基于流量的P2P僵尸網絡檢測

李建

摘 要： 網絡的快速發展使其成為被攻擊的對象。分布式結構僵尸網絡攻擊以其強大的攻擊性和高破壞性被列為重要的網絡安全威脅之一。為探索分布式結構僵尸網絡的檢測方法，文章從結構、感染過程等方面分析，提出基于流量的檢測方法，通過過濾可疑流量、DNS流量檢測等，判定是否受到僵尸網絡攻擊，并提出避免感染僵尸網絡的防御措施。

關鍵詞： 僵尸網絡； P2P； 可疑流量； 流量檢測； DNS檢測

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1006-8228（2016）05-45-04

Abstract： The rapid development of the Internet makes it the object of attack. Because of their powerful and highly destructive attack， botnet attacks were listed as one of the most important network security threats. In order to explore the detection of P2P botnet， a detection method based on P2P technology is proposed， which through filtering suspicious traffic and DNS traffic detection etc.， determines whether botnet attacks is suffered， and the defense measures to avoid botnet infection are put forward.

Key words： botnet； peer-to-peer； suspicious flow； flow detection； DNS detection

0 引言

據CNNIC報告，2015年上半年統計，我國網民總人數已達到6.68億，周平均上網時間達25.6小時[1]。網絡給人類提供便利的同時也帶來一系列安全隱患，惡意網絡攻擊層出不窮。僵尸網絡是控制者利用網絡自身的弱點，通過網絡在主機內部植入相關僵尸程序，使得該主機受其控制并秘密執行相關指令。據國家互聯網應急中心（CNCERT/CC）報告顯示，2014年我國境內遭木馬僵尸感染的網絡主機為1108.8萬余臺，遭木馬僵尸控制的服務器為6.1萬余臺[2]。僵尸網絡已成為網絡安全最大威脅之一，P2P（Peer-to-Peer）協議由于其動態可擴充的特點和加入退出的靈活機制，成為近年來僵尸網絡主要使用技術。如何對P2P僵尸網絡制定有針對性的檢測措施已成為關注的重點。

1 僵尸網絡特點、結構、感染過程

1.1 僵尸網絡特點

僵尸網絡（Botnet）是由被控主機組成的群體，通過使防御薄弱的計算機感染木馬、蠕蟲、間諜軟件等病毒，進而主動從僵尸主機下載安裝bot程序，形成受控制的僵尸網絡系統。僵尸網絡具有一定的分布性，隨著bot病毒傳播不斷有新的僵尸主機添加到所控網絡中，僵尸網絡最明顯的特征是行動統一。從傳播性、可控性、隱秘性等方面看，僵尸網絡與傳統木馬、蠕蟲病毒相比具有更大危害性和破壞性。

近年來，P2P技術被僵尸網絡頻繁使用，如Nugache就是通過IM（即時通信）工具，利用工作站漏洞以郵件方式傳送病毒，開啟TCP協議端后門實現僵尸網絡的擴充，并使用加密代碼遙控被控主機。新型的僵尸網絡攻擊技術有Hypervisor[3]（VMM）、Fast Flux domains[4]， Hypervisor可在被控主機不知情的情況下控制不同主機處理器和系統資源。Fast Flux domains是借助代理服務器更改IP達到隱藏自身目的。

1.2 僵尸網絡結構

僵尸網絡結構分為兩種：一種是集中式網絡，由HTTP協議或IRC協議信道構建，由中心服務器連接所有被感染主機，控制主機通過一對多方式統一發布指令，其特點是易于控制所轄主機，但過于依賴中心節點的結構易被摧毀，如：spybot、Phatbot均是此類結構；另一種是分布式網絡，鑒于P2P連接特點，其網絡結構不存在中心節點，所有節點均對等，加入及退出靈活，節點間聯系松散，在拓撲結構上繼承P2P魯棒性和可擴張性，且分布式的特點使得檢測困難，是目前僵尸網絡主要發展趨勢，如圖1所示。

1.3 僵尸網絡感染過程

P2P協議僵尸網絡具有更強的穩定性，感染過程包括病毒傳播、感染安裝、連接、等待指令執行四個階段。僵尸網絡通過擴散bot程序達到擴大網絡規模的目的，傳播方式包括主動攻擊OS漏洞、IM軟件、Email病毒、網頁掛馬、惡意網站腳本等；主機感染后隨著病毒的發作主動加入到僵尸網絡中，并打開相應網絡端口，等待接收執行指令；在連接、等待指令執行階段，僵尸網絡會對被控主機發出的命令進行身份認證，并調用指令發起攻擊。

從上述流程看，加入僵尸網絡的終端將協同工作，會對網絡造成極大損害，其表現如網絡擁塞、消耗帶寬、分布式拒絕服務攻擊（DDos）、發送垃圾郵件等，易造成網絡癱瘓、個人私密信息泄露。僵尸網絡更傾向于竊取企業財務數據信息、機密商業信息，并利用企業間網絡互聯或同行業間的合作關系擴大攻擊范圍，給企業以重創。

2 僵尸網絡的流量檢測

針對P2P僵尸網絡信息流特點，提出基于流量的檢測方法，檢測過程包括流量采集、數據流量預處理、DNS流量檢測、最終確定目標四個階段，如圖2所示。

2.1 網絡流量的采集

網絡流量采集有一些較為成型的方法。張瀟丹等在2012年提出一種基于云模式的流量采集方法[5]。隨著網絡種類不斷增加，流量采集技術研究也呈現多樣化趨勢，基于規則的流量采集法[6]，就是通過建模、設立規則，設計、實現流量采集。一種較完善的網絡流量采集方法是使用Netflow協議采集IP流量數據信息，以報文形式輸出到指定Netflow收集器，Netflow報文包括IP數據包大小、每秒數據流量、總數據流量等信息[7]。此階段主要關注網絡內、外數據流量情況。

2.2 P2P網絡流量預處理

網絡流量預處理包括端口流量檢測、TCP/UDP數據包檢測法、信息流特征過濾等方法。

網絡端口分為三種：公認端口、注冊端口、動態/私有端口。公認端口（常見端口），端口范圍為0-1024，綁定為特定服務。如：端口23為Telnet服務所專用。注冊端口，端口范圍為1025-49151，大多無明確規定的服務對象，程序根據自身需求規定服務端口，一些遠程控制軟件或木馬、蠕蟲程序即規定此類端口為其服務。動態/私有端口，端口范圍為49152-65535，木馬程序常利用此類端口易于隱蔽的特點傳遞數據。

端口流量檢測是通過UDP或TCP數據包的源、目的端口信息檢測HTTP、SMTP、HTTPS等常見信息流，且成熟的P2P協議均使用固定端口通信、端口流量易于檢測、耗時短。早期僵尸網絡曾使用現有P2P協議端口作為其通信協議端口，此類流量易于檢測。隨著技術的進步，大多僵尸網絡已變更其端口通信方式，使得用固定端口方法檢測僵尸網絡變得困難，此方法可作為僵尸網絡檢測的初步手段，要判定僵尸網絡還需結合其他方法。

過濾網絡內外部通信的數據流并做聚類分析，生成一些P2P節點聚類群。去掉使用相同且P2P協議為已知的聚類群數據；將剩余數據流使用信息流特征過濾方法重新做聚類分析，并對所獲得的聚類群做統一標注n1，n2，…nk，以便后期繼續深入檢測。

2.3 DNS異常流量檢測

僵尸網絡為避免暴露自身通常不會使用固定IP與C&C（命令與控制）通信，現階段通信方式主要為DNS（域名解析）方式，通過請求解析命令遙控服務器IP。其組網特點決定產生的DNS流量相比較于正常網絡存在較大區別，可通過此方法檢測其是否為僵尸網絡。

為更好地隱蔽僵尸網絡，DNS攻擊者主要使用DDNS（動態域名）技術，結合flux技術、Fast-flux和Domain-flux技術隱身于控制端服務器。Flux網絡IP數量多、變化快，且域名解析記錄在DNS服務器中存留時間（TTL）短，一般小于300s。Fast-flux網絡由被控主機系統構成，利用動態域名的動態代理技術，隱藏其主機于flux-agent（服務代理）背后提供服務，Fast-flux可為一個合法域名分配多個IP，并以每3分鐘的速度更替IP。Domain-flux域名時有變化，但IP固定，通過快速變換域名提高信道控制能力。

Schonewille和Van Helmond提出檢測DNS流量中域名解析錯誤（NXDOMAIN）信息來檢測僵尸網絡域名[9]。僵尸網絡的特點導致僵尸主機頻繁更換域名且使用不同IP，造成大量訪問域名無效，通過檢測IP數據流量變化可檢測出被感染的僵尸主機。

DNS異常流量檢測分為：DDOS攻擊檢測、垃圾郵件檢測等方法。作為網絡攻擊者，僵尸網絡使用P2P協議主要是為了實現快速通信而非文件的傳輸，在P2P使用上與正常傳遞文件相比，數據流量和集中程度都有所不同。

2.3.1 DDOS攻擊檢測

DDOS（分布式拒絕服務）攻擊通過大量消耗網絡資源，使得網絡服務器或主機不能響應用戶端請求。近年來，DDOS攻擊事件增多，攻擊流量明顯增大，2015年9月22日魅族官網遭受混淆型DDOS攻擊，長達40分鐘無法對外提供服務，瞬時并發流量達7G/S[10]。

當網絡節點遭受DDOS攻擊時網絡流量大幅增長，新出現的源IP大量增加。也有例外情況，當大多數人就某個熱點話題進行討論或某個特殊時段集中訪問某個網站時，也會出現網絡流量大幅增長情況，僅據此判斷受到DDOS攻擊并不完全正確。但正常訪問高峰不會有大量新IP出現，且DDOS攻擊網絡時可偽造數量眾多的源IP，因此，網絡中流量大幅增長和新的源IP大量增加是網絡遭受DDOS攻擊的明顯特征，可判定為遭受僵尸網絡攻擊。

2.3.2 垃圾郵件檢測

垃圾郵件檢測是檢測僵尸網絡攻擊的主要方法之一，被攻擊網絡會隨機的快速發送大量未經請求的郵件，此過程中，受感染節點充當垃圾信息傳播者，發送大量郵件但很少接收郵件[8]。郵件系統常用的傳輸協議是SMTP協議，該協議提出源節點到目的節點的傳輸規則，用來控制郵件的傳輸中轉方式，用于郵件服務器之間數據傳輸。僵尸網絡控制某主機后，會在其內部搭建小型郵件服務器，并在一段時間內使用SMTP協議給用戶郵箱發送大量郵件。2014年第四季度中國反垃圾郵件狀況調查報告顯示，用戶電子郵箱收到的郵件數量為35.0封/周，其中垃圾郵件為14.3封/周，占比41.0%。

僵尸網絡控制主機具有很強的隱秘性，主機通過不同的受控服務器向終端用戶郵箱發送大量垃圾郵件，此時出現一個源IP對應多個目的IP的情況。因此，可從調用SMTP協議發送郵件過程判斷其是否發送垃圾郵件，進而定位垃圾郵件源頭。

3 防范策略

鑒于僵尸網絡的危害性巨大，防范措施有兩方面。一方面針對網絡防御而言，通過加強網絡主機的防御級別以防感染僵尸程序，及時更新殺毒軟件庫、刪除已經感染的僵尸程序，包括使用惡意軟件移除工具檢查并移除之，且遵循安全策略、使用防火墻攔截、DNS阻斷、更新補丁、使用有授權的軟件產品等防御手段。另一方面是針對控制和打擊僵尸網絡，可通過破解僵尸網絡域名算法預先注冊其域名，直接接管在用的僵尸網絡；也可利用僵尸網絡的命令和控制信道摧毀其網絡，或使之不能危害Internet正常網絡環境。

4 結束語

本文探討了P2P協議僵尸網絡的流量檢測技術并提出具體檢測方法。通過P2P流量預處理、流量端口檢測相結合可初步檢測出可疑流量，再針對可疑流量做DNS異常流量檢測確定其是否為僵尸網絡，此方法對檢測僵尸網絡有一定效果。從僵尸網絡結構來看，集中式僵尸網絡檢測技術較為成熟，而分布式P2P協議的僵尸網絡由于其沒有集中控制節點、結構分散，檢測相對困難。后續應在DNS異常流量檢測方面做進一步深入的探討，以期能在檢測的準確性和速度方面有所突破。

參考文獻（References）：

[1] 中國互聯網絡信息中心.CNNIC發布第36次《中國互聯網絡發展狀況統計報告》[DB/OL].http：//www.cac.gov.cn/2015-07/23/c_1116018119.htm，2015.7.23.

[2] CNCERT. 2014年中國互聯網網絡安全報告[DB/OL].http：//www.cert.org.cn/publish/main/46/2015/20150602085719088775378/20150602085719088775378_html，2015-06-02.

[3] 張冰，杜國琦，李靜.僵尸網絡發展新趨勢分析[J].電信科學，2011.2：40-41

[4] Steggink M， Idziejczak I. Detection of Peer-to-PeerBotnets[J].University of Amsterdam，2008.2（12）：103-110

[5] 張瀟丹，李俊.一種基于云服務的網絡測量與分析架構[J].計算機應用研究，2012.29（2）：725-729，733

[6] 包鐵，劉淑芬.基于規則的網絡數據采集處理方法[J].計算機工程，2007.33（1）：101-103

[7] 謝喜秋，梁潔，彭巍.網絡流量采集工具的分析和比較[J].電信科學，2002.4：64-66

[8] Sroufe P， Pheithakkitnukoon S， Dantu R， et al. Email Shape Analysis for Spam Botnet Detection[C].Consumer Communication and Networking Conference，2009：81-89

[9] A. Schonewille and DJ. Van Helmond. The Domain NameServices as an IDS[D]. Netherlands： University of Amsterdam，2010.

[10] Yesky天極新聞. 魅族官網在發布會前夕遭DDOS攻擊[DB/OL].http：//news.yesky.com/167/97676167.shtml，2015-9-23.