基于P2P的僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)

[摘要]僵尸網(wǎng)絡(luò)是攻擊者以控制他人主機(jī)為目的，惡意傳播僵尸程序，并通過一對(duì)多的命令、控制信道所組成的網(wǎng)絡(luò)。．僵尸網(wǎng)絡(luò)已步入快速發(fā)展期，是當(dāng)前因特網(wǎng)面臨的最大威脅之一。本文介紹了基于P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)、控制和傳播，并歸納總結(jié)了目前僵尸網(wǎng)絡(luò)的檢測(cè)方法。[關(guān)鍵詞]僵尸網(wǎng)絡(luò)P2P檢測(cè)一、緒論1．課題背景和目的僵尸網(wǎng)絡(luò)(botnet)是攻擊者出于惡意目的傳播的僵尸程序(bot)來控制大量主機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加，僵尸網(wǎng)絡(luò)成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。Symantec公司2006年監(jiān)測(cè)數(shù)據(jù)表明，中國(guó)大陸被Botnet控制的主機(jī)數(shù)占全世界總數(shù)的比例從上半年的20%增長(zhǎng)到下半年的26%，已超過美國(guó)，成為最大的僵尸網(wǎng)絡(luò)受害國(guó)，但國(guó)內(nèi)對(duì)Botnet的關(guān)注和研究工作還不夠全面。作為一種日趨嚴(yán)重的因特網(wǎng)安全威脅，Botnet己成為計(jì)算機(jī)安全領(lǐng)域研究者所的關(guān)注熱點(diǎn)。Botnet成為計(jì)算機(jī)網(wǎng)絡(luò)對(duì)抗研究的首要課題，預(yù)示著計(jì)算機(jī)網(wǎng)絡(luò)威脅新的發(fā)展趨勢(shì)。2．國(guó)內(nèi)研究現(xiàn)狀盡管僵尸網(wǎng)絡(luò)在很早之前就已經(jīng)出現(xiàn)了，但直到近幾年，隨著僵尸網(wǎng)絡(luò)的危害越來越大，對(duì)僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)的研究才被各方面所關(guān)注。國(guó)際上的一些蜜網(wǎng)組織，如法國(guó)蜜網(wǎng)項(xiàng)目組織RichardClarke等，最早對(duì)僵尸網(wǎng)絡(luò)進(jìn)行了研究，他們利用蜜網(wǎng)分析技術(shù)對(duì)僵尸網(wǎng)絡(luò)的活動(dòng)進(jìn)行了深入的跟蹤和分析。早期由于IRC僵尸網(wǎng)絡(luò)占據(jù)著主導(dǎo)地位，所以對(duì)僵尸網(wǎng)絡(luò)的大多數(shù)研究都是在基于IRC僵尸網(wǎng)絡(luò)上的。而IRC僵尸網(wǎng)絡(luò)的檢測(cè)基本上無一例外都致力于研究其c&c(Command＆Control)信道。2003年P(guān)uri在“BobsYBotnet:AnOverview”一文中主要針對(duì)當(dāng)時(shí)的IRC僵尸網(wǎng)絡(luò)進(jìn)行了比較全面系統(tǒng)的概述。近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，出現(xiàn)了許多新型的僵尸網(wǎng)絡(luò)，如基于IM、HTTP等不同協(xié)議的僵尸網(wǎng)絡(luò)，并出現(xiàn)了采用樹型結(jié)構(gòu)、隨機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及具有部分P2P特征的僵尸網(wǎng)絡(luò)。從傳統(tǒng)的基于IRC網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)，逐步演變成基于P2P網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)，大大增加了其生存性和隱蔽性，同時(shí)也使得檢測(cè)此類僵尸網(wǎng)絡(luò)變得更加困難。P2P僵尸網(wǎng)絡(luò)是利用P2尸技術(shù)來傳播或控制僵尸程序的網(wǎng)絡(luò)。因?yàn)镻2P僵尸網(wǎng)絡(luò)最近幾年才出現(xiàn)，所以對(duì)于P2P僵尸網(wǎng)絡(luò)的研究就相對(duì)來說比較少。Helsinki科技大學(xué)的AnttiNummipuro提出了基于主機(jī)的P2P僵尸網(wǎng)絡(luò)檢測(cè)方法，但是該方法與其他惡意代碼檢測(cè)技術(shù)類似，并沒有新穎或創(chuàng)新之處。阿姆斯特丹大學(xué)的ReinierSchoof和RalphKoning等人提出P2P僵尸網(wǎng)絡(luò)的檢測(cè)主要方法是對(duì)P2P對(duì)等端上的檢測(cè)。從2005年開始，國(guó)內(nèi)才逐步對(duì)僵尸網(wǎng)絡(luò)進(jìn)行研究。北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所在2005年1月開始實(shí)施用蜜網(wǎng)跟蹤僵尸網(wǎng)絡(luò)的項(xiàng)目。CNCERT惡意代碼研究項(xiàng)目組在2005年7月開始對(duì)僵尸網(wǎng)絡(luò)進(jìn)行研究。二、基于P2P僵尸網(wǎng)絡(luò)的原理與分析1．基于P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)僵尸控制者(Botmaster)、僵尸主機(jī)(Bot)、命令與控制(CommandandControl，C&C)網(wǎng)絡(luò)共同組成了僵尸網(wǎng)絡(luò)(Botnet)。僵尸控制者是控制整個(gè)僵尸網(wǎng)絡(luò)的攻擊者；命令與控制網(wǎng)絡(luò)一般有一個(gè)或多個(gè)命令與控制(C＆C)服務(wù)器，僵尸控制者通過控制這些服務(wù)器來管理和控制僵尸主機(jī)：僵尸主機(jī)是攻擊者通過C&C服務(wù)器控制的主機(jī)；僵尸主機(jī)從命令與控制網(wǎng)絡(luò)獲得命令，對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行攻擊和欺騙活動(dòng)?；赑2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)如圖1所示。2．基于P2P僵尸網(wǎng)絡(luò)的傳播與控制隨著P2P應(yīng)用的日漸普及，僵尸控制者將僵尸程序偽裝成正常的文件或隱藏于正常的文件中，通過用戶下載安裝這些文件來實(shí)現(xiàn)Bot感染、傳播。P2P技術(shù)主要被用來控制僵尸主機(jī)傳播僵尸程序。P2P網(wǎng)絡(luò)中所有節(jié)點(diǎn)是對(duì)等的，每一個(gè)節(jié)點(diǎn)既是客戶端又是服務(wù)器，因此，基于P2P的Botnet控制與IRCBotnet有很大的不同。在后者中，攻擊者利用IRC服務(wù)器作為C&C務(wù)器控制僵尸計(jì)算機(jī)，我們可以通過在IRC服務(wù)器上監(jiān)測(cè)Botnet的行為特征檢測(cè)到并進(jìn)一步將其清除；而在前者中，攻擊者只需加入P2P網(wǎng)絡(luò)向其他對(duì)等節(jié)點(diǎn)發(fā)出控制命令即可。因此，基于P2P控制的Botnet通信系統(tǒng)很難被徹底毀壞，即使有一些Bot被查殺掉，也不會(huì)影響到Botnet的生存，故其具有不存在單點(diǎn)失效的特點(diǎn)。三、僵尸網(wǎng)絡(luò)的檢測(cè)早期對(duì)Botnet檢測(cè)的研究主要集中在如何檢測(cè)和跟蹤到單個(gè)的僵尸主機(jī)，但是隨著Botnet采用協(xié)議和結(jié)構(gòu)的復(fù)雜性，特別是P2P協(xié)議廣泛應(yīng)用之后，大大增加了Botnet的隱藏性和破壞性，需要綜合研究Botnet的傳播、行為、拓?fù)浣Y(jié)構(gòu)……，對(duì)Botnet的檢測(cè)技術(shù)也在逐步的完善。下面對(duì)基于主機(jī)特征的檢測(cè)和基于網(wǎng)絡(luò)流量的檢測(cè)為例，敘述Botnet的檢測(cè)方法。1．基于主機(jī)特征的檢測(cè)基于主機(jī)特征的檢測(cè)主要是指在一個(gè)負(fù)責(zé)監(jiān)控的主機(jī)內(nèi)部部署傳感器用來監(jiān)控和記錄相關(guān)的系統(tǒng)事件，用來對(duì)監(jiān)測(cè)僵尸程序的可疑活動(dòng)行為。當(dāng)存在僵尸網(wǎng)絡(luò)時(shí)攻擊時(shí)，監(jiān)控主機(jī)就會(huì)產(chǎn)生一些典型的異常行為，主要表現(xiàn)為添加注冊(cè)表自啟動(dòng)項(xiàng)、竊取敏感信息、篡改重要文件、遠(yuǎn)程訪問等，這種檢測(cè)方法類似于惡意代碼的檢測(cè)方法。目前基于主機(jī)特征的僵尸網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)主要采用是“蜜罐”技術(shù)和虛擬機(jī)技術(shù)。2．基于網(wǎng)絡(luò)流量檢測(cè)的基于流量檢測(cè)方法就是通過分析P2P僵尸網(wǎng)絡(luò)通信行為表現(xiàn)出來的特征及變化規(guī)律并利用這些流特征來判斷網(wǎng)絡(luò)流量中是否存在P2P僵尸網(wǎng)絡(luò)流量，為檢測(cè)P2P僵尸網(wǎng)絡(luò)提供參考依據(jù)。(1)基于連接成功率的檢查方法在P2P僵尸網(wǎng)絡(luò)中，每個(gè)Peer從開始就試圖和一些感染的主機(jī)[來自Www.lw5u.coM]建立連接，但由于P2P網(wǎng)絡(luò)的不穩(wěn)定性、連接的目的lP的不定性．Peer鏈接的成功[來自wWw.Lw5u.coM]率并不高。對(duì)于這種網(wǎng)絡(luò)行為，我們可以用TCP連接成功率來描述。據(jù)試驗(yàn)研究表明：絕大部分P2P協(xié)議，都使用TCP傳輸協(xié)議來實(shí)施第一步建立聯(lián)系的行為?；赥CP連接成功率的P2P僵尸網(wǎng)絡(luò)節(jié)點(diǎn)識(shí)別算法的形式化描述如下：RC=b/a其中，RC為TCP連接成功率，a為節(jié)點(diǎn)發(fā)送的SYN數(shù)據(jù)包中不同目的lP地址數(shù)；b為收到的SYN/ACK數(shù)據(jù)包中不同源lP地址數(shù)。通過試驗(yàn)表明：低于正常P2P節(jié)點(diǎn)