僵尸网络检测及防御技术研究

摘要：近年来随着计算机网络技术的发展，网络攻击事件层出不穷，而僵尸网络攻击以其强大的破坏性占据了目前网络攻击手段的领军位置，成为了目前计算机网络安全面临的最大的安全威胁之一。本文阐述了僵尸网络及其网络行为过程和发展趋势，对传统的IRC僵尸网络和新型的P2P僵尸网络的特点、检测方法和防御策略进行了研究与分析。

关键词：僵尸网络；网络安全；检测方法；防御策略

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 21-0000-02

1 引言

随着互联网的广泛应用，针对互联网的攻击手段也越来越多，近年来，互联网出现了一种新的攻击方式，我们将这种攻击方式统称为僵尸网络攻击。赛门铁克公司2004年报告显示，在2004年上半年每天监测到的感染僵尸程序的计算机数量从2000台上升至30000多台；CipherTrust公司2005年数据显示，每天大约有16万左右的新僵尸程序出现；2010年，我国共有3万5千多家网站被黑客纂改，国家互联网应急中心检测发现48万多个木马控制端IP；共发现13000多僵尸网络控制端IP。种种数据显示僵尸程序的数量、僵尸网络的规模和危害程度呈逐年上升的趋势，僵尸网络已成为目前互联网最为严重的安全威胁之一。面对僵尸网络的威胁，如何制定针对性的防御及反制策略已成为人们研究的重点。

2 僵尸网络的特点、结构

僵尸网络是指被BOT程序感染的一群计算机，这群被植入恶意控制功能程序的计算机被通称为僵尸计算机。通过信道控制（C&C）和命令的这群僵尸计算机组成的网络称为僵尸网络。僵尸网络的结构主要可以分为基于P2P协议的分布式结构和基于IRC协议或者HTTP协议的集中式结构两种。僵尸网络具有分布广泛、具有感染性和集中控制等特点，最主要的特点是可以一对多执行相同的恶意行为。正是由于具有一对多控制关系，使得可以用非常低的代价高效的控制海量的资源为攻击者服务，使得僵尸网络攻击模式受到广大黑客们的青睐。通常被黑客们用做大规模的网络攻击，如发送大量垃圾邮件或者进行DDOS（分布式拒绝服务攻击）、网络钓鱼、窃取私密信息等。和木马病毒、蠕虫等不受攻击者控制的安全威胁不同，僵尸网络可以提供一个极度受控制的平台，攻击者可以通过这个平台有目的的进行攻击。由于僵尸网络的高度受控性，各种僵尸程序的数量呈连续增长趋势，僵尸网络攻击活动也越来越频繁。。

僵尸网络是攻击者通过僵尸程序控制大量计算机，并通过一定的控制命令信道所组成的网络。目前僵尸网络的拓扑结构主要有星型、多服务器、分层和网状结构。这几种结构相对来说星型结构攻击效率高易摧毁；多服务器结构前期构建时间长抗毁性比星型强；分层结构抗毁性比多服务器强攻击效率低、网状结构具有最高的抗毁性但是规模容易被发现控制指令信息传输时延大。

3 僵尸网络的检测方法

近年来，通过对Koobface、Zeus、Mega-D、Waledac等一系列新型僵尸网络的研究发现，僵尸网络的活动主要分为感染、控制命令、发起攻击3个阶段。僵尸网络主要是通过远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等方式植入僵尸程序感染计算机的。以前的基于IRC协议集中式结果的僵尸网络主要是以主动扫描和远程漏洞攻击感染计算机，这种类蠕虫方式攻击的主要缺点是不够隐蔽，容易被检测到。近年来，僵尸网络的攻击感染方式逐渐以隐蔽的网页挂马为主。针对僵尸网络的攻击特点，现今僵尸网络检测大体上可以分为流量分析检测、蜜罐技术监控、增值网络攻击检测这三种方法。

3.1 流量分析检测

由于僵尸网络攻击时会出现海量僵尸程序在收发控制命令和攻击时会表现出同一时间窗内进行内容相似的通信，网络流量分析一般与网络安全事件检测联合来筛选可疑流并对流进行聚类分析。流量分析具体可以分为：基于特征签名、基于异常、基于DNS等方式。基于特征签名的流量分析是利用僵尸程序的特征签名和行为特点来检测网络中是否存在僵尸网络，当出现新的未被发现过的僵尸网络此方法就会失效；基于异常的流量分析主要是根据网络流量、网络时延、异常端动及异常系统活动等来检测僵尸网络，如果僵尸网络处于未活动期间此方法就会失效；基于DNS的流量分析的原理是因为僵尸程序是通过发出DNS查询和命令和信道控制服务器连接的，所以如果监控到DNS流量出现异常的情况就可以发现僵尸网络的踪迹，不过僵尸网络通常也可以发出虚假的DNS查询来欺骗此检测方式。

3.2 蜜罐技术监控

蜜罐技术主要是通过撒诱饵的方式误导僵尸网络攻击一些事先布置好的计算机、网络服务点以及信息来达到减轻实际系统被攻击强度。随着僵尸网络的攻击方式和感染手段的多样化，蜜罐的思想技术也随之得到了很大的发展，现如今蜜罐技术已经扩展成为通过多个蜜罐、多种工具组成的一个具有高度可控性的诱捕黑客的蜜网。最早的蜜网主要是用来监测集中式结构的僵尸网络，现如今蜜网也能有效监测分布式结构的僵尸网络。

3.3 增值网络攻击检测

通过仔细分析，我们发现僵尸网络的主要用途在于发起增值网络攻击，2009年赛门铁克的年度安全报告显示，85%左右的垃圾邮件源自僵尸网络。僵尸网络发出的邮件一般具有内容相似、同IP短时间内注册大量账号等特点。通过检测垃圾邮件、定位垃圾邮件源头可以发现僵尸程序，这也是目前所常用的办法。

4 僵尸网络的防御策略

由于僵尸网络的巨大危害性，如何防御僵尸网络攻击，如何降低僵尸网络的危害成为大家研究的重点。通过对僵尸网络的形成机理分析，我们可以通过几个层面来防御僵尸网络攻击：

4.1 网络层面

僵尸网络通信的实现必须通过各个网络端口，我们可以将大与1024号的所有端口设置为禁止程序进入，就算偶尔有特殊程序要用到某个端口，我们也可以在某个时间点暂时性的打开此端口的控制。通过端口控制来防御僵尸网络攻击。

4.2 计算机层面

增加安全意识，选择适合自己网络的杀毒软件和防火墙、定期安装软件和系统补丁、修复系统和软件漏洞、不随意打开陌生电子邮件和网络文件、关闭共享功能。

5 结束语

目前僵尸网络的检测或防御系统对是以针对集中式结构的僵尸网络为主，新型的分布式结构的僵尸网络的检测和防御手段还比较缺乏。如何有效检测和防御新型分布式结构的僵尸网络将成为未来一个重要的研究课题。

参考文献：

[1] OWASP. The Ten Most Critical Web Application Security Risks[EB/OL].（2010-10-14）[2010-1022].http：//www.owasp. org/index.php/ Top_10_2010.

[2]沈利香.僵尸网络传播模式分析和防治对策[J].常州工学院学报，2008，（06）.

[3]安德智.僵尸网络的攻击原理及其对策[J].计算机安全，2007，（05）.

[4] Dean T， Marc F， Eric J， et al. Symantec global Internet security threat report： Trends for July-December 07（Volume ⅩⅢ ）[R]. Cupertino， CA， USA： Symantec Inc.， 2008.

[5]王威，方滨兴，崔翔.基于终端行为特征的IRC僵尸网络检测[J].计算机学报，2009，32（10）.

[作者简介]邓婵（1986.02-），女，汉族，籍贯湖南，长沙师范学校，工程师，研究方向：计算机应用技术、教育技术。