僵尸網絡檢測和防范研究

摘 要:僵尸網絡正處于發展的時期，對網絡安全的威脅日益嚴重。深入研究僵尸網絡的結構、工作原理和傳播機制，是對其進行檢測和預防的前提。對不同種類的僵尸網絡，需要運用不同的技術。最后，介紹了僵尸網絡的發展趨勢。

關鍵詞:僵尸網絡;入侵檢測;網絡安全;蜜網

中圖分類號:TP

文獻標識碼:A

文章編號:1672-3198(2010)12-0301-01

2009年4月13日，工業和信息化部發布關于印發《木馬和僵尸網絡監測與處置機制》的通知，這是工業和信息化部成立以來，首次發布專門針對互聯網網絡安全的部門文件，引起了社會各界的廣泛關注。據國家計算機網絡應急技術處理協調中心(簡稱CNCERT)抽樣監測統計，2008年我國境內感染僵尸網絡控制端的IP地址為1，825個，感染僵尸網絡被控制端的IP地址為1，237，043個。2008年CNCERT共發現各種僵尸網絡被用來發動拒絕服務攻擊3395次、發送垃圾郵件106次、實施信息竊取操作373次。可見我國感染僵尸網絡惡意代碼的數量之大，面臨的網絡安全問題之嚴重。

因此，認識和研究僵尸網絡是當前網絡與信息安全保障工作的一個重要課題，有必要建立長效機制，對其進行長期、有效的處置。

1 僵尸網絡的結構和工作原理

2005年網絡與信息安全技術研討會上，CNCERT對僵尸網絡的定義為:僵尸網絡是指攻擊者利用互聯網秘密建立的可以控制的計算機群。其組成通常包括被植入“僵尸”程序的計算機群，一個或多個控制服務器，控制者的控制終端等。

僵尸網絡的種類很多，主要有IRC Botnet、AOL Botnet、P2P Botnet等，本文主要討論的教主僵尸網絡屬于目前最常見的IRC Botnet。IRC協議采用客戶端/服務器，用戶可以通過客戶端連接到IRC服務器，并建立、選擇并加入感興趣的頻道，每個用戶都可以將消息發送給頻道內所有其他用戶，也可以單獨發給某個用戶。頻道的管理員可以設置頻道的屬性，比如設置密碼、設置頻道為隱藏模式。

僵尸網絡的工作過程一般包括四個階段:傳播、感染、指揮與控制和攻擊。

傳播階段。在許多僵尸網絡的傳播階段，僵尸電腦程序到處傳播和感染系統。傳播階段的目標主要是感染系統，引誘用戶安裝惡意軟件，或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟件。

感染階段。一旦安裝到系統，這個惡意軟件就使用各種技術感染機器和隱藏自己。僵尸電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。

指揮與控制階段。現代僵尸網絡發展的一個關鍵功能是在感染一個系統之后能夠重新編程或者更新這個僵尸網絡節點。這個指揮與控制指令可以讓這個節點直接下載更新軟件或者去一個被感染的具體網址下載這個更新軟件。

攻擊階段。僵尸網絡生命周期的最后階段是攻擊階段。當攻擊成功的時候，這個僵尸網絡本身的規模將擴大。僵尸網絡還經常用于發送垃圾郵件，作為實物交易和租借交易的一部分。這樣，釣魚攻擊者、黑客、垃圾郵件制造者和病毒作者就能夠利用僵尸網絡銷售信息和服務。

2 僵尸網絡的追蹤和防范

僵尸網絡的危害不言而喻，目前僵尸網絡主要通過分布式拒絕服務攻擊(DDoS)、發送垃圾郵件、實施網絡仿冒和安裝間諜軟件等手段，要想進行有效的防范，根據其缺陷追蹤和檢測是基本前提。

2.1 根據流量和行為特征檢測

本文討論的基于IRC協議的僵尸網絡中，僵尸主機和控制端的會話與正常的IRC數據流相比，有顯著的差異，僵尸主機的行為具有規律性和一定的持續性。

特征1控制端在頻道內對所有的僵尸主機發送廣播命令，要求僵尸主機執行同一條命令，命令長度短于普通的IRC數據包的平均長度。

特征2如果控制端沒有發起會話，則僵尸主機進行長時間的發呆(平均會話時長3.5小時)。

特征3特定的端口號，一般使用6667，6668，6669，7000，7514等。

特征4頻道中用戶的昵稱具有規律性，正常的IRC用戶的昵稱是有意義的，而“僵尸”主機的昵稱具有某種特定的格式。

該方法的主要過程如下:首先用Sniffer和Ethereal等抓包工具分析已知僵尸網絡中“僵尸主機”與控制斷的會話，從中提取特征，然后檢測網絡中的數據流，設置過濾規則，對數據流逐步進行過濾，最后對剩下的數據流進行分析以確定控制服務器和攻擊者。

2.2 蜜網技術

蜜網技術是目前檢測和監控僵尸網絡最常用的方式之一，與基于流量和行為特征不同，蜜網技術基于主機信息并對僵尸網絡進行仿真。目前研究這種技術的有德國的蜜網項目組和一些科研機構以及國內的國家計算機網絡應急技術處理協調中心等。

蜜網是在蜜罐技術上逐漸發展起來的一個新的概念。其主要目的是收集黑客的攻擊信息。但與傳統的蜜罐技術的差異在于，蜜網構成了一個黑客誘捕網絡體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證網絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。

另面視前一篇情況可加可不加

作者簡介:

程謳(1972-)，女，四川隆昌人，實驗師，四川農業大學計算機科學與技術專業本科畢業，四川省宜賓職業技術學院實訓中心實習指導教師，研究方向:計算機課程方面的實訓教學。

圖1 蜜網的拓撲結構

利用在網絡中部署惡意軟件收集器，對收集到的惡意軟件樣本采用蜜網技術對其進行分析，確認是否僵尸程序，并對僵尸程序所要連接的僵尸網絡控制信道的信息進行提取，最后通過客戶端蜜罐技術，偽裝成被控制的僵尸工具，進入僵尸網絡進行觀察和跟蹤。

蜜網技術的缺點是采用被動檢測的方式，需要等待真實或者模擬的黑客攻擊，而且蜜網技術針對的是攻擊流，檢測出來之后再對該流進行攻擊，該技術目前還處在起步階段。同時，越來越多的僵尸網絡攻擊者也開始尋找躲避蜜網檢測的方法，如加強對僵尸主機的認證、通過檢測蜜罐自身的特點來躲避攻擊等。

3 僵尸網絡新技術與發展趨勢

隨著互聯網的迅速發展，國內外信息資源的共享，各種攻擊技術層出不窮，僵尸網絡也變得更加智能化。2009年，一些主要的僵尸網絡在互聯網上都變得更加令人難以琢磨，以更加不可預測的新特點來威脅網絡安全。僵尸網絡操縱地點也比以前分布更廣。它們采用新技術提高僵尸網絡的的運行效率和靈活機動性。

最新型的僵尸網絡攻擊往往采用hypervisor技術，可以分別控制不同主機上的處理器和系統資源。而每個操作系統都會顯示主機的處理器和系統資源，但是卻并不會顯示主機是否被惡意服務器或者其他主機所控制。

僵尸網絡攻擊所采用的另外一種技術就是Fast Flux domains。這種技術利用了一種新的思想:被攻陷的計算機僅僅被用來當作前線的代理，而真正發號施令的主控計算機確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機的IP地址，真正竊取數據的計算機在其他地方。代理主機沒有日志、沒有相關數據、沒有文檔記錄可以顯示攻擊者的任何信息。攻擊者還可以動態地修改Fast-Flux網絡的IP地址。

僵尸網絡所使用的攻擊類型比以前變得更加復雜多樣。顯然，僵尸網絡威脅一直在不斷地增長，而且所使用的攻擊技術越來越先進。這就需要我們使用更加強大的安全防護工具來保護個人和公司網絡的安全。

參考文獻

[1]楊明，任崗，張建偉.淺談網絡僵尸[A].2006通信理論與技術新進展——第十一界全國青年通信學術會議論文集，2006:629-633.

[2]李金良.僵尸網絡及其防御研究[D].曲阜:師范大學，2007.

[3]鄭頌武，錢布仁.IRC僵尸網絡檢測方法研究[EB].http:/ / www. autocontrol. com. cn/magazine / ams/Article， 2009-05-02.

[4]The honeynet projectresearch alliance.Know your enemy tracking botnets[EB/OL].http: //project.honeynet.org/papers/bots/，2005，(3).

[5]陸偉宙，余順爭.僵尸網絡檢測方法研究[J].電信科學，2007，23，(12).