维普资讯 http://www.cqvip.com
科技情报开发与经济 SC1-TECH INFORMATION DEVELOPMENT&ECONOMY 2007年第17卷第3期 文章编号:1005—6o33(2oo7)o3—0229—02 僵尸网络的检测技术研究 霍建滨,白凤娥 (太原理工大学计算机与软件学院,山西太原,030024) 摘要:介绍了僵尸网络的组织结构度其危害。剖析了基于IRC协议度其他命令控制 方式的僵尸网络的检测方法。并对检测技术的发展进行了展望。 关键词:僵尸网络;僵尸程序;IRC;蜜罐 ’ 中围分类号:TP393.08 文献标识码:A 全球的网络安全领域正在经历一场深刻的变革。黑客逐渐放弃了大 规模的病毒或蠕虫等能使网络基础设施瘫痪的攻击方式,变成以获得经 济利益为主耍目标,将矛头直接瞄准了台式机和Web应用软件。僵尸网 络就是近年来兴起的一种最受黑客青睐的攻击方式。它是一个由攻击者 远程控制的已被攻陷主机组成的网络,由于它们数量巨大。对网络安全 构成了极其严重的威胁。如今利用僵尸网络实施的攻击事件层出不穷。 从发送垃圾邮件、网络钓鱼攻击、传播病毒和发动分布式拒绝服务攻击 到窃取用户的敏感信息等其他非法活动,都与它有着密切的联系。 目前。最新发现的僵尸网络规模越来越小.具有更强的隐蔽和攻击能 力,它们能够自动传播。自动下载升级程序,有的甚至包括toolkits的攻 被植入bot程 击方式,趋向于利用即时消息或其他对等网络来命令和控制被感染的系 序的僵尸主机 统。值得关注的是,现在好多僵尸程序是由许多研究开发人员共同编写 图l基于1RC协议的僵尸网络的结构 的,比如SDBot的原代码中就有许多不同作者的注释,其结果是导致大 序或其他远程控制程序、可以被攻击者远程控制的计算机部可以叫僵尸 最僵尸程序的变种产生。 主机。 僵尸网络已经成为目前国际网络安全领域最严重的威胁之一。 僵尸程序(bot):是指被攻击者秘密植入被控制计算机中,可以自动 1僵尸网络概述 接收预定义的命令和执行预定义的功能。具有一定人工智能的程序 其 本质就是一个网络客户端。它会主动连接到服务器读取控制指令,按照 假尸网络不同于特定的安全事件。它是攻击者手中的一个综合攻击 指令执行相应的动作。目前由于利用IRC协议控制僵尸程序的方式具有 平台,区别于其他威胁的主要特征在于它是通过一个通信信道与攻击者 很多优势。因此绝大多数僵尸程序属于此类。采用其他协议甚至自定义 联系。利用这样的攻击平台,攻击者可以实施各种各样的破坏活动,而且 的协议也可以实现对僵尸程序的控制。现在发现的有名的僵尸程序有 使得这些破坏活动往往比传统的威胁危害更大、防范更难。当前最典型 Agobot,SDBot,GT—Bot。Evilbot,Phatbot及它们的变种。 的基于l}【C协议的僵尸网络的结构见图1。 在一个典璎的僵尸网络中,每个僵尸程序连接到一个公共IRC服务 命令和控制服务器(Command&Control Server):在基于IRC协议进行 器,或者是其他已被攻陷系统隐吉的IRC服务器,然后进入预定的频道 控制的僵尸网络中。就是指提供IRC聊天服务的服务器,攻击者通过该 接收来自攻击者的命令,或通过加密的频道主题接收命令。攻击者连人 服务器发送命令。进行控制。 命令和控制信道,通过僵尸程序控制僵尸主机,同一频道的僵尸程序共 控制频道(Controlchanne1):通常是黑客创建的私有频道,僵尸程序 同执行攻击活动。 开始运行后加入这个预定义的频道,读取频道内的消息,执行相应的动 从僵尸程序的角度出发,其生命周期大致可以分为如下3个阶段: 作。为了防止非僵尸网络内的用户加入频道,频道一般设置为秘密模式, 僵尸程序感染。加人命令和控制信遭等待攻击者命令,接收攻击者命令 这使得普通用户根本看不见这个频道。为了安全起见.频道会设置一个 进入破坏阶段。 密码,只有输入正确密码的用户才能加入。 僵尸网络对个人或整个网络可能造成的严重危害主要有:分布式拒 僵尸主机(Zombie):指的是被植入僵尸程序的计算机。含有僵尸程 绝服务攻击、垃圾邮件、网络仿冒/身份窃取、键盘记录、安装广告条和浏 Research on E-government System Based on Web DINGJin ABSTRACT:E-government,which refers to the networking and digitalization of the public affairs of governmental departments.has aroused general concern because of its abundant information resources and hJigh—effective administrative mode.This paper introduces the design targets and adopted technical routes of Web—based E—government system On the basis of analyzing the features of the construction of E-government system,and points out that this system can increase the transparence and improve the working efficiency of governmental departments at all levels. KEY WORDS:E—government system;administrative mode;BPR 229 维普资讯 http://www.cqvip.com
霍建滨,白风娥僵尸网络的检测技术研究 本刊E-mail:bjb@mail.sxinfo.net信息技术 览器助手、攻击IRC聊天网络、监听网络流量、扩散新的恶意软件、操控 在线投票和游戏、大规模身份窃取等非法活动。 征是所有节点之间交换信息都是通过中心节点完成的。在攻击者看来, 这种系统有两个主要的弱点:一是由于所有客户端都连接在同一个中心 节点。因此它很容易被检测;二是中心节点被发现就意味着整个网络被 发现。第二是P2P网络。采用P2P点对点方式通信的僵尸网络有很多优 势,P2P通信系统很难被毁坏。发现一个僵尸主机并不意味着整个僵尸 网络被发现,不足的是这种结构实现相对复杂。第三是随机的通信模式。 任何单个节点只能和除自身之外的其他一个节点进行通信,这种方法实 现相对容易,发现一个节点并不意味着发现了整个网络。 2僵尸网络的检测 目前学术界对僵尸网络的研究工作才刚刚起步。国内对僵尸网络的 认识和研究工作也同样处于初级阶段。当前缓解这种威胁的技术主要是 着眼于提前预防或对攻击事件的事后处理。例如。通过过滤垃圾邮件,加 强浏览器安全,或者开发网络仿冒的报警应用程序等措施来尽可能地预 防此类威胁。国际方面,大多对于僵尸网络也是采取发现一个打击一个 的方法,通常情况是同家网络安全监测部门在发现了某个大型站点或重 每种拓扑结构都有其特定的优势与不足。僵尸网络的任何一种通信 模式都是它们其中的一种或多种的组合。IRC网络可以说是星形网络, 然而服务器到服务器及客户端到客户端的通信又像P2P网络,也就是说 要网络受到僵尸网络的攻击时,才开始动员大量的人力及相关部门进行 协查,需要经过很长时间才能真正找到僵尸网络的控制中心和主要涉案 僵尸网络的通信方式是相当灵活的,它可以采用任意的频道或不同的方 人员,但是这段时间内所造成的经济损失是不可估量的。所以探索一种 式进行通信。总的说来,任何一种依赖特定通信特征检测僵尸网络的方 有效的检测方法是非常必要的。 法都是不完善的。 2.1基于IRC协议的僵尸网络检测 基于这些原因,应当探索其他更加有效的方法应对僵尸网络。现在 这种方式是直接检测僵尸网络命令与控制信道的通信流量。僵尸程 研究的一个方法是用现有已经论证过的检测系统发现的数据。结合其他 序与攻击者进行通信,一种方式是与攻击者直接连接,这种方法的不足 检测方式发现的数据共同检测僵尸网络。这种系统可以使用基于主机检 是攻击者很容易被发现;另一种就是使用代理。攻击者最常用到的就是 测的数据。基于网络检测的数据,或两者的结合。这种系统的关键是要具 IRC聊天服务器。IRC是一种公开的协议,采用TCP和SSL协议。一个 有从异构的网络中收集和概括数据的能力。比如,当网络监视器发现了 IRC服务器可以连接其他的IRC服务器以扩展为一个IRC网络,IRC用 扫描威胁或DOS攻击而发出警报时,就可以追踪到发起事件的主机,然 户通过客户端软件和服务器相连。大多数的IRC服务器不需要客户注册 后使用基于主机的监视器,可以找出发起这种行为的进程。这样,恶意程 登录,但在连接前必须设定好昵称,互联网上有大量现有的IRC网络可 序就被发现了。 供利用。由于利用IRC协议通信具有许多优势,现在大部分知名的僵尸 然而,这种方法在实现上还有一定的难度,比如根据已经检测到的 网络都是基于IRC协议的。 \ 数据识别不同的系统或对主机进行追踪,在这些方面还需要加强研究。 一种检测方法就是通过监视IRd协议的标准端口(TCP 6667)来检 这种方法虽然比基于命令和控制信道的检测复杂,但通过多种监测手段 测僵尸网络。据CNCERT/CC的研究表明,很少僵尸程序是潜伏不动的, 相互配合,能够较有效地对僵尸网络进行检测。 它们总是在扫描,传播自身。这样可以监测本地IP向外发起连接时的网 3结语 络流量,如果发现是扫描,就可以用端口与进程的对应工具找到相应的 进程,从而发现恶意程序。但如果僵尸程序不进行扫描而只是窃取用户 目前人们主要研究的是基于IRC协议的僵尸网络,下一步还应当在 敏感信息,则难以发现。 此基础上加强基于蜜罐的自动化检测控制系统研究。P2P结构的僵尸网络 另一个方法是使用蜜罐技术。蜜罐是一种安全资源,其价值在于被 目前研究较少,原阿是由于其实现比较复杂,在网络中并不占有太大比例。 扫描、攻击和攻陷。它是一种用来发现攻击工具、攻击策略和攻击者攻击 同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着僵 动机的知名技术。通过布置多个蜜罐尽可能多地捕获僵尸程序样本,然 尸网络的发展,对于P2P结构僵尸网络的研究必须进一步加强。 后通过逆向工程等恶意代码分析手段,获得隐藏在代码中的登录僵尸网 对于偶尸网络,需要从整体上来看待,才能正确理解和应对此类威 络所需要的相关信息,如控制服务器的信息即域名或IP地址、端口、连 胁。由于僵尸网络的各个节点可能分布在不同的国家,阻止僵尸网络还 接密码等,频道信息即频道名、频道密码等,以及登录时用到的昵称、控 需要各个国家的密切合作。 制密码、编码规则及僵尸程序支持的命令集等,这些信息为今后有效地 参考文献 控制僵尸网络提供了必要条件。在获得这些信息后。就可以使用定制的 [1]杜跃进,崔翔.CNCERT/CC关于僵尸网络的技术报告[R].国家计算 僵尸程序登录到僵尸网络中去。进一步采取应对措施。 机网络应急技术处理协调中心,2005:1-2. 以上两种检测方法都是检测基于IRC协议的僵尸网络,只要攻击者 [2]诸葛建伟。韩心慧,叶志远,等.僵尸网络的发现与跟踪[c].全国网络 对僵尸程序稍作修改,比如定制IRC命令、加密通信信道或采用其他控 与信息安全技术研讨会,2005. 制协议就会使检测变得更加困难。因此,直接检测命令与控制信道的方 [3] Cook E,Jahanian F,McPhe ̄on D.The Zombie Roundup: 法是不完善的。 Understanding,Detecting and Disrupting Botnets[EB/OL].【2005-05-06]. 2.2基于其他控制协议的高级僵尸网络检测 http://www.usenlx.org/events/sruti05/tech/talks/cooke.pdf. 由于直接监测僵尸网络命令和控制信道的方法有很大的不足,这就 (责任编辑:刘翠玲) 需要探索一种更加有效的检测方法。这里主要讨论采用其他复杂通信协 议的僵尸网络的检测方法。 第一作者筒介:霍建滨,男,1977年5月生。现为太原理工大学计算 僵尸网络通信的拓扑结构有三种:第一是星形结构。这种方式的特 机与软件学院2005级在读硕士研究生,山西省太原市,030024. Study on the Technology for Detecting the Botnet HUO Jian-bin,BAI Feng-e ABSTRACT:This paper introduces the organizational structure and harms of the Botnet.analyzes on the technology based on IRC protocol and other command control modes for detecting the Botnet,and looks forward to the prospect of the detecting technology. KEY WORDS:Botnet;Bot;IRC;honeypot 230
