僵尸网络及检测技术剖析.docVIP

僵尸网络及检测技术剖析 　　摘 要：通过综述僵尸网络的相关知识，提出基于行为与域关联的检测方法。对僵尸网络的行为流和域名查询流进行类聚，建立一种聚类联动的检测模型，以期突破基于特征的监测的局限性。本文分析了僵尸网络的相关知识和工作原理，重点分析基于Behavior-domain模型的僵尸网络检测方法。 　　关键词：僵尸网络；域名特征；检测 　　中图分类号：TP393 文献标识码：A 　　Abstract：Review of relevant knowledge botnet，we proposed detection method based on the behavior associated with the domain.Cluster the flow behavior of botnets and domain query stream，build a linkage clustering model to detect in order to break through the limitations of feature-based monitoring.This paper analyzes the related knowledge and working principle of botnets，key analyzes the botnet detection method focuses on Behavior-domain Model. 　　Keywords：botnet；domain feature；detection 　　1 引言（Introduction） 　　僵尸网络是在Worm、Trojan Horse、Backdoor tool等一般恶意代码形态的基础上发展、结合进而产生的一种攻击方式，一般指集中受攻击者控制、用来发起大规模的网络攻击的一群计算机[1]。 　　僵尸程序未必像蠕虫病毒一定可以扩散，它与蠕虫的显著区别在于：僵尸程序一定是被黑客控制。有别于一般的特洛伊木马（Trojan Horse），僵尸程序能够发起主动性对外连接，可以预置指令，通过各种途径进行扩散，被感染的主机均受黑客控制[2]。间谍软件与僵尸程序的不同之处在于后者的数据一般只流向黑客，黑客并不控制被植入间谍软件的计算机。 　　2 僵尸网络的工作原理（The working principle of 　　botnet） 　　2.1 僵尸网络的功能结构 　　可以将僵尸网络的功能结构分为两个模块。首先是主要功能模块，它由两大模块组成：传播模块，用于实现网络传播；命令与控制模块，定义僵尸网络特性。其次是辅助功能模块，作为对僵尸程序主要功能模块的补充，增强僵尸程序的攻击性和存活率，该模块由信息窃取、僵尸主机控制等功能组成。 　　（1）命令与控制模块 　　作为僵尸程序的重中之重，这个模块能够实现与僵尸网络控制器的互动并且执行黑客的控制命令。另外，命令与控制模块还能够将执行结果返回僵尸网络控制器。 　　（2）传播模块 　　该模块负责将僵尸程序扩散到其他主机，使它们也受黑客控制，实现僵尸网络的扩张，其传播途径包括： 　　a.及时通信软件 　　b.文件系统共享 　　c.远程攻击软件漏洞 　　d.扫描恶意代码开的后门 　　e.发送邮件病毒 　　f.扫描NetBIOS弱密码 　　（3）信息窃取模块 　　信息窃取模块用于获取主机信息和其他有敏感的信息，例如进程列表、网络带宽和速度、账号和对应的密码、注册码等。 　　（4）攻击模块 　　攻击模块是黑客用于通过受感染主机（俗称“肉鸡”）完成各类攻击的模块（例如：发送邮件模块、架设服务模块、点击欺诈模块、分布式拒绝服务攻击）。 　　（5）更新和下载模块 　　为更好的控制僵尸主机，僵尸程序也需要下载与更新。该模块使黑客能随时根据不同目标，在受感染主机上增加或更新各类恶意代码以及僵尸程序。 　　（6）躲避检测与对抗分析模块 　　对僵尸程序的检测和分析一直是网络安全的一个热点，因此该模块是为了绕过检测与和与各类病毒分析相抗衡，以便提高僵尸网络的存活率，其功能包括： 　　a.通过Rootkit方式进行实体隐藏 　　b.清除反病毒的进程 　　c.检查调试器的存在 　　d.对僵尸程序加密或变形 　　e.识别虚拟机环境 　　f.对升级反病毒软件的活动进行拦截 　　2.2 僵尸网络的工作机制 　　僵尸网络是把在网络上的感染了僵尸程序的计算机通过某个应用层协议连成网络，通过控制这个网络，黑客能够进行攻击、窃取等行动。这个僵尸网络，由僵尸控制者（Botmaster）通过僵尸网络的命令与控制（CC）信道来控制，能够以向网络上的所有或部分僵尸发出指令，