關(guān)于基于P2P的僵尸網(wǎng)絡(luò)的檢測技術(shù)

關(guān)于基于P2P的僵尸網(wǎng)絡(luò)的檢測技術(shù)

［摘要］僵尸網(wǎng)絡(luò)是攻擊者以控制他人主機為目的，惡意傳播僵尸程序，并通過一對多的命令、控制信道所組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)已步入快速發(fā)展期，是當前因特網(wǎng)面臨的最大威脅之一。本文介紹了基于P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)、控制和傳播，并歸納總結(jié)了目前僵尸網(wǎng)絡(luò)的檢測方法。

［關(guān)鍵詞］僵尸網(wǎng)絡(luò)P2P檢測

一、緒論

1.課題背景和目的

僵尸網(wǎng)絡(luò)(botnet)是攻擊者出于惡意目的傳播的僵尸程序（bot）來控制大量主機，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加，僵尸網(wǎng)絡(luò)成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。Symantec公司2006年監(jiān)測數(shù)據(jù)表明，中國大陸被Botnet控制的主機數(shù)占全世界總數(shù)的比例從上半年的20％增長到下半年的26％，已超過美國，成為最大的僵尸網(wǎng)絡(luò)受害國，但國內(nèi)對Botnet的關(guān)注和研究工作還不夠全面。作為一種日趨嚴重的因特網(wǎng)安全威脅，Botnet己成為計算機安全領(lǐng)域研究者所的關(guān)注熱點。Botnet成為計算機網(wǎng)絡(luò)對抗研究的首要課題，預(yù)示著計算機網(wǎng)絡(luò)威脅新的發(fā)展趨勢。

2.國內(nèi)研究現(xiàn)狀

盡管僵尸網(wǎng)絡(luò)在很早之前就已經(jīng)出現(xiàn)了，但直到近幾年，隨著僵尸網(wǎng)絡(luò)的危害越來越大，對僵尸網(wǎng)絡(luò)檢測技術(shù)的研究才被各方面所關(guān)注。國際上的一些蜜網(wǎng)組織，如法國蜜網(wǎng)項目組織RichardClarke等，最早對僵尸網(wǎng)絡(luò)進行了研究，他們利用蜜網(wǎng)分析技術(shù)對僵尸網(wǎng)絡(luò)的活動進行了深入的跟蹤和分析。

早期由于IRC僵尸網(wǎng)絡(luò)占據(jù)著主導(dǎo)地位，所以對僵尸網(wǎng)絡(luò)的大多數(shù)研究都是在基于IRC僵尸網(wǎng)絡(luò)上的。而IRC僵尸網(wǎng)絡(luò)的檢測基本上無一例外都致力于研究其C&C（Command&Control）信道。2003年P(guān)uri在“Bobs$Botnet:AnOverview”一文中主要針對當時的IRC僵尸網(wǎng)絡(luò)進行了比較全面系統(tǒng)的概述。

近年來隨著計算機網(wǎng)絡(luò)的高速發(fā)展，出現(xiàn)了許多新型的僵尸網(wǎng)絡(luò)，如基于IM、HTTP等不同協(xié)議的僵尸網(wǎng)絡(luò)，并出現(xiàn)了采用樹型結(jié)構(gòu)、隨機網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及具有部分P2P特征的僵尸網(wǎng)絡(luò)。從傳統(tǒng)的基于IRC網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)，逐步演變成基于P2P網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)，大大增加了其生存性和隱蔽性，同時也使得檢測此類僵尸網(wǎng)絡(luò)變得更加困難。P2P僵尸網(wǎng)絡(luò)是利用P2P技術(shù)來傳播或控制僵尸程序的網(wǎng)絡(luò)。因為P2P僵尸網(wǎng)絡(luò)最近幾年才出現(xiàn)，所以對于P2P僵尸網(wǎng)絡(luò)的研究就相對來說比較少。Helsinki科技大學(xué)的AnttiNummipuro提出了基于主機的P2P僵尸網(wǎng)絡(luò)檢測方法，但是該方法與其他惡意代碼檢測技術(shù)類似，并沒有新穎或創(chuàng)新之處。阿姆斯特丹大學(xué)的ReinierSchoof和RalphKoning等人提出P2P僵尸網(wǎng)絡(luò)的檢測主要方法是對P2P對等端上的檢測。

從2005年開始，國內(nèi)才逐步對僵尸網(wǎng)絡(luò)進行研究。北京大學(xué)計算機科學(xué)技術(shù)研究所在2005年1月開始實施用蜜網(wǎng)跟蹤僵尸網(wǎng)絡(luò)的項目。CNCERT惡意代碼研究項目組在2005年7月開始對僵尸網(wǎng)絡(luò)進行研究。

二、基于P2P僵尸網(wǎng)絡(luò)的原理與分析

1.基于P2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)

僵尸控制者（Botmaster）、僵尸主機（Bot）、命令與控制（CommandandControl，C&C）網(wǎng)絡(luò)共同組成了僵尸網(wǎng)絡(luò)（Botnet）。僵尸控制者是控制整個僵尸網(wǎng)絡(luò)的攻擊者；命令與控制網(wǎng)絡(luò)一般有一個或多個命令與控制(C&C)服務(wù)器，僵尸控制者通過控制這些服務(wù)器來管理和控制僵尸主機；僵尸主機是攻擊者通過C&C服務(wù)器控制的主機；僵尸主機從命令與控制網(wǎng)絡(luò)獲得命令，對網(wǎng)絡(luò)上的主機進行攻擊和欺騙活動?；赑2P僵尸網(wǎng)絡(luò)的結(jié)構(gòu)如圖1所示。

2.基于P2P僵尸網(wǎng)絡(luò)的傳播與控制

隨著P2P應(yīng)用的日漸普及，僵尸控制者將僵尸程序偽裝成正常的文件或隱藏于正常的文件中，通過用戶下載安裝這些文件來實現(xiàn)Bot感染、傳播。P2P技術(shù)主要被用來控制僵尸主機傳播僵尸程序。

P2P網(wǎng)絡(luò)中所有節(jié)點是對等的，每一個節(jié)點既是客戶端又是服務(wù)器，因此，基于P2P的Botnet控制與IRCBotnet有很大的不同。在后者中，攻擊者利用IRC服務(wù)器作為C&C務(wù)器控制僵尸計算機，我們可以通過在IRC服務(wù)器上監(jiān)測Botnet的行為特征檢測到并進一步將其清除；而在前者中，攻擊者只需加入P2P網(wǎng)絡(luò)向其他對等節(jié)點發(fā)出控制命令即可。因此，基于P2P控制的Botnet通信系統(tǒng)很難被徹底毀壞，即使有一些Bot被查殺掉，也不會影響到Botnet的生存，故其具有不存在單點失效的特點。

三、僵尸網(wǎng)絡(luò)的檢測

早期對Botnet檢測的研究主要集中在如何檢測和跟蹤到單個的僵尸主機，但是隨著Botnet采用協(xié)議和結(jié)構(gòu)的復(fù)雜性，特別是P2P協(xié)議廣泛應(yīng)用之后，