布式拒绝服务、垃圾邮件、网络钓鱼、点击欺诈、信息窃取等，虽然没有新的攻击形式，但其攻击的能力逐渐增强，可以让大面积的服务发生故障。 　　通过IRC僵尸网络的工作原理，我们可以知道在僵尸计算机登录IRC服务器时，其登录的昵称的命名规则会被僵尸病毒所记录，因为很多僵尸计算机可能登录的是同一台IRC服务器，因此昵称会有相似性，对于登录同一台IRC服务器的僵尸计算机还会具备集群性。在黑客攻击指令发送时，僵尸计算机接受到的是同一指令，这样又具有了一致性。因此，总结下来IRC僵尸网络的行为具有相似性，集群性和一致性的特征，而正常的计算机在通信过程中表现出的则是随机性、离散性及模糊性等特点，介于这两种计算机的不同特征，我们可以利用聚类分析的方法找出计算机在通信时数据的不同来区分IRC僵尸网络和正常网络。 　　2 聚类分析技术在IRC僵尸网络检测中的应用 　　2.1 聚类分析技术 　　由于在同一个僵尸网络中，所有的僵尸计算机都会被植入同一类型的僵尸病毒，因此这些僵尸计算机会显现出一些相似的特征。我们可以将这些表现出来的各种特征通过聚类分析的技术来检测僵尸网络。 　　聚类分析是指将物理或抽象对