僵尸網絡發展研究

李 可 方濱興 崔 翔,3 劉奇旭

1(北京郵電大學 北京 100876)2(中國科學院信息工程研究所 北京 100097)3(中國科學院大學 北京 101408)4(東莞電子科技大學電子信息工程研究院 廣東東莞 523808) (like_bupt@foxmail.com)

?

僵尸網絡發展研究

李 可1,2方濱興1,4崔 翔1,2,3劉奇旭2,3

1(北京郵電大學 北京 100876)2(中國科學院信息工程研究所 北京 100097)3(中國科學院大學 北京 101408)4(東莞電子科技大學電子信息工程研究院 廣東東莞 523808) (like_bupt@foxmail.com)

僵尸網絡(botnet)作為最有效的網絡攻擊平臺，給當今互聯網安全帶來了巨大威脅.雖然近幾年關于僵尸網絡的攻防技術研究取得了顯著進展，然而，伴隨著互聯網應用的多元化以及通信技術的不斷革新，僵尸網絡的形態和命令控制機制也在不斷發生變化，這給防御人員帶來了新的挑戰.深入了解僵尸網絡運行機理和發展趨勢對有效應對僵尸網絡引發的安全威脅具有重要意義.以僵尸網絡攻擊技術為核心，從形式化定義、傳播方式、生命周期、惡意行為、命令控制信道方面對僵尸網絡機理進行全面介紹，按時間順序將僵尸網絡的發展歷程劃分為PC攻擊和廣泛攻擊2個階段，對各階段的技術特點、行為特性、代表案例以及演化規律進行詳細闡述，總結當今僵尸網絡防御方法和研究成果，對已有研究遺留的問題和未來可能研究熱點進行討論.

僵尸網絡；命令控制信道；網絡對抗；增值網絡攻擊；綜述

僵尸網絡(botnet)被廣泛認為是在傳統蠕蟲、木馬、后門工具的基礎上融合形成的復雜的網絡攻擊形式之一，是一種通過入侵網絡空間內若干非合作用戶終端構建的、可被攻擊者遠程控制的通用計算平臺[1].其中，被入侵的用戶終端稱之為僵尸主機(bot)或者“肉雞”；攻擊者指對僵尸網絡具有實際操控權的控制者(botmaster).通過命令控制信道(command and control channel, C&C channel)，攻擊者可以一對多地操控僵尸主機發起惡意軟件分發、垃圾郵件、DDoS、釣魚攻擊、用戶身份竊取、點擊欺詐、虛擬貨幣挖掘、加密勒索[2]等攻擊活動.

出于利益目的，攻擊者以僵尸網絡為攻擊發起平臺，通過網絡犯罪牟利，嚴重侵害互聯網用戶的隱私和財產安全.圍繞其危害性，國內外媒體出現過大量相關報道.2011年出現的ZeuS GameOver僵尸網絡在全球范圍內累計感染了約100萬臺主機，通過竊取用戶銀行賬戶信息和加密勒索方式，非法牟利超過1億美元[3].賽門鐵克發布的年度互聯網安全威脅報告[4]指出2013年全球每天產生約290億封垃圾郵件，其中有76%來源于僵尸網絡.2015年一季度卡巴斯基在全球范圍內共監測23 095起由僵尸網絡發起的DDoS攻擊，其中中國遭受了8 553起DDoS攻擊，在76個受攻擊國家中排名第一[5].根據CNCERT發布的2016年3月互聯網安全威脅報告顯示，我國木馬或僵尸程序控制的主機IP數達到196萬，環比上漲44.9%.賽門鐵克2016年5月發表的安全威脅報告顯示[6]，2015年我國僵尸主機數量占到全球總量46.1%，利用肉雞發起的惡意活動同比上升84%.

2002年出現的Agobot引發了人們對于僵尸網絡的關注，在此之后僵尸網絡成了安全領域研究人員探討的熱點話題.國際學術組織舉辦專門的研討會議對此問題進行探討：ACM協會從2003年開始舉辦的WORM會議(Workshop on Rapid Malcode)以僵尸網絡為重要議題；USENIX協會從2007年開始舉辦了僵尸網絡專題研討會HotBots(Workshop on Hot Topics in Understanding Botnets)；2008年，WORM與HotBots合并為LEET(Workshop on Lager-scale Exploits and Emergent Threats)，專門探討僵尸網絡、間諜軟件和蠕蟲.國際僵尸網絡對抗聯盟AILB-IBFA從2013年12月起舉辦專題研討會議BotConf，圍繞最新僵尸網絡發展態勢和防御研究成果展開討論.近幾年IEEE S&P，CCS，NDSS，Usenix Security等國際頂級安全會議上也相繼發表了有關論文[7-11]，為僵尸網絡研究提供了新思路.

僵尸網絡作為一種高級形態的惡意代碼，具有影響范圍廣、破壞性強、控制機制復雜、靈活多變的特性，給傳統的安全防御方法帶來了巨大的挑戰，研究人員需對其演化過程以及發展趨勢進行全面了解.近幾年，伴隨著攻防博弈的不斷升級、互聯網新興技術的普及，僵尸網絡在形態、命令控制機制、惡意行為方面發生了重大變化，而國內外尚缺少僵尸網絡演化的系統性介紹.因此，深入理解僵尸網絡工作原理和關鍵技術、總結當前僵尸網絡新特性和演化規律對于開展僵尸網絡防御工作具有重要意義.

基于上述事實，本文主要以僵尸網絡近幾年的發展趨勢和攻防技術演化為核心內容，從僵尸網絡的定義、命令控制、傳播途徑、惡意行為和生命周期5個方面對僵尸網絡工作機制進行闡述；深入探討僵尸網絡的PC攻擊階段和廣泛攻擊2個發展階段的演化過程和階段特性；同時從防御角度出發，對主流僵尸網絡防御方法進行總結歸納.

1 僵尸網絡機理特性

僵尸網絡在具備傳統惡意代碼部分特性的同時又有其獨有特點，充分理解其機理特性是深入開展相關研究的重要前提.國內外相關綜述類文獻對該部分內容有過介紹[1,12-14]，本文從僵尸網絡的定義和范疇界定出發，關注其本質和工作機理，圍繞僵尸網絡傳播、惡意行為、生命周期以及命令控制信道展開描述.

1.1 僵尸網絡定義

1.1.1 僵尸網絡形式化定義

定義1. 僵尸網絡.僵尸網絡由四元組所構成，反映可被攻擊者通過命令控制信道進行遠程控制使之進入特定狀態的計算機群.記為Botnet=(Zombie,Botmaster,CMD,CCC)：

1)Zombie.攻擊者通過入侵手段獲取的僵尸主機集合，記為Zombie=(BOT,S,Activity).其中,BOT表示運行在受控僵尸主機上的僵尸程序集合，記為BOT={bot1,bot2,…,botn}，n反映了該僵尸網絡的規模；S代表僵尸程序狀態集合；Activity代表僵尸程序接受指令后執行的動作集合.

為了實現攻擊能力和利益最大化，攻擊者對感染的僵尸主機環境和性能有一定要求[15]，可歸納為5個方面：

① 可用性.指僵尸主機長時間在線、可通過命令控制信道正確接受攻擊指令或進行信息回傳的能力，這是僵尸主機最基本的能力要求.

② 生存性.指僵尸程序在受害主機環境中的存活能力，不同終端類型僵尸網絡所面臨的生存挑戰存在差異.例如，在PC僵尸網絡中，僵尸主機的生存威脅主要來自殺毒軟件和防火墻等防護措施；而對于移動僵尸網絡，其生存性還需要考慮資費和電量消耗的問題[16].

③ 計算性能.指僵尸主機的CPU或者GPU的運算能力，該屬性可幫助攻擊者實現復雜的數據處理.例如攻擊者可以利用高運算能力的僵尸主機進行比特幣挖掘[17].

④ 網絡資源.包含IP地址、地理位置、帶寬、域名等資源.大量覆蓋全球范圍的僵尸主機資源可克服時區和局部網絡訪問限制，為攻擊者提供長期穩定的業務能力.

⑤ 內容資源.指僵尸主機所包含的有價值信息，一般包含郵箱賬戶、銀行賬戶、聯系人等個人隱私信息，攻擊者獲取這些信息后可發起惡意推廣、金融賬戶竊取、電話詐騙等攻擊.

2)Botmaster.指僵尸網絡控制者，通過命令控制信道操縱僵尸主機群執行惡意活動.

3)CMD.是僵尸程序可執行的控制命令集合.記為CMD={cmd1,cmd2,…,cmdn}，常見的命令可分為更新和攻擊兩大類.

4)CCC.是僵尸網絡命令控制信道，該部分是整個僵尸網絡實現的基礎與核心，進一步可用形式化定義為CCC=(TOPOLOGY,PROTOCOL,RESOURCE,METHOD)

①TOPOLOGY，僵尸網絡命令控制信道拓撲結構.

②PROTOCOL，僵尸網絡信道協議集合，包含IRC,HTTP,Kademilia,Domian-Flux,Fast-Flux,Tor,SMS等.

③RESOURCE，控制者使用的軟件和服務資源集合，包括域名、密鑰、代理節點、跳板網絡、公共服務、P2P網絡節點等.

④METHOD，命令控制過程中涉及的關鍵算(方)法，涵蓋C&C服務器尋址方法、認證機制、加密和編碼算法3部分.

1.1.2 僵尸網絡范疇界定

僵尸網絡作為一種由惡意代碼演化的命令驅動型攻擊平臺，通常被反病毒廠商歸為蠕蟲、后門、間諜軟件以及木馬的范疇，未能給出準確的定義和區別.如圖1和表1所示，1)僵尸網絡包含的僵尸程序屬于惡意代碼范疇，具備惡意軟件的部分特征；2)僵尸網絡包含特有的一對多命令控制信道，這也是僵尸網絡與傳統惡意代碼的最大區別[18].

Fig. 1 Relationship between the Botnet and malwares.圖1 僵尸網絡與傳統惡意代碼關系

CategoryIndependenceSpreadControllabilityInformationStealCollaborativeBotnetYesOptionalYesOptionalYesVirusNoPassiveNoNoNoWormYesActiveNoNoNoTrojanYesGenerallynotYesYesNoSpywareYesGenerallynotNoYesNo

① 病毒(Virus)是通過感染計算機程序進行傳播的惡意代碼，必須具備感染性，且自身是一段代碼而非獨立程序，不可作為進程獨立運行，而僵尸程序可以(且多數)不具備感染文件的能力.

② 蠕蟲(Worm)是一種可自我復制的惡意代碼，必須具備自動傳播能力，而僵尸程序可以不具備自傳播能力，其傳播可通過社會工程學的方法實現.

③ 間諜軟件(Spyware)是在未經用戶明確授權的情況下竊取用戶信息的惡意代碼.因此，間諜軟件必須具備竊密功能，而僵尸網絡竊密功能是可選的.

④ 木馬(Trojan)是與僵尸程序最接近的惡意代碼，兩者的關系一直具有爭議性，本文認為二者具有3方面的差異：Ⅰ 控制方式的差異.木馬控制者在使用木馬時，一定要在線；而僵尸網絡控制者在使用僵尸網絡過程中，可以離線.Ⅱ 協同性差異.木馬之間一般不強調協同工作，而僵尸網絡則經常需要協同完成任務，比如命令中繼、DDoS攻擊等.Ⅲ 功能差異.當前主流的木馬通常具有屏幕監控、攝像頭監測、文件管理等功能，而僵尸程序一般不具備這些功能.

1.2 僵尸網絡傳播機制

僵尸網絡的構建依賴入侵脆弱主機并植入僵尸程序，該過程通常稱為僵尸程序傳播，或者稱為僵尸網絡招募.早期僵尸程序的傳播以遠程漏洞攻擊、弱口令掃描入侵、文件共享和U盤傳播方式為主.

近年來，隨著防御機制的不斷完善，原有傳播方法難以達到理想效果.攻擊者開始采用郵件附件、網頁掛馬(drive-by-download)、應用軟件捆綁、付費安裝(pay-per-install)、中間人攻擊(man-in-the-middle)等隱蔽的方式進行傳播.例如，ZeroAccess[19]通過偽裝成殺毒軟件和序列號生成器誘騙用戶安裝；Koobface[20]利用受害者社交網站賬號向其好友推送視頻鏈接，誘騙用戶安裝惡意插件實現感染.

1.3 僵尸網絡惡意行為

Grizzard等人[21]曾按照過程將惡意行為劃分為信息散布(information dispersion)、信息收集(information harvesting)、信息處理(information processing)三個方面.如圖2所示:

Fig. 2 Malicious behavior classification of botnets.圖2 僵尸網絡惡意行為分類

從攻擊作用點的角度將惡意行為歸納為2類：

1) 外部攻擊.攻擊者利用肉雞帶寬、CPU、IP等資源對外發動的網絡攻擊，攻擊目標主要為互聯網中其他用戶和機構.DDoS、釣魚攻擊、垃圾郵件、點擊欺詐、掃描等行為均屬于該類.

2) 內部攻擊.此類型攻擊沒有直接的外部攻擊對象，其最大的受害者就是肉雞本身，攻擊者通過利用和挖掘肉雞自身資源來牟利.常見的形式包括信息竊取、虛擬貨幣挖掘、加密勒索等.

除了上述方法外，一方面，攻擊者可通過租賃服務(botnet-as-a-service)的方式牟利，根據趨勢科技發布的中國地下網絡犯罪調查報告顯示[22]，2014—2015年期間，每100臺Windows 2003或2008系統的僵尸主機租賃價格約為24美元；另一方面，攻擊者正在地下市場中出售ZeuS和Spyeye[23]等僵尸網絡的攻擊套件(crimeware rootkit)，購買者可利用這些套件生成定制化的僵尸程序來感染更多脆弱主機，造成更為廣泛的危害.

1.4 僵尸網絡生命周期

已知研究將僵尸網絡的生命周期定義為“從脆弱主機感染到成為活躍態的僵尸主機”[14]，本文描述僵尸主機從傳播到消亡過程的狀態遷移，將典型的僵尸網絡生命周期劃分為“傳播態”(spreading)、“工作態”(working)、“閑置態”(idle)、“離線態”(offline)、“隔離態”(block)和“消亡態”(dead)六個狀態，狀態的遷移變化如圖3所示.

1) 新感染并運行的僵尸程序處于閑置態，此時僵尸程序試圖獲取控制命令；

2) 當獲得傳播命令(或默認自動傳播)時，僵尸程序進入傳播態，通過僵尸程序的傳播，僵尸網絡規模得到擴大；當獲得其他命令時，僵尸程序進入工作態，執行命令完畢后轉回到閑置態；

3) 當僵尸程序所在計算機或網絡不可用時(如關機、休眠、斷網等外力操作)，僵尸程序轉為離線態，離線態僵尸程序在有限時間內會恢復運行，并進入上述某種狀態；

4) 當僵尸程序被外力隔離使之無法獲取控制命令，則處于隔離態，隔離態僵尸程序無法正常工作.當外力撤銷后，會轉為傳播、工作或閑置狀態之一；

5) 僵尸程序被清除時，僵尸網絡規模縮小，最終會進入消亡態.

Fig. 3 Status of botnet life-cycle.圖3 僵尸網絡生命周期示意圖

1.5 僵尸網絡命令控制信道

僵尸網絡的本質特性是“可控性”和“協同性”[24]，二者實現的關鍵點在于控制者與肉雞之間的信息傳遞和交互，即命令控制信道的實現.命令控制信道決定了僵尸網絡的效率和健壯性.一旦其失效，僵尸網絡將會癱瘓并降級為離散孤立的、脫離控制源的感染節點集合，威脅性將大大降低.

命令控制信道是攻防雙方主控權爭奪的關鍵點.Waledac,MegaD,Mariposa,Zeus Gameover等名聲顯赫的僵尸網絡受到了來自執法部門、CERT組織、域名提供商、研究機構的聯合反制，致使攻擊者失去了控制權，僵尸網絡被關閉.對于安全研究人員而言，掌握僵尸網絡的拓撲結構和協議特征是開展僵尸網絡防御工作的基本前提.

1.5.1 拓撲結構分類

拓撲結構是命令控制信道的基礎屬性之一，它與僵尸網絡的層次劃分和通信機制有直接關聯[25-27].歸納起來，僵尸網絡按拓撲結構可劃分為純中心結構、純P2P結構以及混合結構三大類.

1.5.1.1 純中心結構

Fig. 4 Pure centralized structure botnets.圖4 純中心結構僵尸網絡

“靜態”指的是C&C服務器的域名或IP地址是固定的，通常硬編碼在僵尸程序體內；“動態”指的是服務器地址并非固定不變，而是需要根據特定算法動態生成[28]，該算法事先硬編碼在僵尸程序體內，算法的輸入是公開可獲得的可變內容，比如當前日期、社交網站熱點話題等[29].常見的純中心結構僵尸網絡包括IRC僵尸網絡、HTTP僵尸網絡、Fast-Flux僵尸網絡以及Domain-Flux僵尸網絡.

1.5.1.2 純P2P結構

純中心結構僵尸網絡雖具備實現簡單、高效、協同性好優勢，但其控制流程存在中心節點失效問題(single point of failure)，一旦防御人員關閉中心命令控制服務器，僵尸主機將無法繼續獲取命令，攻擊者也將失去對僵尸主機的控制權.為了提升僵尸網絡的健壯性、對抗防御人員的關停，攻擊者使用非中心結構的P2P(peer-to-peer)模式作為其信道拓撲結構，如圖5所示，網絡中每個僵尸主機既充當客戶端又充當服務端，通信過程不依賴公網可達服務器資源.雖然P2P僵尸網絡命令下發延遲高于中心結構[21]，但不依賴脆弱中心節點[30]的特性使其難以被劫持、測量和關閉.

Fig. 5 Pure P2P structure botnets.圖5 純P2P結構僵尸網絡

1.5.1.3 混合結構

混合結構通常指僵尸網絡同時具有中心結構和P2P結構的部分特性，該類型可進一步劃分為2個子類：

1) 整體中心結構.局部P2P結構.如圖6(a)所示，這種混合結構從整體邏輯上看仍屬于CS模式的中心結構，但服務節點之間呈現P2P結構.通常公網可達僵尸主機群構成一個動態可擴展的P2P網絡，形成了一個動態控制服務器池.該僵尸網絡中具有靜態IP、可被外網訪問的節點充當servant bots，此類節點同時扮演服務端和客戶端角色，周期性訪問其他同類節點，對命令和插件資源進行更新；另一類不具備公網可達屬性的節點稱為client bots，由于NAT或防火墻等原因，該類節點無法遠程被其他節點主動訪問，只能向servant bots發起連接請求獲取命令.該結構消除了中心節點失效問題，具有較好的可擴展性.

2) 整體P2P結構.該結構是局部中心結構.如圖6(b)所示，該結構整體上呈現P2P結構，在局部實現上呈現CS模式.其中一部分公網可達的僵尸主機充當服務節點，彼此之間互相連通，同時每個節點獨立負責管理一定數量的非公網可達的僵尸主機，這種組網結構有利于實現區域差異化管控，防御者難以探測僵尸網絡的所有關鍵節點和整體規模.

Fig. 6 Hybrid structure botnets.圖6 混合結構僵尸網絡

1.5.2 命令控制協議分類

1.5.2.1 IRC僵尸網絡

基于IRC協議的僵尸網絡是僵尸網絡發展史上的經典，該協議實現較為簡單，控制者可借助公共IRC聊天室實時下發命令，具備良好的效率.

IRC僵尸網絡命令控制實現過程如下：控制者通常在IRC服務器中創建一個聊天室，僵尸程序根據硬編碼的地址信息加入該聊天室，靜默等待控制者發布命令.命令的發布主要有2種途徑：1)TOPIC方式，僵尸主機登陸聊天室首先會接收到該頻道的公告信息，控制者可以將指令發布在公告中，該方式無需控制者實時在線；2)PRIVMSG方式，在聊天室中，控制者在線通過一對多或一對一的方式向僵尸主機發布指令，該方式最為常見.

1.5.2.2 HTTP僵尸網絡

HTTP協議具備良好的通用性，能夠穿透IDS和防火墻，作為C&C協議時其流量混雜在大量的正常請求中不易被發現，命令下發延遲低，同時支持對通信內容的加密(HTTPS)，因此該協議成為了當前主流的僵尸網絡信道協議之一.命令下發時，攻擊者事先將命令內容發布在指定的Web網頁中，僵尸程序根據硬編碼的地址輪詢請求獲取.在實現信息回傳時，僵尸程序通過Post方式將本機信息(bot ID、MAC地址、操作系統等)或竊取的數據發送給控制者.

Fig. 7 Implementation of Fast-Flux botnets.圖7 Fast-Flux僵尸網絡實現原理

傳統HTTP僵尸網絡大多數采用靜態尋址方式，C&C通信易被防御人員識別和阻斷.基于該事實，攻擊者們開始嘗試使用動態訪問機制以增強信道的健壯性，代表性的改進協議包括Fast-Flux[31]和Domain-Flux[29].

1) Fast-Flux僵尸網絡

Fast-Flux基于多個IP和單一域名之間映射關系的快速切換來實現，可以隱藏惡意資源和釣魚網站的真實IP.在僵尸網絡中，該協議被控制者用來隱藏C&C服務器的真實IP.如圖7所示，僵尸程序解析硬編碼的C&C域名時，權威DNS服務器返回的不是真正的C&C服務器(在Fast-Flux框架通常稱為mothership[32])IP地址，而是若干代理節點(稱之為Flux Bot)IP，這些代理節點通常為該僵尸網絡中的肉雞，它們以循環(round-robin)、快速更替的方式充當C&C域名的解析地址.當僵尸主機與C&C服務器通信時，Flux Bot將僵尸主機發來的請求透明轉發給mothership，同時將mothership響應信息轉發給僵尸主機.這樣，防御人員在追蹤僵尸網絡通信時，難以發現mothership真正的IP.

該方法使得C&C服務器具有大量可更換的IP資源，單純依靠屏蔽IP地址的防御手段將無法關閉該僵尸網絡.然而，在Fast-Flux實現過程中，其DNS請求流量存在短TTL(time to live)、IP地理位置分布廣、IP地址跨多個自治系統等特征[33]，這些特征可被用來檢測和發現Fast-Flux僵尸網絡的通信行為[34].此外，防御人員依舊可以通過屏蔽域名的方法來阻斷僵尸網絡的C&C信道，因此，基于Fast-Flux的僵尸網絡雖然隱藏了攻擊者真實身份，但并未從根本上解決信道脆弱性問題.

2) Domain-Flux僵尸網絡

Domain-Flux協議的本質是多域名到單個IP之間的動態映射.實現的核心是域名生成算法(domain generation algorithm， DGA)，僵尸程序和控制者共享同一套算法，通過相同的輸入(日期、話題等)分別計算得到大量相同的域名資源，理論上攻擊者只需要將域名資源中任意一個映射到C&C服務器IP即可保證所有僵尸主機正常獲取指令.由于域名資源數量多且動態變化，防御人員難以完全切斷其信道.Torpig,Kraken和Conficker僵尸網絡均采用了該協議進行通信.

雖然Domain-Flux在一定程度上提高了命令控制信道的健壯性，但其尋址時間開銷較長，防御人員可根據大量生成的NXDomain報文和域名字符特征2個維度對該類型僵尸網絡進行檢測.

1.5.2.3 P2P僵尸網絡

1) 結構化P2P.該類僵尸網絡基于結構化P2P協議實現，以2008年出現的Storm[35]為例，該僵尸網絡采用基于分布式Hash表(distributed hash table， DHT)的Overnet協議，在獲取命令時僵尸程序以日期和隨機數(0～31)作為輸入，通過算法生成32個不同Hash key，通過P2P網絡查詢這些Hash key值獲取控制者指令.該類型僵尸網絡的優點在于信道的構建實現較為便捷、協議穩定可靠，通信流量混雜在合法P2P流量中難以被發現.

2) 非結構化P2P.僵尸主機間無結構化進行連接，連接方式包含2種：①泛洪方式，基于Random思想的Sinit僵尸網絡隨機生成IPV4地址并逐一對其進行訪問驗證.這種協議采用純P2P結構，不存在bootstrap階段且不依賴特定資源節點，十分健壯，然而缺點是節點的連接度很低[12]，尋址和通信效率較低，產生的大量掃描流量容易暴露自身；②交換方式，每個僵尸主機維護一份包含節點信息的peer list，定期隨機挑選其中的部分節點進行通信，獲取攻擊者指令和更新節點信息，該方式使得僵尸網絡具有良好的可擴展性，實現較為靈活.

基于P2P協議的僵尸網絡雖然在健壯性方面較HTTP和IRC僵尸網絡有所改善，但協議實現過程仍存在2個問題：

1) 命令認證的不完備.由于純P2P僵尸網絡中每個節點均可充當服務端，理論上任何人都可以將命令注入到該網絡中，這給P2P僵尸網絡的信息傳遞帶來了隱患.此外，基于索引模式的P2P協議未對索引記錄提供者身份進行認證，使得該類P2P僵尸網絡容易受到索引污染(index poisoning)[36]和Sybil攻擊[37-38]，命令傳遞存在被劫持和干擾的可能.

Fig. 8 Botnet cases in PC attacks stage.圖8 PC攻擊階段僵尸網絡案例

2) 初始化脆弱性.僵尸主機在初始化過程中需要尋找其他節點并加入該網絡，這個過程通常稱之為bootstrap，常見的bootstrap方法是僵尸程序訪問硬編碼的peer list或server cache中節點，請求加入到僵尸網絡中.由于該過程依賴這些靜態尋址資源，一旦失效，新感染的僵尸主機無法加入到網絡中接收攻擊者指令.所以，bootstrap階段被認為是構建P2P僵尸網絡的固有脆弱點之一.例如Nugache僵尸網絡在該階段依賴固定的22個種子主機地址[39]，因此普遍認為其信道具有脆弱性.

2 僵尸網絡發展歷程

從第1個知名的僵尸網絡出現至今，僵尸網絡的發展歷經了十余載，其形態和攻擊技術發生了巨大變化，按照時間順序可將該過程劃分為以個人電腦為感染對象的“PC攻擊”(PC attacks) 階段和以多類型終端為感染目標的“廣泛攻擊”(extensive attacks) 階段.各階段在終端類型、控制機制、惡意行為等方面存在顯著差異.

2.1 PC攻擊階段

1998—2009年稱為僵尸網絡發展史上的“PC攻擊”階段.在該時期，僵尸網絡以感染Windows操作系統的PC設備為主，融合了蠕蟲傳播、rootkit隱藏、多態變形等多種惡意代碼技術[13]，在對抗中不斷對其信道協議和拓撲結構進行改進，最終發展成為功能多樣化、結構復雜化的高級形態.

僵尸網絡的起源最早可追溯到1993年，當年出現的一款良性BOT工具Eggdrop[40]能夠幫助管理員實現簡單的IRC網絡管理.受到Eggdrop的啟發，黑客們開始借鑒其思想，嘗試編寫惡意的僵尸程序對受害主機實施控制，支配其發動網絡攻擊.如圖8所示，公認的第1個知名的惡意僵尸網絡GTBot[41]誕生于1998年，其僵尸程序會在受害主機上隱蔽安裝mIRC客戶端，通過客戶端加入IRC頻道等待控制者下發指令.

在此之后，攻擊者們意識到IRC協議是一對多進行終端控制的有效方式，包括PreetyPark，SDbot[42]，Agobot[43]，Spybot[44]，Rbot在內的IRC僵尸網絡案例不斷出現，其中Agobot由于其高度模塊化設計、廣泛傳播、大規模協同攻擊特性，使得人們意識到僵尸網絡會成為未來互聯網安全的重大威脅[21].

雖然IRC僵尸網絡具有易構建和高效可控的優點，但其流量具有一定特殊性、通信內容為明文傳輸，導致整個僵尸網絡被封鎖、檢測和監控.為了解決上述問題，攻擊者開始考慮采用HTTP和P2P協議來進行管控.

第1個HTTP僵尸網絡Bobax[45]出現于2004年，該僵尸網絡的主要功能為發送垃圾郵件，通過漏洞利用和郵件方式進行傳播；此外，2006年出現的垃圾郵件僵尸網絡Rustock和點擊欺詐僵尸網絡Clickbot以及2007年出現的竊密型僵尸網絡ZeuS[46]均采用HTTP作為其命令控制信道協議.

第1個P2P僵尸網絡是2002年出現的Slapper，雖然消除了中心節點失效問題，然而通信加密和認證機制的缺失使得信道仍然很脆弱，此后Sinit,Phatbot,Storm的出現證明了P2P僵尸網絡具有較好的抗關停能力，研究人員難以對其整體進行測量和監控.

隨著攻防博弈的持續升級，攻擊者不斷改進控制技術以適應于復雜的網絡環境，在PC攻擊階段末期，僵尸網絡開始呈現協議多樣化和結構復雜化的趨勢.例如，2008年出現的Conficker僵尸網絡同時采用Domain-Flux和Random P2P兩種尋址方法，使得防御人員至今難以完全阻斷其命令控制信道；同年出現的Waledac[47]綜合使用了HTTP，Fast-Flux和P2P協議，具有極好的健壯性和隱秘性.

為了防御未來可能出現的僵尸網絡，研究人員嘗試提出高級信道模型，對下一代僵尸網絡進行預測.Wang等人[48]提出了一種新的混合型P2P僵尸網絡命令控制信道，該信道采用層次化結構， bootstrap過程不依賴硬編碼的peer list或特定域名資源，消除了單點失效問題.命令傳輸過程采用非對稱密鑰加密，難以被防御人員監控和劫持.該方法可以實現負載均衡且具有較好的抗毀能力，因此可管理大規模僵尸網絡.其局限在于命令控制信道的構建過程要求傳播源必須掌握潛在僵尸主機的IP，因此對釣魚郵件、P2P文件共享、U盤傳播等感染方法無效.

Vogt等人[49]提出了一種混合結構的僵尸網絡設計方法，該方法的主要思想是自動把一個大規模僵尸網絡劃分成多個僵尸子網，僵尸子網之間通過P2P協議連接起來.該方法的優勢是彼此獨立不易暴露整體規模，可管理大規模僵尸網絡而不會出現性能瓶頸.但該結構設計缺乏實踐檢驗，在應對實際復雜的網絡環境和防御手段時可能存在不穩定的風險[48].

Hund等人[50]提出了一種難以被追蹤和關閉的P2P僵尸網絡Rambot，該模型采用基于信譽評分的驗證機制(credit-point system)以及工作量證明機制(proof-of-work)等方法判斷通信節點身份的真實性，該模型具有一定的智能感知能力，生存性較好.

2.2 廣泛攻擊階段

從2009年起至今，僵尸網絡呈現出由單一化向多元化發展的趨勢，體現在感染對象更加廣泛、控制手段更加豐富、應用場景更加精細，其威脅開始逐漸蔓延到了人們日常生活相關的各個領域，該階段稱之為廣泛攻擊階段.

如表2所示，廣泛攻擊階段出現的新特性有3個方面：1)傳統PC僵尸網絡與Web 2.0、云計算等新技術廣泛融合，出現了更加隱蔽的命令控制技術和特殊形態的僵尸網絡；2)伴隨著人們日常使用的智能設備和應用日趨豐富，攻擊者開始將犯罪目光從傳統PC轉向以智能手機、路由器、機頂盒為代表的多種終端設備；3)僵尸網絡構建和命令控制技術在APT(advanced persistent threat)中得到了廣泛應用，成為了攻擊鏈中不可或缺的一環.

Table 2 Comparison Two Stages of PC and Extensive Attacks

2.2.1 PC僵尸網絡新特性

在惡意行為方面，僵尸網絡的攻擊業務與金融犯罪聯系得更加緊密，體現在3個方面： 1) 金融賬戶竊取，代表性僵尸網絡為2011年出現的Spyeye和2014年發現的Dridex[51]；2)比特幣挖掘，2012年左右活躍的ZeroAccess以控制大量受害主機實施點擊欺詐和挖掘比特幣為目的，每日能獲利約10萬美元[19]；3)加密勒索，2013年以來，伴隨著以比特幣為代表的匿名支付方式的不斷推廣，CryptoLocker,CTB-Locker等加密勒索型僵尸網絡案例不斷涌現，在該類僵尸網絡中僵尸程序通過對受害者文件資源加密實施敲詐，用戶需通過比特幣交易方式向攻擊者支付贖金后方可解密.

在控制機理上，PC僵尸網絡延續了采用復雜的通信手段和拓撲結構對抗關閉的策略.2011年出現的TDL4[52]采用基于Kad網絡和強加密手段實現通信； ZeuS GameOver[53]，ZeroAccess v2[19]以及Dride均采用混合拓撲結構，使得命令控制信道難以被阻斷.與此同時，利用匿名網絡構建隱秘的僵尸網絡信道也成為了一種新趨勢[54-55]， Skynet[56]僵尸網絡利用匿名網絡Tor對命令控制服務器真實地址進行隱藏；Cryptowall 3.0[57]基于I2P匿名網絡實現僵尸主機和攻擊者之間的通信.上述案例說明，攻擊技術的不斷升級給對抗此類高級僵尸網絡帶來了極大挑戰.

以云平臺和社交網站為代表的公共服務資源逐漸成為了僵尸網絡滋生的沃土.攻擊者們可借助這些公開資源進行傳播[20]和命令下發[58-59]，防御人員難以發現隱藏在大量合法用戶活動中的惡意行為，比如亞馬遜EC2云被ZeuS穿透充當僵尸網絡C&C服務器[60]；以MAC OS X 為感染目標的Flashback僵尸網絡[61]利用Twitter構建備用C&C信道，一旦主信道失效，僵尸主機將通過搜索動態生成的特定標識尋找C&C域名，恢復與控制者間的通信.

此外，僵尸網絡行為特性也在逐步與云計算和社交網絡相結合，形成基于服務平臺的特殊僵尸網絡.RSA 2014大會上，Ragan和Salazar[62]介紹了一種云端僵尸網絡的構建方法[63]，通過控制海量云計算資源可實現電子貨幣的挖掘；寄生于社交網站的僵尸網絡SoN(socialbot network)能模仿正常用戶完成多種在線社交動作[64]，攻擊者可通過控制socialbots實現謠言散布、廣告推送、個人信息收集[65].

在學術界，研究人員也開始研究如何利用其他協議和公開服務構建更為隱蔽的命令控制信道.Xu 等人[66]研究了利用DNS協議來構建命令控制信道，該方法無需借助額外的服務器，其下行信道具備良好的隱蔽性；Nappa等人[67]利用Skype協議作為通信載體實現了一種新型僵尸網絡，該方法可穿透防火墻和NAT設備，其通信流量隱藏在合法Skype流量之中，難以被區分和過濾.

Lee等人提出了一種Alias-Flux[68]協議的信道模型，該模型通過惡意利用縮址服務和搜索引擎能實現bot對命令控制資源的尋址； Nagaraja等人[69]提出的信道模型以社交網絡作為通信平臺，通過圖片隱寫技術實現命令的傳遞.Cui等人[70]提出了一種三信道僵尸網絡模型，核心思想是將整個命令控制信道按注冊、命令下發、數據回傳功能劃分為3個子信道，分別采用Domain-Flux,URL-Flux,Cloud-Flux作為子信道協議，該模型具有較好的生存性和可用性.

2.2.2 新興僵尸網絡崛起

在當今用戶安全意識普遍提高、主機防護類軟件的普及的背景下，傳統PC僵尸網絡在傳播、構建和主機生存性上面臨了極大的挑戰.攻擊者開始嘗試利用非PC終端來構建融合網絡環境下的僵尸網絡，這些設備大多防護手段比較薄弱，容易被滲透和惡意利用.該類型僵尸網絡稱之為“新興僵尸網絡”.

2009年出現的首個手機僵尸網絡Symbian.Yxes拉開了新興僵尸網絡的序幕，理論上一切連接互聯網且具有運算能力的終端都可成為潛在的僵尸主機.路由器、PoS機、機頂盒、網絡攝像頭、智能家居、Web服務器等設備[71-73]成為了首選感染目標.攻擊者在利用這些設備發起傳統網絡攻擊的同時，還可對用戶信息進行竊取.2010年出現的首個針對Android系統的手機僵尸網絡Geinimi[74]可實現IMEI、地理位置、短信、通信錄等信息的竊取，同時還能發送垃圾短信和安裝惡意軟件；2012年首個POS機僵尸網絡Dexter通過內存讀取技術大量竊取用戶的支付卡數據；2015年出現的Moose[75]可通過路由器流量監聽竊取用戶社交網站賬號，通過“賣粉”形式盈利.

不同于主流PC僵尸網絡采用的郵件附件、網頁掛馬、軟件捆綁和PPI的傳播方法，絕大多數新興僵尸網絡傳播以口令暴力猜解和固件漏洞利用的方法為主，實現成本較低且無需用戶配合，攻擊者可輕松實現大規模自動化的滲透.2012年出現的Carna僵尸網絡通過掃描弱口令全球范圍內感染了約42萬臺嵌入式設備，獲取了約9TB通信日志[76].此外，部分新興僵尸網絡具備跨平臺特性，感染終端范圍更加廣泛.例如Darlloz僵尸網絡可同時感染x86,ARM,MIPS以及PowerPC在內的多種架構設備[77].

在運行終端和平臺趨于豐富的同時，新興僵尸網絡的通信協議通常采用HTTP和IRC協議，尋址策略通常采用硬編碼地址方式，通信內容通常采用簡單加密和混淆來躲避檢測，可滿足實時控制需求，該種模式在具備易用性和高效性的同時其信道健壯性較差.這表明新興僵尸網絡的命令控制方式較為簡單和脆弱，同當今復雜的高級PC僵尸網絡相比仍有一定的差距.

在眾多新興僵尸網絡中，智能手機以其用戶數量大、信息資源豐富、計算能力強、軟件種類多的特點，成為了研究人員的主要研究方向，該類僵尸網絡也被稱為移動僵尸網絡.在預測工作中，研究人員需考慮手機應用場景下的特有限制條件，包括固定IP資源缺乏、電量消耗以及用戶資費敏感等問題.因此，當前移動僵尸網絡的預測主要圍繞隱蔽可行的信道協議設計為主.

Fig. 9 Botnet cases in Extensive Attacks stage.圖9 廣泛攻擊階段僵尸網絡案例

早期移動僵尸網絡的信息傳遞大多采用SMS實現.Mulliner等人[78]提出了一種SMS-HTTP混合結構的命令控制信道.主要思路是將控制命令分發分為2個步驟：1)將加密簽名過的控制命令發布到網站上;2)通過SMS將控制命令URL推送給僵尸程序.Zeng等人[79]提出了一種利用SMS構建的P2P命令控制信道，SMS作為命令控制信道具有時效性強、健壯性好、離線用戶(如關機、不在服務區等)可延遲接收等優點，但利用SMS建立和維持一個可連通的僵尸網絡拓撲關系，需要發送和接受極大數量的SMS，造成用戶端資費和信息的明顯異常.

Singh等人[80]提出并評估了使用藍牙作為命令控制信道的可行性：其優點在于健壯性好，不會產生額外的資費開銷；缺點是時效性差，藍牙傳輸的距離限制造成了通信效率的低下，在實際應用中存在問題.

Cui等人[16]提出了一種基于URL-Flux動態中心結構的移動僵尸網絡Andbot，該方法利用博客和微博作為其資源發布平臺，通過UGA算法bot可以動態從大量生成的URL中去尋找命令資源.該方法具有良好的隱蔽性和韌性，運用在智能手機場景中能滿足低能耗和低資費需求.

Zhao等人[81]提出了一種基于Google云推送服務(cloud to device message， C2DM)的移動僵尸網絡.僵尸主機與合法云信息服務器(C2DM server)進行交互，不訪問可疑域名或IP資源，不依賴資費敏感的SMS，同時不會遺漏離線狀態下發送的命令，其通信流量較傳統HTTP和IRC移動僵尸網絡更小，該方法較之前的研究具有更好的隱蔽性和可控性.

2.2.3 APT中僵尸網絡

近年來，以“震網”[82]、“火焰”[83]、Duqu[84]、“紅色十月”[85]、DarkHotel[86]、Turla[22]為代表的APT攻擊不斷出現，針對各國政府、軍隊、能源、工業、科研機構等重要目標展開網絡間諜和破壞活動，嚴重威脅著國家的政治、經濟和軍事安全.以卡巴斯基、賽門鐵克為代表的安全廠商對有關案例進行了深入的跟蹤分析，揭示了背后的攻擊流程和常用手法.

在完整攻擊鏈中，攻擊者通常在感染立足點后進行內部橫向平移，構建小型僵尸網絡.感染主機通過代理[87]或隱蔽直連方式同外界建立通信，獲取攻擊者指令或實現竊密回傳[88]，此類方法與傳統僵尸網絡的控制方法極其相似.在Duqu 2.0中[89]，感染主機將信息隱藏在GIF和JPEG圖片中，通過感染的網關和防火墻作為中轉發送給外部攻擊者.DUKES黑客組織在APT攻擊中利用日期算法生成用戶名，通過Twitter和Github平臺查找該用戶信息獲取指令[90].

在部分APT攻擊中，攻擊者直接使用公開的僵尸網絡套件實施攻擊.綽號“沙蟲”(Sandworm)的黑客組織[91]于2014年和2015年12月利用開源的BlackEnergy攻擊套件分別對歐美SCADA工控系統和烏克蘭電網系統發動攻擊.

雖然APT攻擊與普通僵尸網絡在命令控制機制上具有高度相似性，但二者在規模和信道屬性上存在一定差異：在規模上，傳統僵尸網絡側重大規模、無差別的感染和控制，而APT強調對少數特定目標進行感染和控制；在信道屬性上，僵尸網絡強調對大規模肉雞的管控，要求其控制信道具有良好的健壯性，而APT攻擊強調對少數目標的隱蔽和持續性控制，其C&C信道部分側重于易用和隱蔽性，不考慮依托復雜的信道結構和協議來對抗關閉.此外，APT攻擊中的通信實現更趨于精細化和復雜化， 2015年12月，卡巴斯基披露的間諜組織Turla[92]在攻擊過程中利用劫持衛星通信的方式實現信息傳遞,如圖10所示，防御人員難以對攻擊者進行溯源，該種技術是普通僵尸網絡所不具備的.

Fig. 10 Anonymous C&C communication by hijacking satellite link.圖10 通過衛星鏈路劫持實現匿名C&C通信

3 僵尸網絡對抗

準確發現僵尸網絡的存在，進一步對僵尸網絡采取針對性遏制是打擊僵尸網絡犯罪的重要環節.具體地，該部分工作可分為檢測和遏制2個部分：檢測工作旨在發現僵尸主機、通信活動以及命令控制服務器；而遏制工作則注重利用主動清除的手段將僵尸網絡危害降到最低.

3.1 僵尸網絡檢測

從技術實現角度出發，已知檢測方法通常可劃分為基于蜜罐分析、基于通信特征碼、基于異常、基于日志4類.

3.1.1 基于蜜罐分析檢測

基于蜜罐分析檢測方法首先通過蜜罐誘捕的方法獲取大量惡意代碼樣本，在可控環境中進行監控分析，發現僵尸程序及其惡意行為.代表性的蜜罐包括Argos,Nepen-thes,Sebek等.該方法可發現未知僵尸網絡的行為特征，有助于進一步了解僵尸網絡通信機理及潛在脆弱點；缺點是難以發現通過社工方式傳播的僵尸網絡，難以全面發現其他已感染節點，由于缺乏用戶操作，容易被具有反蜜罐功能的僵尸程序所識別[93].

3.1.2 基于通信特征碼檢測

基于通信特征碼檢測的方法是普遍采用的防御方法，通過事先配置特征匹配規則，諸如Snort等傳統入侵檢測系統可快速、準確發現僵尸網絡活動.該方法適用于具有明確特征的僵尸網絡，缺點是無法檢測特征未知的僵尸網絡，需要持續維護和更新特征碼知識庫，提高了檢測成本.

3.1.3 基于異常檢測

基于異常檢測的方法主要圍繞僵尸網絡引發的異常進行檢測，具體又可分為主機層異常檢測和網絡層異常檢測.

主機層異常檢測通過監控終端行為發現異常，監控內容包括進程、文件、注冊表、網絡連接等行為.Stinson等人[94]假定僵尸程序接收遠程控制命令后其行為與正常進程行為具有差異性，基于該假設提出的BotSwat能通過監控系統調用及其執行參數來識別僵尸程序，該方法具有較高的準確率且與C&C協議無關.

網絡層異常檢測假定僵尸程序與控制服務器之間的通信模式較正常用戶通信具有顯著差異，可通過流量分析來發現僵尸網絡的蹤跡，常見的異常特征包括高網絡延遲、高流量、非常規端口流量等[14].Karasaridis等人[95]提出了一種基于傳輸層流數據的檢測方法，該方法能檢測加密的僵尸網絡通信，同時可以幫助識別僵尸網絡規模和特征；Manos Antonakakis 等人[8]根據Domain-Flux僵尸網絡產生大量NXDomain 流量的特點提出了一種檢測方法，可識別僵尸網絡DGA類型；Gu等人[24]提出的BotMiner首先對數據流按目的地址和端口進行劃分，經過流量屬性聚類和主機異常行為關聯分析后檢測出可疑的僵尸網絡通信，該方法同樣具有協議無關性；Leyla等人[96]提出一種面向NetFlow數據、動態選取特征的高速檢測系統DISCLOSURE，該系統克服了檢測特征固定的脆弱性，在不同應用場景可自適應平衡誤報率和漏報率，每日可檢測十億級規模的流數據.

3.1.4 基于日志檢測

基于日志檢測的方法與基于異常檢測的方法比較相似，但數據源大多來自DNS、郵件等日志記錄.研究人員通過分析日志中的異常來識別可能的僵尸網絡行為.Choi等人[97]通過監測DNS查詢流量的群體活動特性來發現僵尸網絡；基于垃圾郵件內容相似性，Zhuang等人[98]對垃圾郵件進行分組，根據不同分組中發送人IP信息進行進一步分析，識別不同類型的僵尸網絡；假定攻擊者可能使用“同一IP地址短時間內注冊大量郵件賬戶”以及“同一郵件賬號短時間跨AS域發送大量垃圾郵件”，Zhao等人提出了一種基于圖論的關聯分析系統BotGraph[99]，該系統可通過分析郵件服務器中賬號激活及登錄日志來發現垃圾郵件型僵尸網絡.

3.2 僵尸網絡遏制

通過檢測分析掌握了僵尸網絡相關信息后，研究人員需要聯合有關組織和部門、運用技術手段對僵尸網絡傳播和通信進行對抗，該種行為通常稱為遏制(mitigation)，如圖11所示，常見手段包括終端清除、命令控制過程對抗以及命令控制服務器打擊三大類.

Fig. 11 Classification of botnets mitigations.圖11 僵尸網絡遏制方法分類

3.2.1 終端清除

終端清除主要指清除已感染終端的僵尸程序.防御人員可以通過挖掘并利用僵尸程序自身漏洞來實現清除[11]，而更加通用的做法是聯合大型反病毒公司、系統廠商以及互聯網服務提供商(ISP)對感染終端進行定位，幫助用戶進行清理.2014年初，微軟安全部門遠程幫助用戶移除Sefnit僵尸程序以及包含漏洞的Tor客戶端，使得Tor網絡中用戶數量下降了約200萬[100]；Hadi等人[9]利用sinkhole日志數據對過去6年Conficker終端清理效果進行了評估，證明以國家為單位的僵尸網絡打擊方案收效甚微，呼吁各國ISP應當承擔更多監控和清理責任.

3.2.2 命令控制過程對抗

僵尸網絡通信協議在實現過程中可能存在某些脆弱點，比如單點失效問題、控制者身份未識別、命令時效性未校驗等.防御人員利用該類缺陷不僅可干擾和阻斷僵尸網絡的正常命令下發，甚至可以接管其控制權，該類方法統稱為命令控制過程對抗技術.

對于P2P僵尸網絡而言，常用對抗手段包括索引污染、Sybil攻擊以及peer list污染3種.例如，DHT思想的P2P僵尸網絡易受到索引污染和Sybil攻擊，Davis等人[38]利用Sybil攻擊對Storm實施了拒絕服務攻擊；而采用peer list交換路由的P2P僵尸網絡易遭受peer list污染，Waledac僵尸網絡在其自定義的P2P協議中，peer之間交換路由沒有認證機制，遭到了微軟連同學術研究機構對其Repeater節點peer地址表的污染，導致其命令控制信道失效.

對于中心結構僵尸網絡，由于其中心節點失效缺陷，防御人員不僅可以通過IP、域名、URL黑名單的方法阻斷僵尸網絡通信，還可基于sinkhole的思想將C&C域名指向自主可控的資源，實現僵尸網絡的測量或劫持.利用僵尸程序對C&C服務器身份未進行鑒別的缺陷，Stone-Gross等人[28]和Amini等人[101]通過sinkhole的方式成功劫持了基于Domain-Flux協議的Torpig和Kraken僵尸網絡.

3.2.3 命令控制服務器打擊

直接打擊C&C服務器也是常見的對抗手段之一，具體方法包括：1)物理關閉，聯合有關服務提供商直接關停C&C服務器，但攻擊者可通過重新搭建來恢復控制；2)DoS，防御人員可以對僵尸網絡的中心服務器或關鍵節點(比如Fast-Flux中權威域名服務器)進行拒絕服務攻擊[102]，延緩僵尸主機正常獲取指令時間，降低其整體可用性.

4 研究現狀及思考

4.1 已有研究存在的問題

在信道預測方向上，已有工作集中圍繞構建隱蔽或健壯的命令控制信道為主，大多存在實現過程復雜、可用性差的特點，未涉及智能感知和多終端跨平臺管控，難以真正代表未來僵尸網絡的發展趨勢.

在僵尸網絡檢測方向上，以網絡通信流為對象、基于機器學習算法實現的檢測方法是主流研究方向，但已有成果大多存在檢測耗時較長、特征依賴的問題，難以兼顧準確性和性能需求.

在僵尸網絡對抗上，目前存在法律監管、各國間信息共享和機構間協調等非技術難題，需要全球范圍內有關機構和組織進一步重視僵尸網絡問題，形成高效、全面、長期的合作應對機制.

4.2 未來研究方向

綜合上述討論，結合當前僵尸網絡發展態勢，未來僵尸網絡領域的研究重點包括：1)關注海量異構化脆弱終端的發現和滲透技術，研究相應的檢測和防御方法；2)基于終端數據的回收分析，研究智能感知型僵尸網絡管控技術；3)研究僵尸網絡演化與地下黑市中動態的關聯性，從供應鏈的角度提出防治僵尸網絡的方法.

5 總 結

作為傳統惡意代碼的演化形態，僵尸網絡為控制者提供了一種靈活高效的命令控制機制，是實現DDoS、垃圾郵件、信息竊取、點擊欺詐、惡意軟件分發的理想平臺.隨著融合網絡時代的到來，僵尸網絡在感染對象、管控技術、惡意行為方面有了新的變化，這將給未來互聯網安全造成更大的威脅.

本文在全面介紹僵尸網絡機理特性的基礎上，按時間順序將僵尸網絡發展史劃分為PC攻擊和廣泛攻擊2階段，詳細介紹各階段特點和典型案例，總結僵尸網絡發展態勢.對已有檢測和遏制手段進行了歸納分析，小結當今僵尸網絡研究存在的不足，預測未來可能的研究熱點.

考慮到當前互聯網技術更新以及僵尸網絡發展呈現的新趨勢，安全領域研究人員必須加強對僵尸網絡的研究，協同各安全廠商和政府監管部門共同應對日趨嚴峻的威脅.

[1]Fang Binxing, Cui Xiang, Wang Wei. Survey of botnets[J]. Journal of Computer Research and Development, 2011, 48(8): 1315-1331 (in Chinese)(方濱興, 崔翔, 王威. 僵尸網絡綜述[J]. 計算機研究與發展, 2011, 48(8): 1315-1331)

[2]McAfee Communities. McAfee Labs Threat Advisory CTB-Locker. (2015-02-09)[2016-06-14]. https://kc. mcafee. com/resources/sites/MCAFEE/content/live/PRODUCT_DOCU MENTATION/25000/PD25696/en_US/McAfee_Labs_Threat_Advisory-CTB-Locker. pdf

[3]國家應急響應中心. CNCERT互聯網安全威脅報告-2016年3月[EB/OL]. (2016-03-17)[2016-06-14]. http://www.cert.org.cn/publish/main/upload/File/2016monthly03.pdf

[4]Symantec. Internet Security Threat Report 2014[EB/OL]. 2014[2016-06-14]. https://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf

[5]Kaspersky Lab. Statistics on botnet-assisted DDoS attacks in Q1 2015[EB/OL]. 2015[2016-06-14]. https://securelist.com/blog/research/70071/statistics-on-botnet-assisted-ddos-attacks-in-q1-2015

[6]Symantec. Internet Security Threat Report[EB/OL]. 2016[2016-06-14]. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

[7]Nadji Y, Antonakakis M, Perdisci R, et al. Beheading hydras: Performing effective botnet takedowns[C] //Proc of the 2013 ACM SIGSAC Conf on Computer & Communications Security. New York: ACM, 2013: 121-132

[8]Antonakakis M, Perdisci R, Nadji Y, et al. From throw-away traffic to bots: Detecting the rise of DGA-based malware[C] //Proc of the 21st USENIX Security Symp (USENIX Security 12). Berkeley, CA: USENIX Association, 2012: 491-506

[9]Asghari H, Ciere M, Van Eeten M J G. Post-mortem of a zombie: Conficker cleanup after six years[C] //Proc of the 24th USENIX Security Symposium (USENIX Security 15). Berkeley, CA: USENIX Association, 2015

[10]Xie Y, Yu F, Achan K, et al. Spamming botnets: Signatures and characteristics[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(4): 171-182

[11]Dittrich D. So you want to take over a Botnet[C] //Proc of the 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2012

[12]Zhuge Jianwei, Han Xinhui, Zhou Yonglin, et al. Research and development of botnets[J]. Journal of Software, 2008, 19(3): 702-715 (in Chinese)(諸葛建偉, 韓心慧, 周勇林, 等. 僵尸網絡研究[J]. 軟件學報, 2008, 19(3): 702-715)

[13]Jiang Jian, Zhuge Jianwei, Duan Haixin, et al. Research on botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96 (in Chinese)(江健, 諸葛建偉, 段海新, 等. 僵尸網絡機理與防御技術[J]. 軟件學報, 2012, 23(1): 82-96)

[14]Silva S S C, Silva R M P, Pinto R C G, et al. Botnets: A survey[J]. Computer Networks, 2013, 57(2): 378-403

[15]Puri R. Bots & botnet: An overview[R/OL]. Los Angeles: SANS Institute, 2003 [2016-06-01]. https://www.sans.org/reading-room/whitepapers/malicious/bots-botnet-overview-1299

[16]Cui Xiang, Fang Binxing, Yin Lihua, et al. Andbot: Towards advanced mobile botnets[C] //Proc of the 4th USENIX Conf on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2011

[17]BrianKrebs. Botcoin: Bitcoin Mining by Botnet[EB/OL]. (2013-07-18)[2016-06-14]. http://krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet

[18]Goebel J, Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation[C] //Proc of the 1st Conf on Hot Topics in Understanding Botnets. Berkeley, CA: USENIX Association, 2007

[19]Wyke J. The ZeroAccess botnet-Mining and fraud for massive financial gain[R/OL]. Oxford, UK: SophosLabs, 2012 [2016-06-01]. https://www.sophos.com/en-us/threat-center/technical-papers/zeroaccess-botnet.aspx

[20]Baltazar J, Costoya J, Flores R. The real face of koobface: The largest Web 2.0 botnet explained[J]. Trend Micro Research, 2009, 5(9): 10-28

[21]Grizzard B, Sharma V, Nunnery C, et al. Peer-to-peer botnets: Overview and case study[C] //Proc of the 1st Conf on Workshop on Hot Topics in Understanding Botnets. Berkeley, CA: USENIX Association, 2007

[22]Gu L. Prototype Nation: The Chinese Cybercriminal Underground in 2015[EB/OL]. (2015-11-23)[2016-06-14]. https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-prototype-nation.pdf

[23]Sood A K, Enbody R J, Bansal R. Dissecting SpyEye-Understanding the design of third generation botnets[J]. Computer Networks, 2013, 57(2): 436-450

[24]Gu G, Perdisci R, Zhang J, et al. BotMiner: Clustering analysis of network traffic for protocol-and structure-independent botnet detection[C] //Proc of USENIX Security Symp. Berkeley, CA: USENIX Association, 2008: 139-154

[25]Dagon D, Gu G, Lee C P, et al. A taxonomy of botnet structures[C] //Proc of the 23rd Annual Computer Security Applications Conf (ACSAC 2007). Piscataway, NJ: IEEE, 2007: 325-339

[26]Cooke E, Jahanian F, McPherson D. The zombie roundup: Understanding, detecting, and disrupting botnets[C] //Proc of the USENIX SRUTI Workshop 2005. Berkeley, CA: USENIX Association, 2005

[27]Liu L, Chen S, Yan G, et al. Bottracer: Execution-based bot-like malware detection[G] //Information Security. Berlin: Springer, 2008: 97-113

[28]Stone-Gross B, Cova M, Cavallaro L, et al. Your botnet is my botnet: Analysis of a botnet takeover[C] //Proc of the 16th ACM Conf on Computer and Communications Security. New York: ACM, 2009: 635-647

[29]Zhang L, Yu S, Wu D, et al. A survey on latest botnet attack and defense[C] //Proc of the 10th IEEE Int Conf on Trust, Security and Privacy in Computing and Communications. Piscatawary, NJ: IEEE, 2011: 53-60

[30]Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection[C] //Proc of the 3rd Int Conf on Emerging Security Information, Systems and Technologies. Piscatawary, NJ: IEEE, 2009: 268-273

[31]Riden J. Know your Enemy: Fast-Flux service networks[R/OL]. Ann Arbor, MI: The Honeynet Project, 2008 [2016-06-01]. http://www.honeynet.org/book/export/html/130

[32]Nazario J, Holz T. As the net churns: Fast-Flux botnet observations[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software. Piscatawary, NJ: IEEE, 2008: 24-31

[33]Mahmoud M, Nir M, Matrawy A. A survey on botnet architectures, detection and defences[J]. International Journal of Network Security, 2015, 17(3): 272-289

[34]Holz T, Gorecki C, Rieck K, et al. Measuring and detecting Fast-Flux service networks[C/OL] //Proc of the 2008 Network and Distributed System Security Conf. 2008.[2016-06-11]. http://ei.rub.de/media/emma/veroeffentlichungen/2012/08/07/FastFlux-NDSS08.pdf

[35]Holz T, Steiner M, Dahl F, et al. Measurements and mitigation of peer-to-peer-based botnets: A case study on storm worm[C] //Proc of the 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET’08). Berkeley, CA: USENIX Association, 2008

[36]Liang J, Naoumov N, Ross K W. The index poisoning attack in P2P file sharing systems[C] //Proc of the IEEE INFOCOM 2006. Piscataway, NJ: IEEE, 2006: 1-12

[37]Wang P, Wu L, Aslam B, et al. A systematic study on peer-to-peer botnets[C] //Proc of the 18th Int Conf on Computer Communications and Networks (ICCCN 2009). Piscatawary, NJ: IEEE, 2009: 1-8

[38]Davis C R, Fernandez J M, Neville S, et al. Sybil attacks as a mitigation strategy against the storm botnet[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software (MALWARE 2008). Piscatawary, NJ: IEEE, 2008: 32-40

[39]Dittrich D, Dietrich S. P2P as botnet command and control: A deeper insight[C] //Proc of the 3rd Int Conf on Malicious and Unwanted Software (MALWARE 2008). Piscatawary, NJ: IEEE, 2008: 41-48

[40]Pointer R. EggHeads.org-eggdrop development[EB/OL]. 1993 [2016-06-14]. http://dumbledore.hubpages.com

[41]Macesanu G, Codas T T, Suliman C, et al. Development of GTBoT, a high performance and modular indoor robot[C] //Proc of the 2010 IEEE Int Conf on Automation Quality and Testing Robotics (AQTR). Piscatawary, NJ: IEEE, 2010

[42]Micro T. Worm SDBot[EB/OL]. 2003[2016-06-14]. http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=WORMSDBOT.AZ

[43]Micro T. Worm AgoBot[EB/OL]. 2004[2016-06-14]. http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=WORMAGOBOT.XE

[44]Symantec. Spybot worm[EB/OL]. 2003[2016-06-14]. http://www.symantec.com/securityresponse/writeup.jsp?docid=2003-053013-5943-99

[45]Ramachandran A, Feamster N. Understanding the network-level behavior of spammers[C] //Proc of the 2006 Conf on Applications, Technologies, Architectures and Protocols for Computer Communications. New York: ACM, 2006: 291-302

[46]Binsalleeh H, Ormerod T, Boukhtouta A, et al. On the analysis of the zeus botnet crimeware toolkit[C] //Proc of the 8th Annual Int Conf on Privacy Security and Trust (PST). Piscatawary, NJ: IEEE, 2010: 31-38

[47]Stock B, Engelberth M, Freiling F C, et al. Walowdac analysis of a peer-to-peer botnet[C] //Proc of the 2009 European Conf on Computer Network Defense. Los Alamitos, CA: IEEE Computer Society, 2009: 13-20

[48]Wang P, Sparks S, Zou C C. An advanced hybrid peer-to-peer botnet[J]. IEEE Trans on Dependable and Secure Computing, 2010, 7(2): 113-127

[49]Vogt R, Aycock J, Jacobson M J. Army of botnets[C/OL] //Proc of the 2008 Network and Distributed System Security Conf. 2007[2016-06-11]. http://www.internetsociety.org/sites/default/files/Army%20of%20Botnets%20(Ryan%20Vogt).pdf

[50]Hund R, Hamann M, Holz T. Towards next-generation botnets[C] //Proc of the European Conf on Computer Network Defense (EC2ND 2008). Piscatawary, NJ: IEEE, 2008: 33-40

[51]Blueliv. Chasing cybercrime: Network insights of dyre and dridex trojan bankers[EB/OL]. (2015-04-22)[2016-06-14]. https://www.blueliv.com/downloads/documentation/reports/Network_insights_of_Dyre_and_Dridex_Trojan_bankers.pdf

[52]Rodionov E, Matrosov A. The evolution of tdl: Conquering x64[EB/OL]. 2011 [2016-06-11]. http://www.welivesecurity.com/media_files/white-papers/The_Evolution_of_TDL.pdf

[53]abuse.ch. Zeus gets more sophisticated using P2P techniques[EB/OL]. (2011-10-10)[2016-06-14]. http://www.abuse.ch/?p=3499

[54]Casenove M, Miraglia A. Botnet over Tor: The illusion of hiding[C] //Proc of the 6th Int Conf On Cyber Conflict (CyCon 2014). Piscatawary, NJ: IEEE, 2014: 273-282

[55]Klijnsma Y. Large botnet cause of recent Tor network overload[EB/OL]. (2013-09-05) [2016-06-14]. https://blog.fox-it.com/2013/09/05/large-botnet-cause-of-recent-tor-network-overload

[56]Nex. Skynet, a Tor-powered botnet straight from Reddit[EB/OL]. (2012-12-03)[2016-06-14]. https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit

[57]Dontnc M. Guess who’s back again? Cryptowall 3.0[EB/OL]. (2015-01-13)[2016-06-14]. http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html

[58]Kartaltepe E J, Morales J A, Xu S, et al. Social network-based botnet command-and-control: Emerging threats and countermeasures[C] //Proc of the Applied Cryptography and Network Security. Berlin: Springer, 2010: 511-528

[59]Boshmaf Y, Muslukhov I, Beznosov K, et al. Design and analysis of a social botnet[J]. Computer Networks, 2013, 57(2): 556-578

[60]Goodin D. Zeus bot found using amazon’s ec2 as c and c server[EB/OL]. (2009-12-09)[2016-06-14]. http://www.theregister.co.uk/2009/12/09/amazon ec2 bot control channel

[61]Prince B. Flashback botnet updated to include twitter as C&C[EB/OL]. (2012-04-30)[2016-06-14]. http://www.securityweek.com/flashback-botnet-updated-include-twitter-cc

[62]Ragan R, Salazar O. Cloudbots: Harvesting crypto coins like a botnet farmer[EB/OL]. 2014[2016-06-14]. https://www.syscan360.org/slides/2014_EN_CloudBots_RobRaganOscar Salazar.pdf

[63]Higgins K J. Smartphone weather app builds a mobile botnet[EB/OL]. (2010-03-05)[2016-06-14]. http://www.darkreading.com/risk/smartphone-weather-app-builds-a-mobile-botnet/d/d-id/1133138

[64]Boshmaf Y, Muslukhov I, Beznosov K, et al. The socialbot network: When bots socialize for fame and money[C] //Proc of the 27th Annual Computer Security Applications Conf. New York: ACM, 2011: 93-102

[65]Boshmaf Y, Muslukhov I, Beznosov K, et al. Key challenges in defending against malicious socialbots[C] //Proc of the 5th USENIX Conf on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2012: 12-12

[66]Xu K, Butler P, Saha S, et al. DNS for massive-scale command and control[J]. IEEE Trans on Dependable and Secure Computing, 2013, 10(3): 143-153

[67]Nappa A, Fattori A, Balduzzi M, et al. Take a deep breath: A stealthy, resilient and cost-effective botnet using skype[C] //Proc of the Int Conf on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2010: 81-100

[68]Lee S, Kim J. Fluxing botnet command and control channels with URL shortening services[J]. Computer Communications, 2013, 36(3): 320-332

[69]Nagaraja S, Houmansadr A, Piyawongwisal P, et al. Stegobot: A covert social network botnet[C] //Proc of the 13th Int Conf on Information Hiding. Berlin: Springer, 2011: 299-313

[70]Cui Xiang, Fang Binxing, Shi Jinqiao, et al. Botnet triple-channel model: Towards resilient and efficient bidirectional communication botnets[C] //Proc of the 9th Int Conf on Security and Privacy in Communication Networks. Berlin: Springer, 2013: 53-68

[71]Proofpoint. Proofpoint uncovers Internet of things (IoT) cyberattack[EB/OL]. (2014-01-16)[2016-06-14]. https://www. proofpoint. com/us/proofpoint-uncovers-internet-things-iot-cyberattack

[72]Rights RF. Analyzing a backdoor/bot for the MIPS platform[EB/OL]. 2015[2016-06-14]. http://www.sans.org/reading-room/whitepapers/malicious/analyzing-backdoor-bot-mips-platform-35902

[73]Saarinen J. First Shellshock botnet attacks Akamai, US DoD networks[EB/OL]. (2014-09-26)[2016-06-14]. http://www.itnews.com.au/news/first-shellshock-botnet-attacks-akamai-us-dod-networks-396197

[74]Wyatt T. Security alert: Geinimi, sophisticated new Android Trojan found in wild[EB/OL]. (2010-09-29)[2016-06-14]. https://blog. lookout. com/blog/2010/12/29/geinimi_trojan

[75]Bilodeau O, Dupuy T. Dissecting Linux/Moose[EB/OL]. 2015[2016-06-14]. http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

[76]Botnet C. Internet census 2012[EB/OL]. 2012[2016-06-14]. http://internetcensus2012.bitbucket.org/paper.html

[77]Ullrich J. More Device Malware: This is why your DVR attacked my Synology Disk Station (and now with Bitcoin Miner!)[EB/OL]. 2014[2016-06-14]. https://isc.sans.edu/forums/diary/More+Device+Malware+This+is+why+your+DVR+attacked+my+Synology+Disk+Station+and+now+with+Bitcoin+Miner/17879

[78]Mulliner C, SeifertIn J.P. Rise of the iBots: Owning a telco network[C] //Proc of the 5th IEEE Int Conf on Malicious and Unwanted Software (Malware) Nancy. Piscataway, NJ: IEEE, 2010: 71-80

[79]Zeng Y, Shin K G, Hu X. Design of SMS commanded-and-controlled and P2P-structured mobile botnets[C] //Proc of the 5th ACM Conf on Security and Privacy in Wireless and Mobile Networks. New York: ACM, 2012: 137-148

[80]Singh K, Sangal S, Jain N, et al. Evaluating bluetooth as a medium for botnet command and control[C] //Proc of the Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2010: 61-80

[81]Zhao S, Lee P, Lui J, et al. Cloud-based push-styled mobile botnets: A case study of exploiting the cloud to device messaging service[C] //Proc of the 28th Annual Computer Security Applications Conf. New York: ACM, 2012: 119-128

[82]Nicolas F, Liam O, Eric C. W32. Stuxnet Dossier[EB/OL]. 2011 [2016-06-10]. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[83]Bencsáth B, Buttyán L, Félegyházi M, et al. sKyWIper (aka Flame aka Flamer): A complex malware for targeted attacks[EB/OL]. (2012-05-29)[2014-06-10]. https://www.crysys.hu/skywiper/skywiper.pdf

[84]Chien E, OMurchu L, Falliere N. W32. Duqu: The precursor to the next stuxnet[C/OL] //Proc of the 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET). Berkeley, CA: USENIX Association, 2012 [2016-06-01]. https://www.usenix.org/system/files/conference/leet12/leet12-final11.pdf

[85]GReAT. “Red October” diplomatic cyber attacks investigation[EB/OL]. (2013-01-14)[2016-06-14]. https://securelist.com/analysis/publications/36740/red-october-diplomatic-cyber-attacks-investigation/#11

[86]Global Research and Analysis Team. The darkhotel APT a story of unusual hospitality[EB/OL]. 2014[2016-06-14]. https://securelist.com/files/2014/11/darkhotel_kl_07.11.pdf

[87]GData. Uroburos highly complex espionage software with Russian roots[EB/OL]. 2014[2016-06-14]. https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

[88]Bencsáth B, Pék G, Buttyán L, et al. Duqu: Analysis, detection, and lessons learned[C/OL] //Proc of the ACM European Workshop on System Security (EuroSec). New York: ACM, 2012. [2016-06-11]. http://ns2.humantech.dc.hu/publications/files/BencsathPBF12eurosec.pdf

[89]Kaspersky Lab. The DUQU 2. 0 - Securelist.[EB/OL]. (2015-06-11)[2016-06-14]. https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

[90]FireEye. HAMMERTOSS: Stealthy tactics define a Russian cyber threat group[EB/OL]. 2015[2016-06-14]. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hamm ertoss.pdf

[91]Hultquist J. Sandworm team and the ukrainian power authority attacks[EB/OL]. (2016-01-07) [2016-06-14]. https://www.isightpartners.com/2016/01/ukraine-and-sand worm-team

[92]Tanas S. Satellite Turla: APT command and control in the sky[EB/OL]. (2015-09-09)[2016-06-14]. https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky

[93]Wang Ping, Wu Lei, Cunningham R, et al. Honeypot detection in advanced botnet attacks[J]. International Journal of Information and Computer Security, 2010, 4(1): 30-51

[94]Stinson E, Mitchell J C. Characterizing bots’ remote control behavior[M] //Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2007: 89-108

[95]Karasaridis A, Rexroad B, Hoeflin D A. Wide-scale botnet detection and characterization[J]. HotBots, 2007, 7: 7-7

[96]Bilge L, Balzarotti D, Robertson W, et al. Disclosure: Detecting botnet command and control servers through large-scale netflow analysis[C] //Proc of the 28th Annual Computer Security Applications Conf. New York: ACM, 2012: 129-138

[97]Choi H, Lee H, Lee H, et al. Botnet detection by monitoring group activities in DNS traffic[C] //Proc of the 7th IEEE Int Conf on Computer and Information Technology (CIT 2007). Piscatawary, NJ: IEEE, 2007: 715-720

[98]Zhuang L, Dunagan J, Simon D R, et al. Characterizing botnets from email spam records[C] //Proc of the 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats. Berkeley, CA: USENIX Association, 2008

[99]Zhao Yao, Xie Yinglian, Yu Fang, et al. BotGraph: Large scale spamming botnet detection[C] //Proc of the 6th USENIX Symp on Networked Systems Design and Implementation. Berkeley, CA: USENIX Association, 2009: 321-334

[100]MSRT. Tackling the Sefnit botnet Tor hazard[EB/OL]. (2014-01-09)[2016-06-14]. https://blogs.technet.microsoft.com/mmpc/2014/01/09/tackling-the-sefnit-botnet-tor-hazard

[101]Amini P, Pierce C. Kraken botnet infiltration[EB/OL]. (2008-04-28)[2016-06-10]. http://dvlabs.tippingpoint.com/blog/2008/04/28/kraken-botnet-infiltration

[102]Leder F, Werner T, Martini P. Proactive Botnet countermeasures-an offensive approach[EB/OL]. 2009 [2016-06-10]. http://www.ccdcoe.org/publications/virtualbattlefield/15_LEDER_Proactive_Coutnermeasures.pdf

Li Ke, born in 1988. PhD candidate. His main research interests include information security and machine learning.

Fang Binxing, born in 1960. PhD, professor, PhD supervisor. Member of Chinese Academy of Engineering, fellow member of China Computer Federation. His main research interests include computer architecture, computer network and information security.

Cui Xiang, born in 1978. PhD, professor, PhD supervisor. His main research interests include information security (cuixiang@iie. ac. cn).

Liu Qixu, born in 1984. PhD. Associate professor, master supervisor. His main research interests include network and information security (liuqixu@iie. ac. cn)

Study of Botnets Trends

Li Ke1,2, Fang Binxing1,4, Cui Xiang1,2,3, Liu Qixu2,3

1(BeijingUniversityofPostsandTelecommunications,Beijing, 100876)2(InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing, 100097)3(UniversityofChineseAcademyofSciences,Beijing, 101408)4(InstituteofElectronicandInformationEngineering,DongguanUniversityofElectronicScienceandTechnologyofChina,Dongguan,Guangdong, 523808)

Botnets, as one of the most effective platforms to launch cyber-attacks, pose great threats to the security of today’s cyber-space. Despite the fact that remarkable progress had been made in the researches of botnets’ both attack and defense technologies in recent years, the forms and command and control mechanisms of botnets, however, as Internet applications are put into a wider variety of uses and communication technologies upgraded more rapidly than ever, are also undergoing constant changes, bringing new challenges to defenders. For this reason, an in-depth investigation of botnets’ working mechanisms and development is of great significance to deal with the threats posed by botnets. This paper, with the attack technologies of botnets as its main focus, gives an comprehensive introduction of the working mechanisms of botnets in terms of its definition, transmission, lifecycle, malicious behaviors and command and control channels, and divides the botnets’ development into two stages, namely, attacks to traditional PC and extensive attacks, with the technological features, behavioral characteristics, case studies and evolutionary patterns of each stage elaborated in a detailed manner. After a summary of existing work on the defense of botnets with the limitations of each approach discussed, possible future attempts are presented.

botnet; command and control channel (C&C channel); countermeasure; value-added network attack; survey

2016-06-14；

2016-08-11

國家自然科學基金項目(61303239)；廣東省產學研合作項目“廣東省健康云安全院士工作站”(2016B090921001)

TP393

This work was supported by the National Natural Science Foundation of China (61303239) and the Industry-University-Research Cooperation Project of Guangdong Province (2016B090921001).