僵尸控制行为识别及检测方法研究-信息安全专业论文.docxVIP

华中科技大学硕士学位论文 华 中 科 技 大 学 硕 士 学 位 论 文 PAGE 10 PAGE 10 1 绪论 1.1 研究背景 Internet 的高速发展早已超出了其刚刚诞生时的应用范围，成为了一种全球性的 信息交流基础设施，作为人们生活中不可或缺的信息传递媒介，它由数以万亿计的 规模不同的计算机网络组成，是一个全球性的开放式计算机网络系统，无论用户身 处何处，只要连接了 Internet，便可通过数据通信获得丰富的网络资源。但是，网络 技术的快速发展也带来了巨大的安全挑战，僵尸网络便是其中最具威胁的安全隐患。 僵尸网络是由大量被控主机所构成的可用来发动大规模网络攻击的恶意网络。它 通常受某个特定的操控端控制，在接受其所下达的命令后发起恶意行为。如对网络 站点发起分布式拒绝服务攻击（ DDos）、发送垃圾邮件（Spam）、获取用户隐私资料、 滥用网络资源等。从 1999 年第一个以 IRC 聊天网络为基础的僵尸网络诞生[1]至今， 各种类型的僵尸层出不穷，僵尸网络规模越来越大，危害程度越来越高，隐蔽性与 健壮性也越来越强。由于僵尸间通信速度快，网络规模庞大，人为控制力强等特点， 僵尸网络已发展成网络攻击的基本渠道，成为当今网络安全的最大隐患之一。因此， 对僵尸节点和僵尸网络准确的检测已经成为网络安全领域亟待解决的问题。 僵尸网络按照命令与控制机制的不同可以分为 C/S 模式和 P2P 模式，前者为早期 僵尸网络所采用，主要使用一个用于集中控制的服务器向其控制的僵尸节点下达控 制命令，多依附于 IRC 聊天网络进行控制和传播，具有较广的应用规模，目前绝大 多数僵尸网络仍是此类型。P2P 模式的僵尸网络并不存在集中控制服务器，命令和控 制信息在僵尸控制者下达之后在僵尸节点之间相互传递执行，这种点对点的控制模 式使得此类僵尸具有更加健壮的网络结构，通信协议的多样化也使其不易被检测和 反制。 1.2 国内外研究现状 在僵尸网络发展初期，由于 IRC 聊天网络在国外的广泛应用，IRC 协议成为了 僵尸程序主要的依附对象，网络中出现了大量的 IRC 僵尸程序，如 SdBot，GTBot， MyBot 等[2]，随后蠕虫技术被引入到了僵尸网络的构建于传播中，从而引起了 IRC 僵尸网络的大规模爆发和蔓延，如 2004 年爆发的 Agobot/Gaobot 和 rBot/Spybot[3]等 僵尸程序就是这一类 IRC 僵尸网络。 尽管 2003 年以来，就已出现了基于 P2P 技术构建的僵尸网络[4-8][1-5.kaiti]，但 直至第一个真正泛滥的 P2P 僵尸 Storm Worm[4]爆发之前，学者们的研究重点仍围绕 着集中式控制的 IRC 僵尸网络展开，并将其列为安全领域学术研究的重点。USENIX 协会从 2005 年开始举办的 SRUTI 会议以僵尸网络为重要议题。 在检测方面 Binkley[9-10]提出了一个基于 TCP 扫描权重的启发式异常检测算法以 检测 IRC 僵尸网络控制通信。Strayer[11][12.kaiti]提出了通过检查带宽使用、持续时间 和数据包时序等网络流属性来识别 IRC 僵尸网络命令与控制通讯的方法。Livadas[12] 等人应用机器学习方法来对 IRC 僵尸网络通讯流进行检测。Goebel[13][14]通过分析 IRC 协议连接信息来检测内部网络的僵尸。Karasaridis[14]提出了一种在 ISP 骨干网络 层面上检测和刻画僵尸网络行为的方法。Tu[15]提出了一种基于 DNS 通信数据挖掘的 僵尸网络检测方法，与此类似的技术手段还包括 DNS 缓冲探测和 DNS 黑名单探测[16] 等。Gu[17]采用 IDS 驱动的会话关联方法实现了僵尸程序感染主机检测的 BotHunter 系统。他们进一步提出了根据僵尸网络通信流的相似性设计了僵尸程序检测系统 BotSniffer[18][19.kaiti]。 然而随着 Storm Worm 全球范围内的爆发，P2P 僵尸引起了学者们的极大关注， 对此类型僵尸网络的研究也已经展开。Sarat[19]，Holz[20]利用主动爬虫来检测感染僵 尸程序的主机，Binbin[21]等也利用 Glovnet 爬虫，通过分析 Storm Worm 僵尸网络特 有的地址关系特征，建立规则来检测感染主机。Gu[22]根据僵尸网络的通信行为与恶 意行为的关联方法提出了一种与僵尸控制机制无关的僵尸网络检测系统 BotMiner， 能够检测出当前的部分感染 P2P 僵尸程序的主机。此外，作者根据 P2P 僵尸程序的 对等地位和自动运行特征，与 Binbin 等一同完成了一种基于控制流的稳定性的僵尸 程序检测方法[23]。 由于基于 P2P 协