僵尸網(wǎng)絡(luò)(botnet)檢測(cè)技術(shù)研究

1、僵尸網(wǎng)絡(luò)(botnet)檢測(cè)技術(shù)研究    【摘 要】對(duì)比目前的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究，提出一些新的絡(luò)檢測(cè)思路，尤其是針對(duì)P2P、HTTP、DNS等新型僵尸網(wǎng)絡(luò)檢測(cè)方法的一些思考。 【關(guān)鍵詞】僵尸網(wǎng)絡(luò)；黑客；檢測(cè)方法 引言 僵尸網(wǎng)絡(luò)經(jīng)歷了10年多的發(fā)展歷程，已經(jīng)演變成一種常見的黑客攻擊手段。其控制者與僵尸主機(jī)的通訊方式也從早期的IRC演變出基于P2P、HTTP、DNS協(xié)議等方式。 1背景技術(shù)和相關(guān)工作 從檢測(cè)原理上來說，大致可以分為兩類方法：基于聚合計(jì)算的檢測(cè)和基于DNS流量分析的檢測(cè)。基于聚合計(jì)算的檢測(cè)方法，主要是通過分析特征庫來發(fā)現(xiàn)僵尸主機(jī)的活動(dòng)。基于

2、DNS流量檢測(cè)方法是收集受控主機(jī)的系統(tǒng)變化信息，發(fā)現(xiàn)僵尸程序的活動(dòng)。 1.1基于聚合計(jì)算的檢測(cè)方法 對(duì)于行為特征已知的僵尸網(wǎng)絡(luò)，可以通過特征匹配的方式進(jìn)行檢測(cè)。但是對(duì)于未知的新型僵尸網(wǎng)絡(luò)，這種方法就難以奏效了，此時(shí)我們可以通過分析僵尸網(wǎng)絡(luò)發(fā)動(dòng)大規(guī)模攻擊時(shí)網(wǎng)絡(luò)流量的記錄，也可以找到僵尸主機(jī)甚至可以追蹤到僵尸控制主機(jī)。這種檢測(cè)方法是一種基于聚合計(jì)算的分布數(shù)據(jù)集中分析算法。具體的思路是： （1）當(dāng)大規(guī)模DDoS攻擊發(fā)生時(shí)，被攻擊目標(biāo)所在網(wǎng)絡(luò)上的Netflow記錄中會(huì)包括大量的攻擊流量所形成的記錄。 （2）通過聚類計(jì)算，很容易將這些具有相似特征的流量記錄聚合成為一類，且這個(gè)聚類中包含的流量記錄相對(duì)其它

3、聚類來說明顯多很多。 （3）這個(gè)最大的聚類中所有的源IP地址，就是疑似參與攻擊的地址。 （4）由于這些疑似參與攻擊的IP分別屬于不同區(qū)域甚至是不同運(yùn)營(yíng)商的網(wǎng)絡(luò)，需要將分布在網(wǎng)絡(luò)各處的疑似參與攻擊的IP地址的流量記錄在一起，再次對(duì)目的lP地址進(jìn)行聚合計(jì)算。計(jì)算結(jié)果可以得到一組同時(shí)與這些疑似IP有聯(lián)系的IP地址。這組IP地址就是高度疑似的控制主機(jī)地址。 （5）通過分析，某些疑似控制主機(jī)可能是一些非常受歡迎的網(wǎng)站，排除掉這些合法的IP地址，剩下的就很可能是控制主機(jī)的IP地址了。 （6）對(duì)于步驟4，還可以疑似參與攻擊的IP作為目的IP，對(duì)源IP進(jìn)行聚合計(jì)算，也可以得到一組疑似控制主機(jī)IP地址。 1.2

4、 基于DNS流量分析的檢測(cè)方法 無論是哪種僵尸網(wǎng)絡(luò)活動(dòng)，都伴隨著大量的DNS通訊異常。例如，對(duì)于基于IRC的僵尸網(wǎng)絡(luò)，會(huì)伴隨大量陌生怪異的DNS查詢。在DNS日志中，可以發(fā)現(xiàn)同一個(gè)A記錄，在短時(shí)間內(nèi)有大量的重復(fù)查詢請(qǐng)求。僵尸網(wǎng)絡(luò)為了逃避追查，通常還會(huì)利用一種稱為Fast-Flux網(wǎng)絡(luò)的機(jī)制。這種機(jī)制通過快速輪換IP的方式，逃避對(duì)控制主機(jī)的追查。在DNS通訊特征上，就表現(xiàn)為： （1）一個(gè)域名，對(duì)應(yīng)過多的IP地址。 （2）域名記錄的TTL極短，通常在30分鐘以內(nèi)，遠(yuǎn)遠(yuǎn)低于48小時(shí)的通常情況，通過追查與異常DNS通訊相關(guān)的IP地址，就可以初步定位僵尸主機(jī)?？傊瑢?duì)DNS流量進(jìn)行分析，也是僵尸網(wǎng)絡(luò)檢測(cè)

5、的一個(gè)發(fā)力點(diǎn)。 1.3 基于誘騙系統(tǒng)和流量檢測(cè)系統(tǒng)的僵尸網(wǎng)絡(luò)檢測(cè)方案 前人做的工作中，大部分只針對(duì)某一類僵尸網(wǎng)絡(luò)有效，適用范圍較窄。以往的采用誘騙技術(shù)僵尸網(wǎng)絡(luò)檢測(cè)方案，只單獨(dú)采用了蜜罐或蜜網(wǎng)系統(tǒng)，效果不甚理想。原因是這類攻擊誘騙系統(tǒng)是被動(dòng)檢系統(tǒng)，在沒有僵尸程序攻擊的情況下，很難捕捉到僵尸主機(jī)的行為。鑒于這些檢測(cè)技術(shù)的局限性，筆者設(shè)計(jì)了一種新的檢測(cè)方案，將誘騙系統(tǒng)與流量監(jiān)測(cè)系統(tǒng)結(jié)合在一起，很好的解決了以往檢測(cè)技術(shù)通用性不強(qiáng)，應(yīng)用范圍窄的問題。誘騙系統(tǒng)的技術(shù)特點(diǎn)是觀察口徑小，但準(zhǔn)確率高。而部署在網(wǎng)絡(luò)邊界的流量監(jiān)測(cè)系統(tǒng)的觀察口徑大，但存在一定的誤報(bào)率。兩者結(jié)合發(fā)揮各自的長(zhǎng)處，形成優(yōu)勢(shì)互補(bǔ)。該方案的具

6、體工作流程如下圖： （1）蜜罐首先發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)A正在設(shè)法感染自己，或者蜜罐設(shè)備自身已經(jīng)被安裝仿真的僵尸程序。 （2）蜜罐主機(jī)會(huì)主動(dòng)與控制主機(jī)進(jìn)行通訊，若蜜罐為基于P2P協(xié)議的僵尸主機(jī)，則會(huì)利用P2P協(xié)議主動(dòng)聯(lián)系其它僵尸主機(jī)，加入僵尸主機(jī)組成的僵尸網(wǎng)絡(luò)。由于蜜罐主機(jī)是完全受控的設(shè)備，其通訊行為特征、通訊內(nèi)容完全被網(wǎng)絡(luò)管理人員所掌握。 （3）蜜罐主機(jī)可以向部署在網(wǎng)絡(luò)邊界的流量分析系統(tǒng)或IDS通報(bào)控制主機(jī)的相關(guān)信息，主要是控制主機(jī)的IP地址。 1.4流量分析系統(tǒng)則重點(diǎn)監(jiān)控控制主機(jī)與內(nèi)網(wǎng)主機(jī)的通訊 監(jiān)測(cè)結(jié)果表明，外網(wǎng)的控制主機(jī)正在與內(nèi)網(wǎng)主機(jī)B、C、D進(jìn)行通訊，且通訊行為特征與僵尸主機(jī)的行為特征相似。

7、1.5至此，可以斷定，內(nèi)網(wǎng)的B、C、D主機(jī)以及主機(jī)A皆為僵尸網(wǎng)絡(luò)的成員 在這個(gè)技術(shù)方案中，蜜罐主機(jī)充當(dāng)一個(gè)打入到僵尸網(wǎng)絡(luò)的臥底，可以將僵尸網(wǎng)絡(luò)的活動(dòng)情況真實(shí)準(zhǔn)確的報(bào)告出來。而部署在網(wǎng)絡(luò)邊界的流量檢測(cè)設(shè)備或IDS設(shè)備，則起到了“盯梢”的作用。 2總結(jié) 為了逃避追查，僵尸網(wǎng)絡(luò)也在不斷采用新的技術(shù)來偽裝自己。例如，采用加密的方式進(jìn)行通訊。采用定時(shí)自動(dòng)升級(jí)的方式逃避殺毒軟件的追殺。采用P2P、HTTP、DNS等更通用更常見的協(xié)議進(jìn)行通信聯(lián)絡(luò)，使得很難將其同正常流量區(qū)分開來。因此為了應(yīng)對(duì)日益錯(cuò)綜復(fù)雜的僵尸網(wǎng)絡(luò)，僅僅依靠某一單一的檢測(cè)算法，很難有效的追蹤到它。采用綜合的聯(lián)動(dòng)的檢測(cè)方法，才是解決問題之道。具

8、體的原則包括：（1）基于網(wǎng)絡(luò)的檢測(cè)與基于主機(jī)的檢測(cè)相結(jié)合。（2）基于主機(jī)的檢測(cè)結(jié)果可以共享給基于網(wǎng)絡(luò)的檢測(cè)設(shè)備，作為新的檢查規(guī)則。（3）基于網(wǎng)絡(luò)的檢測(cè)要采集實(shí)時(shí)流量、流記錄、DNS通訊數(shù)據(jù)等多種數(shù)據(jù)，并進(jìn)行分析。 參考文獻(xiàn)： 1Anestis Karasaridis，Brian Rexroad，David Hoeflin.Widescale Botnet Detection and Characterization 2Binkley，An Algorithm for Anomaly.based Botnet Detection 3Guofei Gu，BotHunter：Detecting Malware InfectionThrough IDS-Driven Dialog Correlation 4Napoleon C.Paxton，Gall-Joon Ahn，Richard Kelly，KevinPearson，and Bei-Ts