通用僵尸網絡實驗平臺設計

李大偉

(南京工程學院 計算機工程學院,南京 211167)

0 概述

作為當前網絡空間中廣泛存在的一種安全威脅,僵尸網絡已成為信息安全領域研究者關注的熱點。在僵尸網絡中,攻擊者通過一對多的命令與控制(C&C)信道控制大量傀儡主機組成攻擊網絡。受控主機搭載不同的惡意程序可迅速形成分布式攻擊平臺,給網絡空間安全帶來極大威脅[1-3]。

現有對僵尸網絡的研究主要包括特征分析和逆向工程2種方式,在研究過程中都需要互聯網作為支撐環境[4-6]。例如,德國蜜網項目通過部署第二代蜜網來捕獲互聯網中的僵尸程序[7]。但是,環境的不可控性使研究結果產生隨機誤差,從而無法對實驗現象進行重現和驗證,即難以進行有針對性的僵尸網絡研究。因此,構建真實可控的僵尸網絡實驗平臺具有重要意義。

近年來,僵尸網絡借助移動通信技術、社交網絡、云計算、信息加密等先進技術,在形態、協議、攻擊原理等方面都發生了變化,出現了如P2P僵尸網絡、移動僵尸網絡、云計算僵尸網絡、工業控制僵尸網絡、IoT僵尸網絡(或稱物聯網僵尸網絡)等形態多樣、協議隱蔽、攻擊手段專業的新型僵尸網絡,這加大了研究者對僵尸網絡檢測和反制的難度。

互聯網屬于不可信、不可控的開放式環境,在其中開展僵尸網絡研究具有過程不可逆、節點不能擴展、威脅無法隔離等弊端[8-9]。實驗過程可能受人為、異常甚至巧合等因素影響,導致研究者無法對僵尸網絡行為進行精確的判斷和預測,且難以在有限時間內得到統計規律顯著的實驗結果。此外,開放式環境下的實驗無法復現,且難以設計場景和參數,可能導致得出不一致甚至完全相反的結論。

為解決上述問題,有學者采用Opnet、Omnet等仿真系統來研究僵尸網絡[10-11],但其仿真方式難以真實表達傳輸特征和行為模型。為提高環境的真實性,有學者采用通用網絡實驗床進行僵尸網絡仿真。例如,文獻[12]在DETER(http://www.isi.deterlab.net/)上對僵尸網絡的拓撲構建和控制行為模式進行仿真,文獻[13]在Emulab(http://www.emulab.net/)上對僵尸主機鏡像進行部署,實現僵尸網絡評估環境(Botnet Evaluation Environment,BEE)實驗插件,通過創建僵尸程序鏡像文件庫、部署DHCP、DynDNS、IRC等支撐服務以及安全控制策略,構建安全隔離環境下僵尸網絡的高逼真度實驗與評估環境。然而,基于通用網絡實驗床進行僵尸網絡研究缺少實驗手段支撐,難以對仿真僵尸網絡攻擊行為、僵尸網絡C&C協議進行細粒度的建模,導致其結果無法真實反映研究成果的效度和信度。

通用僵尸網絡實驗平臺是一個既滿足規模要求又貼近真實環境并且可控、可配置的實驗環境,通過跟蹤、分析、重現僵尸網絡傳播和攻擊過程,有助于分析其運行機制并制定反制策略,也能夠為攻防演練的開展提供實戰平臺。本文在分析實際需求的基礎上,從環境構建、行為仿真和流量合成等角度,研究并提出一種通用僵尸網絡實驗平臺的設計方法和實現機制,最后通過仿真驗證該實驗平臺的有效性。

1 設計原則

僵尸網絡實驗環境在實驗室條件下模擬大規模僵尸網絡傳播、控制、攻擊過程,通過靈活的實驗任務設計和參數設置,在可控環境下能夠再現僵尸網絡的產生、發展、升級、防御等要素,支撐其特征建模、對比、識別、跟蹤、瓦解和反制等新手段研究以及新工具的實驗驗證。僵尸網絡實驗環境的設計目標是在安全可控的環境下開展高逼真度、可重復性的僵尸網絡實驗,實驗要素具體如下:

1)在可控環境下的有效實驗。相對于互聯網環境的不可控性,實驗室環境下的僵尸網絡研究應具有控制實驗進展的能力。例如,可以設置病毒感染的初始時間,設定事件觸發傳播進程,控制感染范圍,從而利于統計。同時,可控性不會影響實驗的有效性。例如,控制流量不會對實驗流量產生干擾,僵尸程序不會受限運行等。

2)安全可控和良好的隔離性。僵尸網絡及其攜帶的惡意代碼具有不可預知的安全風險,因此,實驗環境需從硬件、網絡、安防設置等方面進行設計,實現實驗場景與基礎設施以及實驗場景與外部網絡的安全隔離,使其具備安全開展高風險實驗的能力。

3)支持回放、場景復現和重復實驗。實驗環境支持過程記錄、環境恢復和場景復現能力,實現不同網絡場景、參數設置、僵尸類型的回放和重復性對比實驗,以便在有限時間內體現僵尸網絡行為的統計規律。

4)可靈活配置實驗場景參數。可為已知和未知的不同類型僵尸網絡提供運行環境支撐,可靈活配置僵尸網絡規模、拓撲等參數,支持面向研究任務的實驗場景自定義和自配置,提高實驗場景的逼真度。

2 系統設計與實現

2.1 系統框架

僵尸網絡實驗系統由場景設定、執行引擎、實驗控制、實驗分析和數據庫等部分組成。系統以執行引擎為核心,涵蓋實驗設置、控制、分析和背景流量加載等功能組件。僵尸網絡實驗系統邏輯關系如圖1所示。

圖1 僵尸網絡仿真平臺體系框架

場景設定組件負責對僵尸網絡實驗任務、基礎環境、實驗場景進行描述和設定。首先,系統通過對實驗任務的解析生成僵尸網絡基礎運行環境的配置文件、依賴服務列表和部署方案,提交給執行引擎進行環境構建;然后,通過向目標環境中加載僵尸網絡鏡像、復現僵尸牧主C&C控制行為以及加載傳播模型,完成僵尸網絡實驗場景設定和組網模式、交互模型、攻擊行為、協議特征等仿真實現。

實驗執行引擎由虛擬化資源平臺和控制平臺組成。虛擬化資源平臺包括寄居架構和裸金屬架構虛擬機監控器(VMM或hypervisor)以及虛擬化網絡仿真器,分別實現不同類型的僵尸節點和大規模網絡的仿真;控制平臺負責實現安全性、網絡連通性、日志維護和信息采集等功能。

實驗控制組件以系統管理的視角實現對僵尸網絡的宏觀控制,包括:資源使用情況監控,實驗過程數據受控交換,并發實驗間的安全隔離,實驗過程回放,實驗參數重設,數據采集存儲以及各種數據庫、知識庫的更新和維護等。

實驗分析組件對實驗過程和數據進行分析,通過模型配置接口、編程接口,結合僵尸網絡特征庫,加載C&C信道分析、傳播和攻擊行為分析、網絡流量分析等分析模型和算法,對實驗結果進行評判。

數據庫組件包括僵尸樣本庫、日志數據庫、安全規則庫和背景流量合成器,分別實現僵尸樣本檢索和提取、實驗日志記錄、安全策略下發、背景流量加載等功能。其中,背景流量合成器將從真實網絡監聽到的數據集映射為實驗場景的真實數據包并釋放,為僵尸網絡檢測和反制實驗提供支撐。

2.2 關鍵技術與實現機制

為在實驗室條件下高逼真復現大規模僵尸網絡的運行特征,僵尸網絡實驗平臺應用多分辨率虛擬化技術構建系統運行的基礎環境。在此基礎上,通過C&C協議仿真和傳播行為仿真方法復現僵尸控制者的屬性特征和傳播行為,通過真實數據集重放方法進行背景流量生成。

定義僵尸網絡Botnet={BOTs,CP,CMD},各元素含義如下:

1)BOTs為僵尸主機節點(也稱肉機)集合,表示在實驗環境中被感染的節點,BOTs={BotType,Dep_info},其中,BotType∈{Repeater,Spammer}表示僵尸節點的類型,包括中繼節點(Repeater)和執行節點(Spammer),Dep_info表示僵尸節點的部署信息,包括所在節點信息、通信端口信息等。

2)CP={BotMaster,C&C,Trans-type}表示僵尸網絡C&C控制協議的實現機制,其刻畫僵尸網絡的控制結構、控制信道和路徑、控制層級等特征。其中,BotMaster為僵尸網絡控制者特征描述,用于仿真模型構建,C&C描述控制信道特征,用于控制信道復現,Trans-type為傳播行為和傳播方式特征,用于構建傳播行為仿真模型。

3)CMD={Command,Action}表示僵尸網絡運行的指令集合及其響應方式,具體為指令內容(Command)和觸發動作(Action)。

2.2.1 基礎運行環境虛擬化構建

基礎運行環境采用統一網絡地址空間下的多粒度虛擬化技術集成構建,構建要素為節點和網絡鏈路。其中,僵尸主機、服務節點和終端采用全虛擬化方式構建,通過鏡像增量加載方式實現不同類型的僵尸網絡節點;網絡節點通過基于操作系統容器的輕量級虛擬化技術進行大規模快速生成。所有節點通過橋接到虛擬交換機的方式實現與通信網絡的互聯。

由于虛擬化技術具有資源可重用、軟件可定義、跨平臺等特征,目標僵尸網絡的構建也具有規模性、定制性和通用性特征,具體如下:

1)節點大規模部署

僵尸網絡節點包含僵尸主機BOTs、服務節點、終端節點、通信網絡等要素。根據實驗目標和服務器配置不同,綜合利用多種粒度虛擬化機制實現僵尸網絡的構建,在計算資源限定的前提下實現逼真度和節點規模的統一。根據不同節點類型選擇不同部署模式,特別地,對于需要高密度部署的通信網絡,采用基于名稱空間的容器級虛擬化技術進行構建。

令Node={Type,Produce,Host}表示虛擬化節點集合。其中,Type表示節點功能或類型,包括BOTs、服務節點(Server)、終端節點(Terminal)、通信網絡節點(Communication)4種,Produce={Full-v,Container}表示資源產生方式,包括全虛擬化、容器級虛擬化2種類型,Host表示資源部署主機和接口。Net={Top,Para}表示僵尸網絡運行所需的網絡環境,其中,Top表示網絡拓撲,描述僵尸網絡的鏈路關系,Para表示網絡協議、帶寬等參數。

綜上,僵尸網絡實驗環境可表示為:

Bot_sim(bot)+Host_vir(node)+

net_sim(subnet)

僵尸網絡運行環境可轉化為Bot_sim(bot)、Host_vir(node)、net_sim(subnet)3個基本系統調用,分別實現僵尸網絡節點、目標網絡主機和終端、承載通信網絡的虛擬化構建。其中,net_sim(subnet)通過對拓撲關系和鏈路特征的配置,基于僵尸樣本庫實現被試僵尸網絡C&C信道特征復現。

節點部署規模與虛擬機制和平臺的硬件配置有關。對于云計算系統來說,密度指單個物理服務器一次可以運行的對象數量,因此,可以用部署密度來表示僵尸網絡的部署規模。

對于非網絡節點,采用全虛擬化方式構建,每個節點運行一個完整的操作系統。在配置節點的虛擬機時,就分配獨立的計算、存儲和內存資源。在內存空間足夠的情況下,節點的部署密度與CPU核心數量和主頻成線性正比關系。服務器硬件能力不同,支持的僵尸網絡節點密度就不同。相同系列但不同型號的CPU,主要區別在于核數和主頻。從測試經驗來看,VM密度與CPU性能基本呈線性關系,因此,可以通過已知類型的特定CPU的能力估算基于目標類型的CPU的部署密度。CPU性能衡量標準推薦使用業界標準組織SPEC(www.spec.org)推出的CINT2006rate指標,其測算公式如下 :

(1-α)×C

其中,density_TypeB、density_TypeA分別表示使用類型B(目標類型)和類型A(已知類型)CPU的服務器中節點部署密度,CINT2006(·)表示性能指標參數,α表示性能冗余參數,取值一般在10%左右,C為CPU核數。

對于網絡節點,由于其功能相對單一,采用容器級虛擬化技術,虛擬機共享宿主操作系統內核而不必維護完整的操作系統,從而避免過多物理服務器資源用于操作系統的開銷。容器無需通過在內部創建客戶機操作系統來復制主機操作系統的功能,能夠更高效和動態地使用主機的資源。當放置在一個容器或服務上的需求減少時,它所消耗的資源將被釋放以供其他服務使用。因此,網絡節點可以大規模、高密度地部署。由于網絡鏈路數量能更好地描述網絡規模,因此網絡的部署密度與網絡連接數有關,該密度正比于單位時間(1 s)內CPU處理的指令總數IMPS(單位為百萬)。網絡的部署密度計算公式如下:

其中,d為網絡中節點的平均連接度數,n為單位時間內CPU處理的數據報數量(包括接收存儲和轉發所需的指令數)。

2)實驗對象配置

根據節點的不同實現形式,有不同的配置方法和配置項。對于全虛擬化實現的節點,在實驗部署過程中采用鏡像加載和操作系統配置的方法實現配置,配置項包括CPU核心數量、內存空間、硬盤空間、網絡適配器數量和性能,通過配置實現不同類型的僵尸節點、依賴服務和目標業務終端。其中,虛擬磁盤的配置包含密集配置延遲置零、密集配置快速歸零和精簡配置3種配置項。

節點配置過程如圖2所示。首先節點由虛擬化控制平臺開機啟動,然后平臺將配置腳本從文件系統復制到指定目錄并激活運行,同時記錄日志并返回到配置控制臺,最終完成配置。

圖2 節點配置過程

對于網絡節點,由于共享了宿主機的系統資源,其僅需配置上層協議,通過平臺傳入配置腳本并運行,完成路由協議、鏈路帶寬、傳輸時延等的配置。

2.2.2 僵尸網絡傳播行為仿真加載

不同于真實互聯網環境,在僵尸網絡仿真環境中無法從微觀上體現用戶通過點擊釣魚鏈接、下載第三方軟件等行為導致的病毒感染。因此,在僵尸網絡仿真環境中，病毒傳播行為的復現需要依據僵尸網絡傳播模型,模擬終端主機的動態演化過程,并通過僵尸代碼動態注入加載,從而實現與真實環境等同的傳播效果。

僵尸網絡傳播模型研究多數基于經典SIS(Susceptible-Infected-Susceptible)系統動力學模型[14],基于此模型,目標環境中的節點狀態可分為易感染狀態S(Susceptible)和感染狀態I(Infected),單位時間內節點從易感染狀態轉化為感染狀態與S和I的數量呈雙線性關系。

令N(t)為t時刻系統中的主機數,S(t)為t時刻易感染主機數,I(t)為t時刻感染主機數,R(t)為免疫主機數,β為感染比率,δ為免疫比率。則僵尸網絡傳播模型的微分方程為:

在實驗過程中,根據前期掌握的特定僵尸網絡的統計數據,確定感染率、免疫率等參數。通過求解上述微分方程,得到僵尸網絡隨時間變化的傳播規律。對應此規律,動態對目標環境注入僵尸代碼并觸發運行,從而達到模擬僵尸網絡傳播的目的,該過程如圖3所示。

圖3 僵尸網絡傳播仿真原理

在圖3中,傳播仿真驅動根據模型輸出的傳播規律函數,在t到Δt時間內動態隨機選擇滿足條件的節點,通過自動配置工具生成自動化感染指令腳本,基于執行引擎的系統調用,動態地將僵尸代碼注入目標節點,實現僵尸主機節點生成和傳播仿真。

2.2.3 數據集加載與流量合成

數據集加載是將在真實互聯網骨干節點抓取的真實流量數據集重放到僵尸網絡仿真實驗環境中,形成背景流量,以彌補實驗環境缺乏真實用戶的弊端,提高實驗效果的真實性。流量合成是通過協議仿真器仿真特定協議,以一定比例和頻率加入到背景流量中,從而增加公開數據集特定協議的比重,便于開展有針對性的僵尸網絡檢測和反制研究。數據集加載與流量合成具體實現原理如圖4所示。

圖4 數據集加載與流量合成原理

數據集處理過程分為數據轉換和流量合成2個部分。數據轉換將從公網抓取的數據包進行本地化轉換,形成本地系統可以識別的數據集,主要有IP地址映射、噪聲過濾和協議補全3個過程。數據轉換過程采用類似tcpreplay的pcap包重放工具,對報文進行修改,主要修改內容為TCP/IP協議2層、3層、4層報文頭,通過控制cache設置重放速度。數據集中的噪聲數據主要由無關協議和廣播組播報文組成,通過協議過濾器進行篩選和過濾,對于數據傳輸過程中不完整的協議報文,如握手協議丟失的報文,根據會話上下文進行補全。

流量合成根據實驗需要,生成指定協議的仿真數據。通過基于iperf的協議生成器生成HTTP、FTP、UPD、P2P等協議流量,并合成到重放流量中。合成過程通過指定相同網絡名稱空間(地址:實體)的數據包實現。

3 仿真驗證

本節通過構建2個僵尸網絡場景來驗證本文僵尸網絡實驗平臺的有效性。

場景1P2P僵尸網絡識別實驗

P2P僵尸網絡中所有的僵尸主機都互相聯通,形成一個相對分散的網絡環境。僵尸網絡控制者使用非對稱加密算法對控制指令進行簽名,每個節點都維護一個IP列表,在某個節點失效時,其作用能夠輕易轉移到另一個節點上,從而具有較強的抗毀性。本場景通過平臺配置生成P2P僵尸網絡控制者和節點,編碼實現控制者和節點間的C&C協議。同時,場景中還部署基于P2P的文件傳輸作為背景流量。

場景2IoT僵尸網絡DDoS攻擊模擬實驗

近年來,隨著物聯網的興起,對于使用ARM、MIPS和PPC等CPU架構并基于Telnet的物聯網僵尸網絡攻擊大幅增加。IoT僵尸網絡控制者通過掌握攝像頭、傳感器等IoT設備的漏洞,獲得控制權限,上傳可執行的惡意軟件,訪問指定URL和各種觸發器,組織DDoS攻擊等。本實驗場景基于所設計的實驗平臺,模擬各種包含漏洞的IoT設備,實現IoT中外部系統接入、認證以及數據交換。在實驗平臺節點上,使用開源模擬處理器QEMU,在仿真CPU上運行不同的平臺,通過編碼模擬低交互響應的前端設備。僵尸控制者通過Telnet發送一系列命令,以探測和配置環境。一旦操作完成,攻擊者將嘗試遠程下載和執行惡意軟件二進制文件,進行DDoS攻擊等惡意操作。

3.1 驗證環境與實驗樣本

在本次實驗中，原型系統運行于5臺IBM 3650 M4服務器上,每臺服務器配置雙路6核2.6 GHz E5-2620v2 CPU,安裝64 GB DDRIII 1 600 MHz內存,部署VMware ESXi 5.5虛擬化平臺。

場景1實驗所用僵尸樣本采用蜜罐系統捕獲的攜帶DDoS攻擊能力的P2P僵尸程序逆向代碼,僵尸網絡檢測模型采用本課題組提出的綜合特征聚類檢測算法,背景流量由BT精靈文件共享系統產生。場景2實驗所用僵尸樣本模擬類似GoAhead攝像頭漏洞,通過空白的用戶名和口令繞過認證環節,下載設備.ini描述文件,然后通過向set_ftp.cgi中注入命令來獲得root權限,并在設備上提供遠程Shell。

3.2 驗證過程

在系統控制臺中按照廣域網結構部署含200個節點的目標網絡空間,通過節點配置各類僵尸網絡節點。隨機選擇30個節點通過平臺注入可運行僵尸程序。網絡節點部署quagga1.2.0,路由協議為OSPFv3,網絡由骨干層(1 000 Mb/s)、匯聚層(500 Mb/s)和接入層(100 Mb/s)組成。部署完成的僵尸網絡拓撲如圖5所示。

圖5 實驗僵尸網絡拓撲

3.3 性能分析

本文在僵尸網絡仿真實驗環境中加載了P2PB-SSMD檢測算法[15],該算法基于流簇相似性和信息熵來分析從正常P2P節點中檢測出的僵尸節點,具有較高的檢測率和較低的漏報率。對比分析本文僵尸網絡仿真環境與文獻[15]中基于真實數據集的仿真系統,2種仿真環境下的檢測結果如圖6所示,其中,數據均為相同參數下10次實驗的平均值。

圖6 2種仿真環境中的檢測結果對比

從圖6可以看出,對于P2PB-SSMD檢測算法,本文僵尸網絡仿真環境與文獻[15]中基于真實數據集的仿真系統具有等同的檢測性能,性能偏差不超過10%。因此,本文仿真環境可用于新型僵尸網絡檢測識別算法驗證與反制方法效能研究等領域。

4 結束語

僵尸網絡是一種復雜、靈活、高效的網絡攻擊平臺,其危害遠遠超出一對一攻擊。為更好地研究僵尸網絡的各項特征,本文利用虛擬化技術、僵尸網絡行為仿真技術、數據集加載與合成技術,提出并實現一種高效逼真的僵尸網絡仿真環境。實驗結果表明,基于該仿真平臺可有效開展僵尸網絡檢測、識別等實驗。下一步將在本文平臺架構的基礎上,采用Kubernetes等PaaS云計算方案構建仿真節點和實驗拓撲,以進一步擴大該平臺可支撐的實驗規模。