僵尸网络检测和防范研究

摘 要:僵尸网络正处于发展的时期,对网络安全的威胁日益严重。深入研究僵尸网络的结构、工作原理和传播机制,是对其进行检测和预防的前提。对不同种类的僵尸网络,需要运用不同的技术。最后,介绍了僵尸网络的发展趋势。

关键词:僵尸网络;入侵检测;网络安全;蜜网

中图分类号:TP

文献标识码:A

文章编号:1672-3198(2010)12-0301-01

2009年4月13日,工业和信息化部关于印发《木马和僵尸网络监测与处置机制》的通知,这是工业和信息化部成立以来,首次专门针对互联网网络安全的部门文件,引起了社会各界的广泛关注。据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计,2008年我国境内感染僵尸网络控制端的IP地址为1,825个,感染僵尸网络被控制端的IP地址为1,237,043个。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染僵尸网络恶意代码的数量之大,面临的网络安全问题之严重。

因此,认识和研究僵尸网络是当前网络与信息安全保障工作的一个重要课题,有必要建立长效机制,对其进行长期、有效的处置。

1 僵尸网络的结构和工作原理

2005年网络与信息安全技术研讨会上,CNCERT对僵尸网络的定义为:僵尸网络是指攻击者利用互联网秘密建立的可以控制的计算机群。其组成通常包括被植入“僵尸”程序的计算机群,一个或多个控制服务器,控制者的控制终端等。

僵尸网络的种类很多,主要有IRC Botnet、AOL Botnet、P2P Botnet等,本文主要讨论的教主僵尸网络属于目前最常见的IRC Botnet。IRC协议采用客户端/服务器,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。

僵尸网络的工作过程一般包括四个阶段:传播、感染、指挥与控制和攻击。

传播阶段。在许多僵尸网络的传播阶段,僵尸电脑程序到处传播和感染系统。传播阶段的目标主要是感染系统,引诱用户安装恶意软件,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件。

感染阶段。一旦安装到系统,这个恶意软件就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。

指挥与控制阶段。现代僵尸网络发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸网络节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。

攻击阶段。僵尸网络生命周期的最后阶段是攻击阶段。当攻击成功的时候,这个僵尸网络本身的规模将扩大。僵尸网络还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸网络销售信息和服务。

2 僵尸网络的追踪和防范

僵尸网络的危害不言而喻,目前僵尸网络主要通过分布式拒绝服务攻击(DDoS)、发送垃圾邮件、实施网络仿冒和安装间谍软件等手段,要想进行有效的防范,根据其缺陷追踪和检测是基本前提。

2.1 根据流量和行为特征检测

本文讨论的基于IRC协议的僵尸网络中,僵尸主机和控制端的会话与正常的IRC数据流相比,有显著的差异,僵尸主机的行为具有规律性和一定的持续性。

特征1控制端在频道内对所有的僵尸主机发送广播命令,要求僵尸主机执行同一条命令,命令长度短于普通的IRC数据包的平均长度。

特征2如果控制端没有发起会话,则僵尸主机进行长时间的发呆(平均会话时长3.5小时)。

特征3特定的端口号,一般使用6667,6668,6669,7000,7514等。

特征4频道中用户的昵称具有规律性,正常的IRC用户的昵称是有意义的,而“僵尸”主机的昵称具有某种特定的格式。

该方法的主要过程如下:首先用Sniffer和Ethereal等抓包工具分析已知僵尸网络中“僵尸主机”与控制断的会话,从中提取特征,然后检测网络中的数据流,设置过滤规则,对数据流逐步进行过滤,最后对剩下的数据流进行分析以确定控制服务器和攻击者。

2.2 蜜网技术

蜜网技术是目前检测和监控僵尸网络最常用的方式之一,与基于流量和行为特征不同,蜜网技术基于主机信息并对僵尸网络进行仿真。目前研究这种技术的有德国的蜜网项目组和一些科研机构以及国内的国家计算机网络应急技术处理协调中心等。

蜜网是在蜜罐技术上逐渐发展起来的一个新的概念。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。

另面视前一篇情况可加可不加

作者简介:

程讴(1972-),女,四川隆昌人,实验师,四川农业大学计算机科学与技术专业本科毕业,四川省宜宾职业技术学院实训中心实习指导教师,研究方向:计算机课程方面的实训教学。

图1 蜜网的拓扑结构

利用在网络中部署恶意软件收集器,对收集到的恶意软件样本采用蜜网技术对其进行分析,确认是否僵尸程序,并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取,最后通过客户端蜜罐技术,伪装成被控制的僵尸工具,进入僵尸网络进行观察和跟踪。

蜜网技术的缺点是采用被动检测的方式,需要等待真实或者模拟的黑客攻击,而且蜜网技术针对的是攻击流,检测出来之后再对该流进行攻击,该技术目前还处在起步阶段。同时,越来越多的僵尸网络攻击者也开始寻找躲避蜜网检测的方法,如加强对僵尸主机的认证、通过检测蜜罐自身的特点来躲避攻击等。

3 僵尸网络新技术与发展趋势

随着互联网的迅速发展,国内外信息资源的共享,各种攻击技术层出不穷,僵尸网络也变得更加智能化。2009年,一些主要的僵尸网络在互联网上都变得更加令人难以琢磨,以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。

最新型的僵尸网络攻击往往采用hypervisor技术,可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。

僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。这种技术利用了一种新的思想:被攻陷的计算机仅仅被用来当作前线的,而真正发号施令的主控计算机确藏在的后面。安全专家只能跟踪到被攻陷主机的IP地址,真正窃取数据的计算机在其他地方。主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。攻击者还可以动态地修改Fast-Flux网络的IP地址。

僵尸网络所使用的攻击类型比以前变得更加复杂多样。显然,僵尸网络威胁一直在不断地增长,而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。

参考文献

[1]杨明,任岗,张建伟.浅谈网络僵尸[A].2006通信理论与技术新进展――第十一界全国青年通信学术会议论文集,2006:629-633.

[2]李金良.僵尸网络及其防御研究[D].曲阜:师范大学,2007.

[3]郑颂武,钱布仁.IRC僵尸网络检测方法研究[EB].http:/ / www. autocontrol. com. cn/magazine / ams/Article, 2009-05-02.

[4]The honeynet project&research alliance.Know your enemy tracking botnets[EB/OL].http: //project.省略/papers/bots/,2005,(3).

[5]陆伟宙,余顺争.僵尸网络检测方法研究[J].电信科学,2007,23,(12).