2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩13頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p>  課題名稱: 僵尸網(wǎng)絡(luò)的研究 </p><p><b>  摘要</b></p><p>  僵尸網(wǎng)絡(luò)是由被僵尸程序感染的網(wǎng)絡(luò)上計(jì)算機(jī)組成的可相互通信、可被控制的網(wǎng)絡(luò),是一種新型的網(wǎng)絡(luò)攻擊形式,對(duì)網(wǎng)絡(luò)安全構(gòu)成了很大危害,也為網(wǎng)絡(luò)戰(zhàn)提供了一種新的進(jìn)攻手段。介紹了僵尸網(wǎng)絡(luò)的概念和演化過程,深入剖析了僵尸網(wǎng)

2、絡(luò)的功能結(jié)構(gòu)和工作機(jī)制,討論了僵尸網(wǎng)絡(luò)的傳播模型,提出討論了僵尸網(wǎng)絡(luò)的檢測(cè)和反制方法,對(duì)僵尸網(wǎng)絡(luò)的發(fā)展趨</p><p>  勢(shì)和軍事上的應(yīng)用作了展望。</p><p>  目前僵尸程序的檢測(cè)主要有基于行為特征的檢測(cè)技術(shù)和基于流量特征的檢測(cè)技術(shù)?;谛袨樘卣鞯臋z測(cè)技術(shù)能夠比較精確的檢測(cè)僵尸程序的活動(dòng),但是處理數(shù)據(jù)的能力有限;而基于流量特征的檢測(cè)技術(shù)能夠處理較大規(guī)模的數(shù)據(jù)量,但是存在較大的誤

3、報(bào)?;诰W(wǎng)絡(luò)僵尸程序檢測(cè)方法能夠較好的結(jié)合這兩種檢測(cè)技術(shù)的優(yōu)點(diǎn),有效地檢測(cè)在較大背景流量中活動(dòng)的僵尸程序。</p><p>  由于目前在僵尸程序代碼的設(shè)計(jì)上存在結(jié)構(gòu)化的特性,同一個(gè)僵尸網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)行為和消息在時(shí)間和空間上都表現(xiàn)出了極大的關(guān)聯(lián)性和相似性。分析了僵尸程序的流特征,根據(jù)實(shí)驗(yàn)結(jié)果,設(shè)計(jì)出了基于輕量級(jí)有效載荷協(xié)議匹配算法。然后利用序列假設(shè)檢驗(yàn)算法對(duì)僵尸程序的網(wǎng)絡(luò)活動(dòng)進(jìn)行動(dòng)態(tài)的判定。</p>

4、<p>  關(guān)鍵詞:僵尸程序,網(wǎng)絡(luò)行為,網(wǎng)絡(luò)安全,僵尸網(wǎng)絡(luò)惡意代碼,網(wǎng)絡(luò)戰(zhàn)。 </p><p><b>  Abstract</b></p><p>  A botnet is the program on the web infection zombie computer can be composed of communication, can be

5、 control network, is a new type of network attack form of network security constitutes the very great harm, but also for WangLaoZhan provides a new offensive means. Introduces the concept of the botnet and evolution proc

6、ess, this paper explores the botnet function structure and work mechanism, and discusses the spread the botnet model, discussed the botnet detection and counterspell method, the d</p><p>  Potential and mili

7、tary application are discussed.</p><p>  At present the main testing program zombie based on behavior characteristics of the testing technology based on the characteristics of the flow and testing technology

8、. Based on behavior characteristics of the testing technology can be more precise detection of zombie program activities, but limited ability to deal with data; Based on the characteristics of the flow and testing techno

9、logy to be able to deal with a large amount of data, but there is large misstatement. Based on network zombie prog</p><p>  Because the present in the zombie program code on the design of the characteristics

10、 of the existing structured, within the same botnet bots behavior and the news in time and space showed a lot of connections and similarity. Analysis of the zombie program flow characteristics, according to the experimen

11、tal results, the design based on lightweight payload agreement matching algorithms. And then the sequence of hypothesis test algorithm of zombie program for dynamic network activity of the judgment</p><p>  

12、Keywords: zombie procedures, network behavior, network security, botnet malicious code.</p><p><b>  目 錄</b></p><p>  選題背景- 4 -</p><p>  一、緒論- 5 -</p><p> 

13、 二、僵尸網(wǎng)絡(luò)的演化過程和工作機(jī)制- 6 -</p><p>  1、僵尸網(wǎng)絡(luò)的演化- 6 -</p><p>  2、僵尸網(wǎng)絡(luò)的工作機(jī)制- 7 -</p><p>  2.1、僵尸網(wǎng)絡(luò)的工作模型- 7 -</p><p>  2.1.1、僵尸網(wǎng)絡(luò)的傳播- 7 -</p><p>  2.1.2、僵尸網(wǎng)絡(luò)的加

14、入- 8 -</p><p>  2.1.2、僵尸網(wǎng)絡(luò)的控制- 9 -</p><p>  2.3、僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)- 9 -</p><p>  三、僵尸網(wǎng)絡(luò)的檢測(cè)和反制- 10 -</p><p>  1、僵尸網(wǎng)絡(luò)的檢測(cè)- 10 -</p><p>  2、僵尸程序檢測(cè)技術(shù)- 12 -</p&g

15、t;<p>  3、僵尸網(wǎng)絡(luò)的反制- 13 -</p><p>  四、致謝- 14 -</p><p>  參考文獻(xiàn)- 15 -</p><p><b>  選題背景:</b></p><p>  近年來,隨著Intemet在全球的迅速發(fā)展,其技術(shù)已廣泛滲透到各個(gè)領(lǐng)域。由Intemet發(fā)展所帶來的網(wǎng)

16、絡(luò)系統(tǒng)的安全問題受到越來越多的關(guān)注。在信息戰(zhàn)中,計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)的強(qiáng)大威懾力集中體現(xiàn)在對(duì)信息化社會(huì)具有巨大的破壞作用上,它將是一種對(duì)社會(huì)破壞潛力最大、技術(shù)手段最新、發(fā)展最快的形式。世界各主要國(guó)家和地區(qū)都把發(fā)展信息戰(zhàn)能力作為國(guó)家安全戰(zhàn)略和軍事戰(zhàn)略的重點(diǎn),特別是重點(diǎn)開發(fā)計(jì)算機(jī)網(wǎng)絡(luò)攻防武器和手段。僵尸網(wǎng)絡(luò)是一種具有很大作戰(zhàn)效能的</p><p>  進(jìn)攻手段。僵尸網(wǎng)絡(luò)不同于以往簡(jiǎn)單的安全事件,它相當(dāng)于一個(gè)高效、隱蔽的攻擊平

17、臺(tái)。利用該平臺(tái),攻擊者能夠發(fā)起各種各樣的破壞行為,由于平臺(tái)的搭建使得這些破壞行為產(chǎn)生聚合,造成比傳統(tǒng)破壞行為更大的危害,并且使得攻擊的防范難度增大。僵尸網(wǎng)絡(luò)將攻擊源從一個(gè)轉(zhuǎn)化為多個(gè),乃至一個(gè)龐大的網(wǎng)絡(luò)體系,攻擊者通過網(wǎng)絡(luò)來控制受感染的系統(tǒng),同時(shí)不同地造成網(wǎng)絡(luò)危害,如更快地傳播蠕蟲、短時(shí)間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進(jìn)行非法目的牟利、發(fā)起大范圍的分布式拒絕服務(wù)攻擊等,受控網(wǎng)絡(luò)的存在,給危害追蹤和損失抑制帶來巨大的麻煩,這也是僵尸網(wǎng)絡(luò)迅

18、速發(fā)展的原因。</p><p><b>  一 緒論</b></p><p>  僵尸網(wǎng)絡(luò)(botnet)是被攻擊者遠(yuǎn)程控制的、而其用戶尚無(wú)感知的一群計(jì)算機(jī)。攻擊者通常利用僵尸網(wǎng)絡(luò)發(fā)起各種惡意行為,比如對(duì)任何指定主機(jī)發(fā)起分布式拒絕服務(wù)攻擊(DDoS)[1]、發(fā)送垃圾郵件(Spam)[2]、獲取機(jī)密、濫用資源等。傳統(tǒng)的惡意代碼有后門工具(如 rootkit)[3],網(wǎng)絡(luò)

19、蠕蟲(Worm)[4]和特洛伊木馬(Trojan horse)[5]等,僵尸網(wǎng)絡(luò)來源于傳統(tǒng)惡意代碼但是又高于傳統(tǒng)惡意代碼。僵尸網(wǎng)絡(luò)的發(fā)展一般經(jīng)歷傳播、加入和控制三個(gè)階段,通過這三個(gè)階段,僵尸程序會(huì)根據(jù)中心服務(wù)器的控制命令下載、更新僵尸樣本。正因?yàn)榻┦W(wǎng)絡(luò)能隨時(shí)更新樣本,使得僵尸程序能夠保持良好的健壯性。</p><p>  僵尸網(wǎng)絡(luò)中心服務(wù)器通過命令與控制通道對(duì)網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)進(jìn)行控制,僵尸程序分類方法比較多樣,

20、但是一般以命令與控制機(jī)制作為分類標(biāo)準(zhǔn)。當(dāng)前,僵尸網(wǎng)絡(luò)的命令與控制機(jī)制主要有 3 種:基于 IRC 協(xié)議的命令與控制機(jī)制、基于 HTTP 協(xié)議的命令與控制機(jī)制和基于 P2P 協(xié)議的命令與控制機(jī)制?;?IRC 和基于 HTTP 的命令與控制機(jī)制是C/S模式,存在一個(gè)集中控制服務(wù)器,并通過該服務(wù)器向網(wǎng)絡(luò)內(nèi)的各僵尸主機(jī)發(fā)送命令;基于P2P協(xié)議的命令與控制機(jī)制采用的是點(diǎn)到點(diǎn)的對(duì)等模式,網(wǎng)絡(luò)內(nèi)的各僵尸主機(jī)均可以作為僵尸網(wǎng)絡(luò)的中心服務(wù)器。&l

21、t;/p><p>  二、僵尸網(wǎng)絡(luò)的演化過程和工作機(jī)制</p><p><b>  1、僵尸網(wǎng)絡(luò)的演化</b></p><p>  Bot是秘密運(yùn)行在被控制計(jì)算機(jī)中、可以接收預(yù)定義的</p><p>  命令和執(zhí)行預(yù)定義的功能,具有一定人工智能的程序。Bot的本質(zhì)就是一個(gè)網(wǎng)絡(luò)客戶端,它會(huì)主動(dòng)連接到服務(wù)器讀取控制指令,按照指令

22、執(zhí)行相應(yīng)的代碼。僵尸網(wǎng)絡(luò)是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來的。1993年,在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了第一個(gè)bot程序一Eggdrop,能夠智能地協(xié)助管理員完成一些重復(fù)工作,這種hot的功能是良性的,但這個(gè)設(shè)計(jì)思路被黑客利用。他們編寫出了惡意的hot程序,對(duì)大量的受害主機(jī)進(jìn)行控制,利用其資源以達(dá)到惡意目的。</p><p>  20世紀(jì)90年代末,隨著分布式拒絕服務(wù)攻擊的成熟,出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如d

23、n、tfn2k和trinoo,攻擊者利用這些工具控制大量的被感染主機(jī),發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有bomet的雛形。1999年,在第八屆defcon年會(huì)上發(fā)布的sub—seven 2.1版開始使用IRC協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道,這是第一個(gè)真正意義上的僵尸程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn),如gtbot、sdbot等,基于IRC協(xié)議的botnet成為主流。</p>&l

24、t;p>  2003年之后,隨著蠕蟲技術(shù)的不斷成熟,hot的傳播開始使用蠕蟲的主動(dòng)傳播技術(shù),從而能夠快速構(gòu)建大規(guī)模的botnet。著名的有2004年爆發(fā)的agobot/gaobot和rbot/spybot。同年出現(xiàn)的phatbot則在agobot的基礎(chǔ)上,開始獨(dú)立使用P2P協(xié)議構(gòu)建控制信道以及2004年5月出現(xiàn)的基于H1阿P協(xié)議構(gòu)建控制信道的Bobax。從良性hot的出現(xiàn)到惡意bot的實(shí)現(xiàn),從被動(dòng)傳播到利用蠕蟲技術(shù)主動(dòng)傳播,從使用

25、簡(jiǎn)單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式,僵尸網(wǎng)絡(luò)逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測(cè)的惡意網(wǎng)絡(luò)。</p><p>  地下經(jīng)濟(jì)與僵尸網(wǎng)絡(luò)的發(fā)展</p><p>  同任何由金錢驅(qū)動(dòng)的市場(chǎng)一樣,僵尸網(wǎng)絡(luò)開發(fā)者就像經(jīng)營(yíng)一個(gè)合法的生意那樣工作:他們利用合作、貿(mào)易和開發(fā)流程以及質(zhì)量等好處。最近,僵尸網(wǎng)絡(luò)已經(jīng)開始使用生命周期管理工具、面向?qū)ο蠛湍K化等通用的軟件質(zhì)量做法。僵

26、尸網(wǎng)絡(luò)開發(fā)者正在銷售其軟件和感染載體,提供說明書和技術(shù)支持,并且收集用戶的反饋意見和要求。在僵尸網(wǎng)絡(luò)團(tuán)體中,一致的經(jīng)濟(jì)目標(biāo)是推動(dòng)技術(shù)。在線易貨貿(mào)易和市場(chǎng)網(wǎng)站已經(jīng)開始為這種地下經(jīng)濟(jì)團(tuán)體服務(wù),向僵尸牧人提供更好的易貨貿(mào)易和交易方式、在線技術(shù)支持以及租借和租賃等服務(wù)。這里可以銷售和購(gòu)買僵尸網(wǎng)絡(luò)節(jié)點(diǎn)或者僵尸網(wǎng)絡(luò)群。僵尸牧人在對(duì)一個(gè)實(shí)體展開攻擊的時(shí)候會(huì)在這里尋求合作。竊取的身份證和賬戶可以在這個(gè)地下市場(chǎng)的參與者之間交換和出售。</p>

27、<p>  2、僵尸網(wǎng)絡(luò)的工作機(jī)制 </p><p>  2.1僵尸網(wǎng)絡(luò)的工作模型</p><p>  僵尸網(wǎng)絡(luò)的工作模型包括傳播、加入和控制三個(gè)階段:</p><p>  僵尸網(wǎng)絡(luò)的工作模型包括傳播、加入和控制三個(gè)階段:</p><p>  2.1.1 僵尸網(wǎng)絡(luò)的傳播</p><p>  僵尸網(wǎng)

28、絡(luò)首先需要一定規(guī)模被控制的僵尸主機(jī),為了提高僵尸網(wǎng)絡(luò)的規(guī)模,僵尸程序通常會(huì)采用各種方法進(jìn)行傳播。僵尸程序的傳播方式與蠕蟲、病毒等惡意代碼很相近,主要采取以下幾種:</p><p><b>  (1)主動(dòng)攻擊</b></p><p>  其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán),并利用Shellcode執(zhí)行bot程序注入代碼,感染被攻擊系統(tǒng),使之變成僵尸主機(jī),成為僵

29、尸網(wǎng)絡(luò)的一部分。這類攻擊方式描述如下:首先,黑客進(jìn)行手動(dòng)攻擊,獲取主機(jī)權(quán)限后下載 bot 程序,然后執(zhí)行下載的 bot 程序,這類工具有 metasploit[16]等,原理就是利用掃描器找出網(wǎng)段中有漏洞的機(jī)器,然后通過緩沖區(qū)溢出,獲取主機(jī)的控制權(quán)限。</p><p>  僵尸網(wǎng)絡(luò)主動(dòng)攻擊漏洞的全過程:</p><p>  第一步Tenable Nessus 3掃描目標(biāo) IP 段,獲取

30、主機(jī)(如 172.17.255.5 )的漏洞信息,</p><p>  根據(jù)掃描報(bào)告信息,擬采用 MS06-040。</p><p>  第二步use windows/smb/ms06_040_netapi /*利用 ms06_040_netapi 漏洞*/</p><p>  第三部set PAYLOAD windows/shell/reverse_tc

31、p /*設(shè)定對(duì)應(yīng)的 PAYLOAD*/</p><p>  第四步set RHOST 172.17.255.5 /*設(shè)定遠(yuǎn)程主機(jī) IP*/</p><p>  第五步 set LHOST 172.17.255.11/*設(shè)定本地主機(jī) IP*/</p><p>  第六步 exploit /*溢出,溢出成功*/</p><p&

32、gt;  首先,利用Tenable Nessus 3掃描漏洞,然后利用掃描到的漏洞,設(shè)定對(duì)應(yīng)的</p><p>  PAYLOAD,遠(yuǎn)程 IP 和本地 IP,最后溢出成功,獲得目標(biāo)主機(jī)的控制權(quán)。</p><p><b>  (2)郵件病毒。</b></p><p>  僵尸程序的另外一個(gè)傳播途徑是通過垃圾郵件,感染僵尸程序的主機(jī)加入到僵&l

33、t;/p><p>  尸網(wǎng)絡(luò)以后,會(huì)向外發(fā)送大量垃圾郵件。一般情況下,黑客在垃圾郵件附件中攜帶僵尸程序,或者通過社會(huì)工程學(xué)[17]誘惑用戶下載包含僵尸程序樣本的附件,并運(yùn)行該樣本,使的主機(jī)被僵尸程序感染。</p><p>  (3)即時(shí)通信軟件。</p><p>  社會(huì)工程學(xué)不僅可以應(yīng)用在郵件病毒傳播僵尸程序,而且還可以應(yīng)用在即時(shí)通訊軟件(QQ、MSN 等),這類方法

34、雖說效率不高,但是因?yàn)榫W(wǎng)絡(luò)用戶總數(shù)的巨大,使得該方法成為一種比較簡(jiǎn)單實(shí)用的僵尸程序感染方法。在實(shí)際僵尸網(wǎng)絡(luò)環(huán)境中,有相當(dāng)數(shù)量僵尸主機(jī)是通過這種方式被感染的。</p><p>  (4)惡意網(wǎng)站腳本。</p><p>  黑客可以攻擊獲取 WEB 服務(wù)器主機(jī)的控制權(quán),或者偽裝成常用的 WEB 服務(wù)器,然后再主機(jī)上綁定惡意腳本,當(dāng)訪問者訪問這些網(wǎng)站時(shí),往往會(huì)在不知不覺的情況下下載并執(zhí)行僵尸程序

35、,使得正常主機(jī)被感染變成僵尸主機(jī),成為僵尸網(wǎng)絡(luò)的一部分。</p><p><b>  (5)特洛伊木馬。</b></p><p>  黑客可以將僵尸程序樣本放在特洛伊木馬中,然后將這些木馬放到特定的地方,誘使用戶在不知情的情況下下載并執(zhí)行這些僵尸程序樣本,使得正常主機(jī)被感染成為僵尸主機(jī),成為僵尸網(wǎng)絡(luò)的一部分。</p><p>  2.1.2

36、 僵尸網(wǎng)絡(luò)的加入</p><p>  正常主機(jī)被感染成為僵尸主機(jī)后,就進(jìn)入到加入階段。在加入階段,隱藏在被感染主機(jī)的僵尸程序開始運(yùn)行,隨后被感染主機(jī)加入到僵尸網(wǎng)絡(luò)中。每種不同的僵尸程序的加入方法不盡相同。IRC 僵尸網(wǎng)絡(luò)中,僵尸主機(jī)登錄到指定的服務(wù)器和頻道,然后等待僵尸網(wǎng)絡(luò)中心控制服務(wù)器的惡意指令。HTTP 僵尸網(wǎng)絡(luò)和IRC 僵尸網(wǎng)絡(luò)類似,同樣都有中心控制服務(wù)器,但是HTTP僵尸網(wǎng)絡(luò)不會(huì)加入到服務(wù)器和

37、頻道,而是直接登錄到指定的 WEB 頁(yè)面,然后在 WEB 頁(yè)面上下載、更新僵尸程序樣本。</p><p>  P2P僵尸網(wǎng)絡(luò)沒有中心控制服務(wù)器,而且有多個(gè)控制命令發(fā)送服務(wù)器,被感染的僵尸主機(jī)一般是從 IP 最相近的服務(wù)器上下載、更新僵尸程序樣本。為了保證 IP 最近,一般采用異或求最小的方法。</p><p>  2.1.3 僵尸網(wǎng)絡(luò)的控制</p><p>

38、  經(jīng)過加入階段后,僵尸主機(jī)將進(jìn)入到僵尸網(wǎng)絡(luò)的控制階段,僵尸網(wǎng)絡(luò)的控制是</p><p>  通過發(fā)送控制命令來實(shí)現(xiàn)的,每一種僵尸網(wǎng)絡(luò)的控制命令發(fā)送方式都各不相同。每個(gè) IRC僵尸主機(jī)都存在于一個(gè)服務(wù)器和頻道中,僵尸主機(jī)通過頻道接收中心服務(wù)器發(fā)送的控制命令,并采取相應(yīng)的操作;HTTP 僵尸主機(jī)則是直接從僵尸中心控制服務(wù)器的 WEB 頁(yè)面上獲取各種控制命令;P2P 僵尸網(wǎng)絡(luò)和 IRC 僵尸網(wǎng)絡(luò)、HTTP 僵尸網(wǎng)絡(luò)

39、不同,有多個(gè)控制服務(wù)器,所以P2P僵尸主機(jī)會(huì)從最近的控制服務(wù)器獲取控制命令。接收了控制服務(wù)器的控制命令以后,僵尸主機(jī)將在中心服務(wù)器的命令下發(fā)起多種惡意攻擊。</p><p>  2.2僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)</p><p>  僵尸網(wǎng)絡(luò)是一個(gè)可控制的網(wǎng)絡(luò),它不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò),它具有一定的分布性,隨著僵尸程序的不斷傳播而不斷有新的被僵尸程序感染的計(jì)算機(jī)即僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)

40、絡(luò)中來。一般情況下,僵尸網(wǎng)絡(luò)由僵尸計(jì)算機(jī)、命令與控制服務(wù)器和攻擊者組成。其典型結(jié)構(gòu)如圖1所示。</p><p>  其中根據(jù)命令與控制信道采用協(xié)議的不同,可以將僵尸網(wǎng)絡(luò)分為基于IRC的僵尸網(wǎng)絡(luò)、基于P2P的僵尸網(wǎng)絡(luò)和基于HTTP的僵尸網(wǎng)絡(luò)。</p><p>  通過對(duì)目前主流僵尸程序的總結(jié).可以提出如圖2所示的僵尸程序功能結(jié)構(gòu)[4]。僵尸程序的功能模塊可以分為主體功能模塊和輔助功能模塊,主

41、體功能模塊包括了實(shí)現(xiàn)僵尸網(wǎng)絡(luò)定義特性的命令與控制模塊和實(shí)現(xiàn)網(wǎng)絡(luò)傳播特性的傳播模塊,而包含輔助功能模塊的僵尸程序則具有更強(qiáng)大的攻擊功能和更好的生存能力。</p><p>  其中主體功能模塊中的命令與控制模塊是僵尸程序的核心模塊,攻擊者通過命令與控制模塊實(shí)現(xiàn)和僵尸計(jì)算機(jī)的交互,對(duì)僵尸計(jì)算機(jī)發(fā)出控制命令,并通過命令與控制信道接收僵尸計(jì)算機(jī)對(duì)命令的執(zhí)行結(jié)果。傳播模塊通過各種手段將僵尸程序傳播至網(wǎng)絡(luò)上新的主機(jī),并使其加入

42、僵尸網(wǎng)絡(luò),從而達(dá)到擴(kuò)展僵尸網(wǎng)絡(luò)規(guī)模的目的。僵尸程序的傳播方式包括通過遠(yuǎn)程掃描軟件的漏洞傳播、掃描弱密碼</p><p>  傳播、掃描惡意代碼留下的后門進(jìn)行傳播、通過網(wǎng)頁(yè)惡意代碼傳播、通過發(fā)送郵件病毒傳播、通過文件共享傳播和通過即時(shí)通訊軟件及P2P下載軟件等方式傳播。輔助功能模塊是對(duì)僵尸程序除主體功能外其他功能的歸納,主要包括信息竊取、僵尸主機(jī)控制、下載與更新、躲避檢測(cè)與對(duì)分析等功能模塊。基于IRC的僵尸網(wǎng)絡(luò)、基

43、于P2P的僵尸網(wǎng)絡(luò)和基于HTFP的僵尸網(wǎng)絡(luò)的本質(zhì)上的不同在于其命令與控制模塊的不同,它們分別采用了IRC協(xié)議、P2P協(xié)議和H1可P協(xié)議來構(gòu)建命令與控制模塊,并且在基于P2P的僵尸網(wǎng)絡(luò)中,由P2P僵尸程序同時(shí)擔(dān)當(dāng)服務(wù)器和客戶端的雙重角色,使其更難被跟蹤和反制。</p><p>  三、僵尸網(wǎng)絡(luò)的檢測(cè)和反制</p><p><b>  1 僵尸網(wǎng)絡(luò)的檢測(cè)</b></

44、p><p>  對(duì)于僵尸網(wǎng)絡(luò)的檢測(cè),計(jì)算機(jī)個(gè)人用戶主要側(cè)重于發(fā)現(xiàn)個(gè)人計(jì)算機(jī)中隱藏的僵尸程序。對(duì)于個(gè)人用戶而言,發(fā)現(xiàn)僵尸程序的難度取決于僵尸程序的隱蔽度。因?yàn)榻┦绦蚱綍r(shí)潛伏在僵尸計(jì)算機(jī)中,等待攻擊者的指令,僵尸計(jì)算機(jī)和攻者此時(shí)的聯(lián)系引起的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接數(shù)很小,因此很難察覺到,一般用戶主要依靠殺毒軟件和防火墻等網(wǎng)絡(luò)安全軟件來發(fā)現(xiàn)僵尸程序。</p><p>  對(duì)于計(jì)算機(jī)安全組織,檢測(cè)僵尸網(wǎng)絡(luò)

45、的存在目前主要有使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量行為特征研究以及利用網(wǎng)絡(luò)入侵監(jiān)</p><p>  測(cè)系統(tǒng)發(fā)現(xiàn)三種方法。</p><p><b>  使用密網(wǎng)技術(shù)。</b></p><p>  使用密網(wǎng)技術(shù)主要是通過對(duì)僵尸程序的研究出發(fā),分析其性質(zhì)和特征。通過密網(wǎng)捕獲僵尸程序的樣本后,通過逆向工程等方法分析僵尸程序的代碼,獲得該僵尸網(wǎng)絡(luò)的一系列屬性。如基

46、于IRC的僵尸網(wǎng)絡(luò),則可以找出隱藏在其中的僵尸程序要登錄的IRC服務(wù)器的地址、端口號(hào)、頻道名稱和登錄密碼以及登錄該頻道需要的用戶名等,通過這些信息,可以使用偽裝的客戶端登錄到僵尸網(wǎng)絡(luò)中,進(jìn)行對(duì)僵尸網(wǎng)絡(luò)的跟蹤和進(jìn)一步分析,采取進(jìn)一步的措施。</p><p>  網(wǎng)絡(luò)流量行為特征研究。</p><p>  這種方法的思路是通過分析僵尸網(wǎng)絡(luò)中僵尸計(jì)算機(jī)的行為特征,來判斷該計(jì)算機(jī)是否為僵尸計(jì)算機(jī),

47、對(duì)于基于IRC的僵尸網(wǎng)絡(luò)而言,可以將僵尸計(jì)算機(jī)分為兩類:長(zhǎng)時(shí)間發(fā)呆型和快速加入型。具體來說就是僵尸計(jì)算機(jī)在僵尸網(wǎng)絡(luò)中存在著三個(gè)比較明顯的行為特征,一是通過蠕蟲傳播的僵尸程序,大量的被其感染計(jì)算機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC服務(wù)器中,為快速加入型;二是僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線,為長(zhǎng)期連接型;三.是僵尸計(jì)算機(jī)作為一個(gè)IRC聊天的用戶,在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言,保持空閑,為發(fā)呆型。這三種行為特征和一般的IRC聊天用戶的行為特征相比都是

48、不正常的。</p><p>  利用網(wǎng)絡(luò)人侵監(jiān)測(cè)系統(tǒng)。</p><p>  對(duì)于具有IRC協(xié)議解析能力的IDS,可以根據(jù)基于IRC的僵尸網(wǎng)絡(luò)的僵尸程序常用命令,如joIN、PASS、PRIVMSG、NICK、TOPIC、NOTICE等</p><p>  及其命令參數(shù)來發(fā)現(xiàn)未知僵尸網(wǎng)絡(luò)。如果不具有IRC協(xié)議解析功能,也可以根據(jù)TCP數(shù)據(jù)報(bào)文的內(nèi)容發(fā)現(xiàn)可疑僵尸網(wǎng)絡(luò),可

49、疑的數(shù)據(jù)報(bào)文包含udp、syn、ddos、http://、download、一exe,update,scan,exploit,Icon,Iogon,advscan,tsass,dcom,beagle、dDlTleware等僵尸程序在傳播、更新和發(fā)起DDoS攻擊</p><p><b>  時(shí)常用的命令。</b></p><p>  2、僵尸程序檢測(cè)技術(shù)</p&g

50、t;<p>  目前,大多數(shù)僵尸程序使用中心服務(wù)器作為命令與控制機(jī)制,所以僵尸網(wǎng)絡(luò)的檢測(cè)重心主要放在僵尸網(wǎng)絡(luò)中心服務(wù)器的檢測(cè),只要檢測(cè)到僵尸網(wǎng)絡(luò)中心服務(wù)器的詳細(xì)信息,就可以對(duì)僵尸網(wǎng)絡(luò)中心服務(wù)器進(jìn)行定位,安全人員可以根據(jù)需要對(duì)中心服務(wù)器采取當(dāng)機(jī)或者繼續(xù)監(jiān)控等措施。檢測(cè)方法分為基于主機(jī)信息的檢測(cè)技術(shù)和基流量的檢測(cè)方法兩類。</p><p>  基于主機(jī)信息的僵尸程序檢測(cè)技術(shù)</p><

51、;p>  基于主機(jī)Botnet檢測(cè)技術(shù)的基本思想就是以網(wǎng)絡(luò)中每臺(tái)主機(jī)作為研究對(duì)象,然后對(duì)其行為或特征進(jìn)行分析。蜜罐(honeypot)/蜜網(wǎng)(honeynet)技術(shù)是目前最重要的基于主機(jī) Botnet 檢測(cè)技術(shù)。蜜網(wǎng)通過設(shè)置特殊的計(jì)算機(jī)(包括實(shí)際計(jì)算機(jī)和虛擬計(jì)算機(jī))吸引黑客對(duì)這些主機(jī)進(jìn)行入侵和注入惡意軟件,使之加入僵尸網(wǎng)絡(luò),再通過分析獲得僵尸網(wǎng)絡(luò)信息,最后根據(jù)這些信息破解僵尸網(wǎng)絡(luò)。蜜網(wǎng)由若干蜜罐主機(jī)、蜜罐網(wǎng)關(guān)HoneyWal

52、l和監(jiān)控平臺(tái)三部分組成。其中蜜罐主機(jī)可以是真實(shí)主機(jī),也可以是運(yùn)行不同操作系統(tǒng)的虛擬計(jì)算機(jī);蜜罐主機(jī)含有很多漏洞,可以吸引黑客入侵。蜜罐網(wǎng)關(guān)HoneyWall是運(yùn)行 Honeyd 的服務(wù)器,HoneyWall 可以對(duì)流進(jìn)和流出蜜網(wǎng)的各種網(wǎng)絡(luò)流進(jìn)行檢測(cè)和控制;監(jiān)控平臺(tái)專為網(wǎng)絡(luò)安全研究人員與 HoneyWall 交互設(shè)計(jì)。</p><p>  基于蜜網(wǎng) Botnet 檢測(cè)技術(shù)主要有以下優(yōu)點(diǎn):</p>

53、<p>  (l)部署簡(jiǎn)單,虛擬機(jī)技術(shù)的采用使得實(shí)驗(yàn)成本大幅降低。</p><p>  (2)安全性能好,采用封閉網(wǎng)絡(luò)環(huán)境,同時(shí)管理流進(jìn)和流出蜜網(wǎng)的網(wǎng)路流,不會(huì)</p><p>  對(duì)正常的網(wǎng)絡(luò)應(yīng)用造成影響和危害。</p><p>  (3)易于理解、升級(jí)方便、維護(hù)簡(jiǎn)單。</p><p><b>  其最大的缺點(diǎn)是:&

54、lt;/b></p><p>  (l)由于虛擬蜜罐的響應(yīng)與軟硬件無(wú)關(guān),黑客能夠通過蜜罐的這一特性識(shí)別蜜罐</p><p>  從而繞開蜜罐,使得虛擬蜜罐無(wú)法取得應(yīng)有效果。</p><p>  (2)蜜網(wǎng)檢測(cè) Bots 是一種被動(dòng)檢測(cè)方法,檢測(cè)效率不高。</p><p>  基于流量的 Bots 檢測(cè)技術(shù)</p><

55、p>  僵尸網(wǎng)絡(luò)之間的通信與正常用戶之間的通信有較大差別,所以通過監(jiān)控網(wǎng)絡(luò)流有</p><p>  可能找到僵尸網(wǎng)絡(luò)的命令與控制通道。這類方法通常有如下幾個(gè)步驟:過濾可以確</p><p>  定的正常網(wǎng)絡(luò)流,得到疑似異常流,然后對(duì)疑似異常流進(jìn)行分析,試圖找到可能屬</p><p>  于同一個(gè)網(wǎng)絡(luò)的主機(jī),進(jìn)而得到僵尸網(wǎng)絡(luò)中心服務(wù)器信息,最后得到 Botnet

56、的詳細(xì)</p><p><b>  信息</b></p><p><b>  其優(yōu)點(diǎn)有:</b></p><p>  (l)主動(dòng)檢測(cè),相比基于蜜網(wǎng)僵尸網(wǎng)絡(luò)檢測(cè)方法效率更高。</p><p>  (2)有檢測(cè)加密僵尸網(wǎng)絡(luò)的能力。</p><p><b>  其缺點(diǎn)有:

57、</b></p><p>  (l)因網(wǎng)絡(luò)流量較大,使得檢測(cè)時(shí)間效率不高,通常不能做到在線分析。</p><p>  (2)有可能產(chǎn)生誤判,檢測(cè)精度隨檢測(cè)方法不同而相差巨大。</p><p><b>  3.僵尸網(wǎng)絡(luò)的反制</b></p><p>  檢測(cè)到僵尸網(wǎng)絡(luò),并掌握其基本的屬性后,對(duì)于基于IRC的僵尸

58、網(wǎng)絡(luò)和基于}r丌P的僵尸網(wǎng)絡(luò),而言,可以采用以下方法對(duì)其進(jìn)行反制。</p><p>  (1)冒充攻擊者控制僵尸網(wǎng)絡(luò)。在掌握僵尸網(wǎng)絡(luò)的特征信息后,模擬攻擊者經(jīng)過驗(yàn)證后,可以接管整個(gè)僵尸網(wǎng)絡(luò)的控制權(quán),然后向所有的僵尸計(jì)算機(jī)發(fā)送自刪除命令,或是發(fā)送更新命令,使僵尸計(jì)算機(jī)下載并執(zhí)行該僵尸程序的專殺</p><p><b>  工具。</b></p><p

59、>  (2)切斷命令與控制服務(wù)器和僵尸網(wǎng)絡(luò)的聯(lián)系。在獲取僵尸網(wǎng)絡(luò)中命令與控制服務(wù)器的準(zhǔn)確信息后,可以在本地網(wǎng)絡(luò)的入口處或安全設(shè)備上切除本地網(wǎng)絡(luò)和命令與控制服務(wù)器的聯(lián)系,使本地網(wǎng)絡(luò)用戶脫離攻擊者的控制。也可以通過網(wǎng)絡(luò)安全執(zhí)法機(jī)構(gòu)依靠法律程序關(guān)閉命令與控制服務(wù)器。這種方法的缺點(diǎn)在于,如果和命令與控制服務(wù)器斷開聯(lián)系的僵尸程序處于執(zhí)行階段,則仍然會(huì)執(zhí)行預(yù)置的命令。</p><p>  (3)在僵尸計(jì)算機(jī)中清除僵尸程

60、序。通過對(duì)僵尸網(wǎng)絡(luò)的跟蹤,找尋并定位被僵尸程序感染的計(jì)算機(jī),然后通知該計(jì)算機(jī)用戶清除僵尸程序并對(duì)系統(tǒng)進(jìn)行安全升級(jí)。這種方法規(guī)模太大,效率比較低,而且因?yàn)榻┦绦驎?huì)感染新的計(jì)算機(jī),所以不能對(duì)僵尸網(wǎng)絡(luò)進(jìn)行根本上的清除。對(duì)于基于P2P的僵尸網(wǎng)絡(luò),因?yàn)槠洳淮嬖诩械拿钆c控制服務(wù)器,對(duì)其的檢測(cè)和反制更為困難,如何有效地對(duì)其進(jìn)行檢測(cè)和反制,還有待進(jìn)一步研究。</p><p><b>  四、致謝</b>

61、;</p><p>  三年的大學(xué)生活即將結(jié)束,三年生活,為我的人生增添了一筆豐富的財(cái)富。</p><p>  感謝我的母校,教會(huì)我諸知識(shí)。她在我的人生道路上留下了不可磨滅的記憶印記,無(wú)論現(xiàn)在還是將來我都銘記于心,無(wú)論以后走到哪都不會(huì)忘記。</p><p>  感謝尊敬的**老師,感謝你在曾經(jīng)我們的TCP/IP課程給予我們的關(guān)心和教導(dǎo)同時(shí)在我學(xué)生生涯最后一站有幸有您

62、的指導(dǎo)寫下這篇論文。</p><p>  衷心感謝一直愛護(hù)、關(guān)心我的家人和同學(xué),他們是我的堅(jiān)強(qiáng)后盾,感謝他們一直以來對(duì)我的支持。我也即將走出校園進(jìn)入工作崗位。</p><p>  特別感謝論文評(píng)審老師對(duì)我的批評(píng)、建議和指導(dǎo)!</p><p><b>  參考文獻(xiàn)</b></p><p>  [1]李禾,王述洋.拒絕

63、服務(wù)攻擊/分布式拒絕服務(wù)攻擊防范技術(shù)的研究.中國(guó)安全科學(xué)學(xué)報(bào), 2009, 19(1): 132~136</p><p>  [2]周彩蘭,虞珊,張亞芳.基于 SMTP 協(xié)議解析的垃圾郵件防治技術(shù).計(jì)算機(jī)技術(shù)</p><p>  與發(fā)展, 2008, 18(1): 188~191</p><p>  [3]查貴庭,彭其軍,羅國(guó)富. UNIX 中后門

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論