僵尸网络检测与防范研究.docVIP

僵尸网络检测与防范研究 　　摘 要:僵尸网络正处于发展的时期,对网络安全的威胁日益严重。深入研究僵尸网络的结构、工作原理和传播机制,是对其进行检测和预防的前提。对不同种类的僵尸网络,需要运用不同的技术。最后,介绍了僵尸网络的发展趋势。 　　关键词:僵尸网络;入侵检测;网络安全;蜜网 　　中图分类号:TP 　　文献标识码:A 　　文章编号:1672-3198(2010)12-0301-01 　　 　　2009年4月13日,工业和信息化部发布关于印发《木马和僵尸网络监测与处置机制》的通知,这是工业和信息化部成立以来,首次发布专门针对互联网网络安全的部门文件,引起了社会各界的广泛关注。据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计,2008年我国境内感染僵尸网络控制端的IP地址为1,825个,感染僵尸网络被控制端的IP地址为1,237,043个。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染僵尸网络恶意代码的数量之大,面临的网络安全问题之严重。 　　因此,认识和研究僵尸网络是当前网络与信息安全保障工作的一个重要课题,有必要建立长效机制,对其进行长期、有效的处置。 　　1 僵尸网络的结构和工作原理 　　2005年网络与信息安全技术研讨会上,CNCERT对僵尸网络的定义为:僵尸网络是指攻击者利用互联网秘密建立的可以控制的计算机群。其组成通常包括被植入“僵尸”程序的计算机群,一个或多个控制服务器,控制者的控制终端等。 　　僵尸网络的种类很多,主要有IRC Botnet、AOL Botnet、P2P Botnet等,本文主要讨论的教主僵尸网络属于目前最常见的IRC Botnet。IRC协议采用客户端/服务器,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。 　　僵尸网络的工作过程一般包括四个阶段:传播、感染、指挥与控制和攻击。 　　传播阶段。在许多僵尸网络的传播阶段,僵尸电脑程序到处传播和感染系统。传播阶段的目标主要是感染系统,引诱用户安装恶意软件,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件。 　　感染阶段。一旦安装到系统,这个恶意软件就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。 　　指挥与控制阶段。现代僵尸网络发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸网络节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。 　　攻击阶段。僵尸网络生命周期的最后阶段是攻击阶段。当攻击成功的时候,这个僵尸网络本身的规模将扩大。僵尸网络还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸网络销售信息和服务。 　　2 僵尸网络的追踪和防范 　　僵尸网络的危害不言而喻,目前僵尸网络主要通过分布式拒绝服务攻击(DDoS)、发送垃圾邮件、实施网络仿冒和安装间谍软件等手段,要想进行有效的防范,根据其缺陷追踪和检测是基本前提。 　　2.1 根据流量和行为特征检测 　　本文讨论的基于IRC协议的僵尸网络中,僵尸主机和控制端的会话与正常的IRC数据流相比,有显著的差异,僵尸主机的行为具有规律性和一定的持续性。 　　特征1控制端在频道内对所有的僵尸主机发送广播命令,要求僵尸主机执行同一条命令,命令长度短于普通的IRC数据包的平均长度。 　　特征2如果控制端没有发起会话,则僵尸主机进行长时间的发呆(平均会话时长3.5小时)。 　　特征3特定的端口号,一般使用6667,6668,6669,7000,7514等。 　　特征4频道中用户的昵称具有规律性,正常的IRC用户的昵称是有意义的,而“僵尸”主机的昵称具有某种特定的格式。 　　该方法的主要过程如下:首先用Sniffer和Ethereal等抓包工具分析已知僵尸网络中“僵尸主机”与控制断的会话,从中提取特征,然后检测网络中的数据流,设置过滤规则,对数据流逐步进行过滤,最后对剩下的数据流进行分析以确定控制服务器和攻击者。 　　2.2 蜜网技术 　　蜜网技术是目前检测和监控僵尸网络最常用的方式之一,与基于流量和行为特征不同,蜜网技术基于主机信息并对僵尸网络进行仿真。目前研究这种技术的有德国的蜜网项目组和一些科研机构以及国内的国家计算机网络应急技术处理协调中心等。 　　蜜网是在蜜罐技术上逐渐发展起来的一个新的概念。其主要目的是收集黑客的攻击信息