僵尸網(wǎng)絡(luò)檢測方法研究.pdf

1、僵尸網(wǎng)絡(luò)是被攻擊者遠(yuǎn)程控制、而其用戶尚無感知的一群計算機組成的綜合攻擊平臺，已發(fā)展為當(dāng)今互聯(lián)網(wǎng)的最嚴(yán)重安全威脅之一。僵尸網(wǎng)絡(luò)區(qū)別于傳統(tǒng)木馬、蠕蟲等惡意攻擊方式的基本特性是，攻擊者使用了一對多的命令與控制機制(Command and Control，C&C)實現(xiàn)對多臺主機的完全控制，指揮僵尸相互協(xié)作發(fā)起惡意活動，利用它們輕而易舉地發(fā)起各類大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊、發(fā)送海量垃圾郵件等等。如何準(zhǔn)確地識別僵尸主機是防御僵尸網(wǎng)絡(luò)的首

2、要任務(wù)，這對網(wǎng)絡(luò)運營管理、打擊網(wǎng)絡(luò)犯罪等都具有非常重要的意義。
　　 起初，僵尸網(wǎng)絡(luò)主要依靠IRC(Internet Relay Chat)和HTTP(Hyper Text Transport Protocol)等協(xié)議實現(xiàn)集中式C&C控制；以后，為了克服集中式結(jié)構(gòu)存在的單點失效缺點，開始使用P2P(Peer-to-Peer)協(xié)議來構(gòu)建分布式結(jié)構(gòu)C&C，以加強其自身的健壯性和隱蔽性。在僵尸網(wǎng)絡(luò)高度可控環(huán)境下，攻擊者可以通過相關(guān)命令

3、頻繁地更新僵尸程序以改變其特征碼，因此基于特征碼匹配的檢測方法容易失效。目前識別僵尸主機的方法主要有：一是通過解析相關(guān)通信協(xié)議(如IRC和HTTP)，挖掘異常通信行為來識別僵尸主機；二是根據(jù)同種僵尸主機C&C通信行為的相似性以及攻擊行為的相似性，通過聚類和關(guān)聯(lián)的方法來識別包括IRC、HTTP和P2P等類型的僵尸主機。然而前者不能應(yīng)對加密通信的情況；后者則依賴所監(jiān)督網(wǎng)絡(luò)存在多個同類僵尸主機的條件，難以識別網(wǎng)絡(luò)中的單個僵尸主機。此外，主動測

4、量技術(shù)也是識別P2P僵尸主機的有效方法，但已有這類技術(shù)給網(wǎng)絡(luò)引入了大量額外流量，也會給正常節(jié)點的通信造成較大影響。
　　 提出基于異常地址對應(yīng)關(guān)系的Storm僵尸主機主動識別方法AASD。它可識別寄生于Overnet網(wǎng)絡(luò)中、危害巨大的Storm僵尸主機。Overnet是一種DHT網(wǎng)絡(luò)，其節(jié)點的標(biāo)識符與通信地址(IP,Port)之間理論上存在一一對應(yīng)的關(guān)系，但是實際發(fā)現(xiàn)它們之間存在一對多和多對一的異常對應(yīng)關(guān)系，稱一對多為標(biāo)識符重用

5、，而稱多對一為通信地址重用。在歸納節(jié)點索引地址條目中的標(biāo)識符重用和通信地址重用現(xiàn)象的基礎(chǔ)上，發(fā)現(xiàn)了Storm僵尸索引地址條目的兩個特征：(1)僵尸節(jié)點使用的標(biāo)識符和通信地址同時具有重用現(xiàn)象；(2)每個重用標(biāo)識符所對應(yīng)的多個IP地址并不集中在一個特定子網(wǎng)。設(shè)計了Overnet網(wǎng)絡(luò)高速爬蟲，將其部署于PlanetLab全球?qū)嶒炂脚_上，收集到大量用于實驗的索引地址條目；采用集合論方法識別出同時具有標(biāo)識符重用和通信地址重用現(xiàn)象的節(jié)點索引地址條目

6、；然后，利用最大信息熵理論量化重用標(biāo)識符對應(yīng)IP地址的分散度，并把分散度作為判別僵尸的重要依據(jù)。若分散度超過設(shè)定閾值，則對應(yīng)重用標(biāo)識符就是Storm僵尸使用的標(biāo)識符，其對應(yīng)的重用通信地址即為Storm僵尸使用的通信地址。實驗結(jié)果表明：與已有的主動檢測方法相比，AASD方法不僅能以95％的識別率識別出活躍Storm僵尸節(jié)點，而且還能識別出不活躍Storm僵尸節(jié)點；另外，其占用的網(wǎng)絡(luò)帶寬降低了約60％，有效減少了對正常Overnet節(jié)點用戶

7、的影響。
　　 提出基于交互流簇分布相似率的P2P僵尸主機識別方法SIDPI。它可識別加密的Storm僵尸主機。特定IP端口(IP,Port)對上一定時窗內(nèi)的所有流稱為流簇。對非僵尸應(yīng)用來說，其監(jiān)聽端口在不同時窗上各流簇的平均包長的分布相差很大，而僵尸則是相似的。采用相對熵理論量化兩個相鄰時窗分布間的距離，計算多個連續(xù)等長時窗內(nèi)流簇平均包長分布的距離，分布相似率超過設(shè)定閾值(IP,Port)之主機即被標(biāo)識為僵尸主機。還提出小流簇

8、過濾算法，它提取網(wǎng)絡(luò)中疑似僵尸主機的監(jiān)聽端口，削減須處理的網(wǎng)絡(luò)流量，提高了流簇分布相似性判定效率。SIDPI方法的優(yōu)點在于：(1)沒有利用包負(fù)載信息，可以識別加密通信的僵尸主機；(2)不依賴多個僵尸間相似的群體通信和相似攻擊行為，可以識別網(wǎng)絡(luò)中的單個僵尸，特別是在僵尸傳播的初期。實驗結(jié)果表明，小流過濾算法能夠濾掉網(wǎng)絡(luò)中98％以上的(IP, Port)，提高了后續(xù)相似率判定的效率；對采用加密通信和未加密通信的Storm僵尸的平均檢測率約為

9、95％。
　　 提出一種基于網(wǎng)絡(luò)連接行為模式的僵尸主機識別方法BMBD。它可識別當(dāng)前活躍的IRC和HTTP僵尸主機。分析發(fā)現(xiàn)，僵尸節(jié)點的不同連接具有相似性、這些連接的間隔時間具有周期性。為此，首先使用無督導(dǎo)聚類方法聚合相似連接，使用循環(huán)相關(guān)函數(shù)挖掘潛在的周期，形成BCM（Bot Connection-Behavior Model，BCM）模式。然后，在網(wǎng)絡(luò)邊界抓取流量，通過BCM模式的匹配來識別僵尸主機。實驗表明，BMBD既不依