僵尸網(wǎng)絡(luò)檢測(cè)方法研究.pdf

1、僵尸網(wǎng)絡(luò)是被攻擊者遠(yuǎn)程控制、而其用戶尚無(wú)感知的一群計(jì)算機(jī)組成的綜合攻擊平臺(tái)，已發(fā)展為當(dāng)今互聯(lián)網(wǎng)的最嚴(yán)重安全威脅之一。僵尸網(wǎng)絡(luò)區(qū)別于傳統(tǒng)木馬、蠕蟲(chóng)等惡意攻擊方式的基本特性是，攻擊者使用了一對(duì)多的命令與控制機(jī)制(Command and Control，C&C)實(shí)現(xiàn)對(duì)多臺(tái)主機(jī)的完全控制，指揮僵尸相互協(xié)作發(fā)起惡意活動(dòng)，利用它們輕而易舉地發(fā)起各類大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊、發(fā)送海量垃圾郵件等等。如何準(zhǔn)確地識(shí)別僵尸主機(jī)是防御僵尸網(wǎng)絡(luò)的首

2、要任務(wù)，這對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)管理、打擊網(wǎng)絡(luò)犯罪等都具有非常重要的意義。
　　 起初，僵尸網(wǎng)絡(luò)主要依靠IRC(Internet Relay Chat)和HTTP(Hyper Text Transport Protocol)等協(xié)議實(shí)現(xiàn)集中式C&C控制；以后，為了克服集中式結(jié)構(gòu)存在的單點(diǎn)失效缺點(diǎn)，開(kāi)始使用P2P(Peer-to-Peer)協(xié)議來(lái)構(gòu)建分布式結(jié)構(gòu)C&C，以加強(qiáng)其自身的健壯性和隱蔽性。在僵尸網(wǎng)絡(luò)高度可控環(huán)境下，攻擊者可以通過(guò)相關(guān)命令

3、頻繁地更新僵尸程序以改變其特征碼，因此基于特征碼匹配的檢測(cè)方法容易失效。目前識(shí)別僵尸主機(jī)的方法主要有：一是通過(guò)解析相關(guān)通信協(xié)議(如IRC和HTTP)，挖掘異常通信行為來(lái)識(shí)別僵尸主機(jī)；二是根據(jù)同種僵尸主機(jī)C&C通信行為的相似性以及攻擊行為的相似性，通過(guò)聚類和關(guān)聯(lián)的方法來(lái)識(shí)別包括IRC、HTTP和P2P等類型的僵尸主機(jī)。然而前者不能應(yīng)對(duì)加密通信的情況；后者則依賴所監(jiān)督網(wǎng)絡(luò)存在多個(gè)同類僵尸主機(jī)的條件，難以識(shí)別網(wǎng)絡(luò)中的單個(gè)僵尸主機(jī)。此外，主動(dòng)測(cè)

4、量技術(shù)也是識(shí)別P2P僵尸主機(jī)的有效方法，但已有這類技術(shù)給網(wǎng)絡(luò)引入了大量額外流量，也會(huì)給正常節(jié)點(diǎn)的通信造成較大影響。
　　 提出基于異常地址對(duì)應(yīng)關(guān)系的Storm僵尸主機(jī)主動(dòng)識(shí)別方法AASD。它可識(shí)別寄生于Overnet網(wǎng)絡(luò)中、危害巨大的Storm僵尸主機(jī)。Overnet是一種DHT網(wǎng)絡(luò)，其節(jié)點(diǎn)的標(biāo)識(shí)符與通信地址(IP,Port)之間理論上存在一一對(duì)應(yīng)的關(guān)系，但是實(shí)際發(fā)現(xiàn)它們之間存在一對(duì)多和多對(duì)一的異常對(duì)應(yīng)關(guān)系，稱一對(duì)多為標(biāo)識(shí)符重用

5、，而稱多對(duì)一為通信地址重用。在歸納節(jié)點(diǎn)索引地址條目中的標(biāo)識(shí)符重用和通信地址重用現(xiàn)象的基礎(chǔ)上，發(fā)現(xiàn)了Storm僵尸索引地址條目的兩個(gè)特征：(1)僵尸節(jié)點(diǎn)使用的標(biāo)識(shí)符和通信地址同時(shí)具有重用現(xiàn)象；(2)每個(gè)重用標(biāo)識(shí)符所對(duì)應(yīng)的多個(gè)IP地址并不集中在一個(gè)特定子網(wǎng)。設(shè)計(jì)了Overnet網(wǎng)絡(luò)高速爬蟲(chóng)，將其部署于PlanetLab全球?qū)嶒?yàn)平臺(tái)上，收集到大量用于實(shí)驗(yàn)的索引地址條目；采用集合論方法識(shí)別出同時(shí)具有標(biāo)識(shí)符重用和通信地址重用現(xiàn)象的節(jié)點(diǎn)索引地址條目

6、；然后，利用最大信息熵理論量化重用標(biāo)識(shí)符對(duì)應(yīng)IP地址的分散度，并把分散度作為判別僵尸的重要依據(jù)。若分散度超過(guò)設(shè)定閾值，則對(duì)應(yīng)重用標(biāo)識(shí)符就是Storm僵尸使用的標(biāo)識(shí)符，其對(duì)應(yīng)的重用通信地址即為Storm僵尸使用的通信地址。實(shí)驗(yàn)結(jié)果表明：與已有的主動(dòng)檢測(cè)方法相比，AASD方法不僅能以95％的識(shí)別率識(shí)別出活躍Storm僵尸節(jié)點(diǎn)，而且還能識(shí)別出不活躍Storm僵尸節(jié)點(diǎn)；另外，其占用的網(wǎng)絡(luò)帶寬降低了約60％，有效減少了對(duì)正常Overnet節(jié)點(diǎn)用戶

7、的影響。
　　 提出基于交互流簇分布相似率的P2P僵尸主機(jī)識(shí)別方法SIDPI。它可識(shí)別加密的Storm僵尸主機(jī)。特定IP端口(IP,Port)對(duì)上一定時(shí)窗內(nèi)的所有流稱為流簇。對(duì)非僵尸應(yīng)用來(lái)說(shuō)，其監(jiān)聽(tīng)端口在不同時(shí)窗上各流簇的平均包長(zhǎng)的分布相差很大，而僵尸則是相似的。采用相對(duì)熵理論量化兩個(gè)相鄰時(shí)窗分布間的距離，計(jì)算多個(gè)連續(xù)等長(zhǎng)時(shí)窗內(nèi)流簇平均包長(zhǎng)分布的距離，分布相似率超過(guò)設(shè)定閾值(IP,Port)之主機(jī)即被標(biāo)識(shí)為僵尸主機(jī)。還提出小流簇

8、過(guò)濾算法，它提取網(wǎng)絡(luò)中疑似僵尸主機(jī)的監(jiān)聽(tīng)端口，削減須處理的網(wǎng)絡(luò)流量，提高了流簇分布相似性判定效率。SIDPI方法的優(yōu)點(diǎn)在于：(1)沒(méi)有利用包負(fù)載信息，可以識(shí)別加密通信的僵尸主機(jī)；(2)不依賴多個(gè)僵尸間相似的群體通信和相似攻擊行為，可以識(shí)別網(wǎng)絡(luò)中的單個(gè)僵尸，特別是在僵尸傳播的初期。實(shí)驗(yàn)結(jié)果表明，小流過(guò)濾算法能夠?yàn)V掉網(wǎng)絡(luò)中98％以上的(IP, Port)，提高了后續(xù)相似率判定的效率；對(duì)采用加密通信和未加密通信的Storm僵尸的平均檢測(cè)率約為

9、95％。
　　 提出一種基于網(wǎng)絡(luò)連接行為模式的僵尸主機(jī)識(shí)別方法BMBD。它可識(shí)別當(dāng)前活躍的IRC和HTTP僵尸主機(jī)。分析發(fā)現(xiàn)，僵尸節(jié)點(diǎn)的不同連接具有相似性、這些連接的間隔時(shí)間具有周期性。為此，首先使用無(wú)督導(dǎo)聚類方法聚合相似連接，使用循環(huán)相關(guān)函數(shù)挖掘潛在的周期，形成BCM（Bot Connection-Behavior Model，BCM）模式。然后，在網(wǎng)絡(luò)邊界抓取流量，通過(guò)BCM模式的匹配來(lái)識(shí)別僵尸主機(jī)。實(shí)驗(yàn)表明，BMBD既不依