基于僵尸网络追踪的网络购物安全技术研究.docxVIP

?

?

基于僵尸网络追踪的网络购物安全技术研究

?

?

胡博文

摘要：随着互联网和电子商务平台的发展，网络购物已成为人们社会生活中的日常行为。僵尸网络是一种新兴的互联网威胁，其数量、规模和危害级别正在迅速增长，并已使全球网络进入新的警戒状态。尤其是在网络购物方面，僵尸网络常被不法分子利用而对网络购物平台发起网络攻击。众多真实的案例表明，利用僵尸网络追踪技术保障网络购物安全已成为从事網络安全的研究人员所重点关注的领域。文章以当前僵尸网络的研究技术为基础，进而对僵尸网络的检测与追踪技术进行归纳与总结，为学该领域的研究提供借鉴，并为网络购物平台日后在研制、开发和部署位于路由节点的僵尸网络检测与追踪实时监控系统奠定基础。

关键词：僵尸网络;网络安全;检测技术;追踪技术;网络购物安全

0??引言

僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。僵尸网络具有隐匿、灵活的特点，并且可以高效地执行一对多命令与控制机制，这些特点使得被攻击者广泛接受并使用于实现窃取敏感信息、发送分布式拒绝服务攻击和发送垃圾邮件等攻击目的[1]。从1999年被发现以来，僵尸网络正在步入快速发展期，并已对网络购物安全造成了严重威胁，其特点如下。

（1）当下的网络购物平台拥有数量庞大的用户规模，并且用户具有高度分散等特点，这也为僵尸网络提供了非常便利的条件将自己产生的非法流量隐藏在用户产生的合法海量流量中。

（2）在当前的电子商务中，商家会根据用户的浏览兴趣、习惯与关系进行归类分组，这也使得社交僵尸网络窃取用户的个人信息与传播过程变得更加方便。

（3）当下的网络购物平台普遍具有开放性，这使得网络上的恶意用户可以利用平台的开放性进行欺骗，或诱惑性地使普通用户安装下载攻击性程序。

（4）此外，因为网络购物平台具有不会关闭的特点，使得僵尸网络可以长期生存在平台上，并且不易被查杀，随着时间的累积，僵尸网络的规模将逐渐扩大。

本文以当前僵尸网络的研究技术为基础，对僵尸网络国内外的检测与追踪技术进行了归纳与总结，分析了以协议、内容、流量为三大特征的分析检测技术，深入探讨了利用数据仓库、数据挖掘以及大规模拓跋可视化为技术出发点的追踪技术，并在总结僵尸网络演变规律的基础上提出了一个基于路由节点的僵尸网络检测与追踪解决方案。对僵尸网络进行检测与追踪的相关技术研究如图1所示。

1??相关研究

1.1?僵尸网络检测技术研究

1.1.1?僵尸网络检测技术

要想在路由节点上实现对网络购物中僵尸网络快速、准确的检测，首先就必须研究在路由节点对僵尸网络进行基于协议特征的检测、基于内容特征的检测和基于流量特征的检测。

（1）基于协议特征的检测。目前，僵尸网络主要利用IRC，HTTP和P2P3种协议进行命令的传输和攻击控制，研究这3种不同的协议在命令传输和攻击过程中的不同特征，尤其要研究在路由节点上呈现出的协议特征来检测僵尸网络的爆发。

（2）基于内容特征的检测。基于路由节点，对僵尸网络数据内容的特征进行研究。通过监控路由节点中的数据内容，分析并总结僵尸网络在传播、加入、控制3个阶段产生的数据内容的规律和特性，达到透彻了解僵尸网络在路由节点的数据内容特征的目的。

（3）基于流量特征的检测。基于路由节点，对僵尸网络流量变化的特征进行研究。通过监控路由节点中的流量数据，分析并总结僵尸网络中僵尸主机与僵尸服务器的特性所产生的流量数据的规律和特性，达到透彻了解僵尸网络在路由节点的流量特征的目的。

在此基础上，需要进行如下技术研究：

（1）不同的僵尸网络在协议特征、内容特征和流量特征上也具有很大的差异，所以需要研究这3种检测方法对不同的僵尸网络检测的速度和准确性。

（2）研究这3种检测方法对路由节点的性能和网络速度造成的影响。这3种检测方法都是基于路由节点的，可能会架设在主干网络的关键节点上，需要研究网络流量较大时对检测效率和网络延时的影响。

（3）研究如何在检测效率和对网络的影响之间找到平衡点，实现在对网络速度影响尽可能小的情况下，达到对僵尸网络快速、准确检测的目的。

1.1.2?国内外的具体研究成果

王志等[2]在对bot程序执行轨迹进行分析的基础上，提出了一种发掘僵尸网络控制命令集合的方法，对bot程序覆盖率特征进行分析，获得其执行轨迹，进而实现僵尸网络控制命令空间的发掘;臧天宁等[3]对已知僵尸网络内部通信行为进行特征提取，并利用这些特征定义云模型，进而分析判断已知bot主机群的隶属关系;在协同检测方面，王海龙等[4]提出的协同检测模型可以在信息、特性和决