工程技术
计算机光盘软件与应用
Computer CD Software and Applications 2011 年第 19 期
僵尸网络的发现与跟踪
贾斐
( 太原理工大学,太原 030024 )
摘 要1:叠尸网络采用多种传播手段,将大量主机感染 bot 程序病毒,从而在控制者和被传染主机之间所形成一对多
控制 。 僵尸网络对互联网危害严重。 本文分析僵尸网络的特点,总结出对僵尸网络监测和跟踪的技术,初步解决了僵尸网
络对互联网安全构成的严重问题。
关键饲 z 僵尸网络:蜜罐;网络 IDS õ 网络安全
中图分.,号 TP393 . 08 文献标识码 A 文章篇号 ∞7-9599 (2011) 19-0062-02
Botnet Discovery and Tracking
Jia Fei
(Taiyuan University of Technology,Taiyuan 030024,China)
Abstract:Botnets using a variety of means of communication,a large number of hosts infected with bot program virus,resulting
in infection control and many forrned between the host serious barm 00 the pap臼 analyzes 由e
characteristics of botne饵,summed up 出e botnet monitoring and tracking technology,has initially solved the zombie network to 由e
lntemet pose a serious problem.
Keywords:Botnet;Honey pot;Network fDS;Network Security
一、 前言
近年来,僵尸网络的兴起对互联网网络安全构成了极大的威
胁。据统计, 2005 年发现的大规模僵尸网络多达 100 多个,到 2006
年上半年,发现的大规模僵尸网络数量即达近 200 个,巾国内地
被控僵尸网络数量全球排名第 一 。 很多僵尸网络的控制服务摞位
于同外,严重威胁我罔公共瓦联网的安全[t ] 。
僵尸网络 (恶意的 Botnet) 是攻击者手中的一个攻击平台,
它不同于特定的安全事件。 通过这样的攻击平台,攻击者可以实
施各种各样的破坏行为,但是在静态的情况下具体的危害具有未
知性和灵活性。 僵尸网络的结构如阁 1 所示。
被毡入Ibt 砸序的
受害计篝饥
lRC 搬务锦
E 命令和控制服备B )
图 1 僵尸网络结构
通过僵尸网络展开不同的攻击可以导致建要应用系统或者'整
个基础信息网络瘫痪,也可以导致大量个人隐私或机密泄漏,还
可以用来从事网络欺诈等其他违法犯罪活动。 与传统的实施方式
相比这些破坏行为往往危害更大、防范更难。 利用僵尸网络发动
的攻击行为包括:分布式拒绝服务攻击 (OOoS)、蠕虫草罪放、滥用
资源、发送垃圾邮件、窃取秘密等。
由于僵尸网络对因特网构成了日趋严重的安全威胁,僵尸网络
己成为安全领域学者们所共同关注的热点。鉴于僵尸网络已经对国
内因特网造成严重危害,为深入理解僵尸网络工作机理和发展趋势,
同时对僵尸网络的研究进展有总体的把握,并促进罔内在该方向上
的研究,僵尸网络研究进行分析十分有意义.本文旨在通过讨论僵尸
网络的定义、基本构成和危害,探寻如何发现及跟踪僵尸网络,
二、僵P网络
网络攻击者秘密地建立计算机群,该计算机群可以集中控制,
这样的网络被称为僵尸网络。僵尸网络的组成通常包括被植人"僵
尸"程序 (bot)、计算机群 (zombi e servers . 僵尸计算机)、控
制服务器(通常利用互联网中的公共服务器)和控制者的控制终
端(攻击者通过它对整个僵尸网络发出指令。
僵尸网络是在特洛伊木马、网络蠕虫、后门工具等传统病毒
代码的基础上发展融合而产生的一种新型攻击方式.从 1999 年出
现 Pretty Park (第一个具有僵尸网络特性的恶意代码),到 2002
年 SObot 和 Agobot 源码的发布和广泛流传。研发杀毒软件的厂商
们一直没有统一绘出僵尸程序 (bot) 和僵尸网络的确切定义,而
仍将其归入后门工具或网络蠕虫的范畴.
因为目前绝大多数僵尸网络是基于 IRC 协议的,以 IRC Bot
为例介绍僵尸网络的工作原理。 攻击者先制作了僵尸程序 (Bot)、
建立好 IRC 服务器中的环境之后, 自需要将僵尸程序植入到尽量多
的互联网主机上,构成一个僵尸网络。 僵尸程序是通过其他手动
或自动潜入计算机用户的方式进行传播,它本身并没有自我传播
能力 。 蠕虫是能够自主传播入侵用户计算机的最普遍的手段,因
此僵尸程序蔓延方式主要是利用蠕虫。 当然,蠕虫的传播方式是
多种多样的,例如利用 P2P 软件、即时通讯等平台的漏洞,然后
进行执行,方式类似于电子邮件,利用各种技术漏洞自行进入用
户计算机等等。 僵尸程序可以通过跟随蠕虫进入用户计算机后从
指定地址下载完整的僵尸程序,也可以通过跟随蠕虫程序一并进
入用户的计算机。
三、 僵尸网络的发现
现有的发现僵尸网络的方法主要有三种(1)利用蜜罐
(honeypot)捕获 Bot 样本 (2) 利用 10S 监测 (3) 在 IRC 服
务器上利用僵尸网络的行为特征。
(一)利用蜜罐 (Honeypot) 臼]
部署多个蜜罐捕获传播中的 Bot,记录该 Bot 的网络行为(通
过 Honeywall)。通过人工分析网络日志并综合样本分析结果,可
以掌握该 Bot 的属性,包括它连续的服务器 Cdns!i p)、端口、频
道、连接/频道/控制密码等信息, 获得该僵尸网络的基本信息甚
至控制权[21 蜜罐的结构如图 2 所示。
图 2 利用富罐的结构
- 62 一
计算机光盘软件与应用
2011 年第 19 期 Computer CD Software and App1ications 工程技术
实验表明, 一台禾打补丁的 Windows 主机,接入互联网后平
均 25 分钟即可感染恶意程序。所以,利用.罐可以捕获 Bot,从
而根据Bot 运行时连接的服务器发现僵尸网络。
这种方式被证明是一种有效的孚段,国际项目 "honeynet
project" 在 2004 年 11 月到 2005 年 3 月期间,只使用两台蜜罐
(1台通过 HoneyWall 记录日志、 l 台使用 mwcollect 捕获新的样
本),就发现了 180 个僵尸网络,每个僵尸网络的规模从几百个到
几万个不等,共涉及JlJ 30 万个被控主机.同时还收集到 5500 个
样本,共 800 种(有些样本是相同的) 。 在 2004 年 11 月到 2005
年 1 月,共观察到 406 次 DDoS 攻击,攻击目标共 179 个l飞
(二〉利用网络 105
对于具有 IRC 协议解析能力的 IDS,可以根据 IRC Bot 常用
命令.如 JOIN、 PASS、 PRIVMSG 、 NTCK、 TOPIC、 NOTICE 等及其命
令参数来发现未知僵尸网络。
如果不具有 IRC 协议解析功能,也可以根据 TCP 数据报文的
内容发现可疑僵尸网络,可疑的数据报文包含 udp、 syn 、 ddos、
http: // 、 scan 、 exploit、 login 、 10gon , advscan 、 lsass、 dcom 、
beagle、 dameware 等。
利用僵尸网络的行为特征(1)迅速加入的 Bot. 这一类型
的一般利用蠕虫进行传播.通常在受害的主机上执行,然后按照
预定设好的参数连接 IRC 服务器、放入设定的频道接收指令。短
期内大量 IRC 客户端加入同一服务帮的同一频道是可疑的。 (2)
保持连接的 Bot. 正常行为的用户一般很少长时间停留在同个频
道中,而Bot 的行为是在接受到"退出"、 "休眠"、 "自杀"
等命令后才选择退出 。 (3) 不作为的Bot. Bot 与正常行为的用户
另一个显著的不同是Bot 很少行动,经常不作为,连接的维持通
过 ping/pong 命令。 DdoSVax 项目可以进行行为监测,该项目可
以针对发呆型的 Bot 预警。
四、僵P网络的追踪
防御者应对僵尸网络安全威胁的前提条件是充分了解僵尸网
络的内部工作机理。僵尸网络跟踪 (botnettracking) 为防御者
提供了一套可行的方法,它的基本思想是成为僵尸网络中的间谍。
首先获取因特网上实际存在的控制信迪和僵尸网络命令的相关信
息,然后模拟成受控的僵尸程序加入僵尸网络中,对僵尸网络的
内部活动进行观察和跟踪。
Honeyclient 一客户端蜜罐技术 剧是另一种有效的追踪僵尸
网络方法. Honeyclient 是一种数据捕捉工具,主要用来捕捉发
〈上撞第 68 页)
量后,计算此时 Ck 中所有候选 k-项集的支持度,并删除 Ck 中
支持度小于 min_sup 的项集。此时.我们可以得到频繁 k伫-项集 L比,点k
重复上述连接和修剪两个步骤,自到 L , k喝。此时,我们可
以得到所有的频繁项集 L=ULk,由 L 根据指定的最小可信度产生
所有有意义的关联规则.
三、实验结果与分析
我们从 http: // . edu/shootout/ 下
载了三组 Tcpdump 格式的网络流量数据来进行实验,在这些数据
集中, baseline 文件中包含了正常的网络流量数据,其被分成两
部分, ←部分被用来作为训练数据,记为 baselinel,另一部分
作为测试数据,记为 baseline2 , networkl 和 network3 被作为另
外两组测试数据,
根据 Porras 和 Valdes 以及 Wenke Lee 的建议,我们从网络
连接数据中构造出划, PN 和 RN 兰个统计特征.先后用这三个统
计特征间的关联进行实验,采用相同的模糊关联规则挖掘算法,
以及相同的参数 min_sup=O. 1, min_conf=. 首先在训练数据
baselinel 七挖掘模糊关联规则,得出表征正常行为的轮廓,然
后在三组测试数据集 baseline2 , networkl 和 network3 上分别挖
掘关联规则,计算规则间的相似度,结果如固 1 所示。
从图 l 可以看出,若设定当前行为偏离正常行为的阑值为小
于 O. 7 的值,例如 ,则可以将正常行为和入侵区分开来,同
时证实了利用模糊关联规则构造用户正常行为轮廓可以检测到入
侵,提高了网络异常入侵检测的准确度。
- 63 一
生在 honeypot 中所有有关入侵的数据,帮助准确重建攻击者侵入
系统后的行为. Honeyclient 记录用户系统调用访问的所有数据,
然后以标准格式表示,并采用 UDP 方式隐蔽发送给取证服务器。
由于捕捉的数据以臼定义标准格式的表示,因此服务器可以收集
运行在不同操作系统上的 honeypot 发送的数据,能够根据给定的
控制信道信息连入僵尸网络,并隐蔽地对僵尸网络话动进行跟踪
Honeyclient 可以同时跟踪多个僵尸网络,并监测 BOT 的存活情
况、规模、控制指令 91 。
五、结论和进-步工作
僵尸网络正逐渐成为互联网安全运行的重大课题,本文总结
分析出这些僵尸网络控制器的各种特征,为近一步的僵尸网络监
控提供研究依据。目前,还不存在一个统一有效的方法对僵尸网
络进行识别和检测。下一步,要不断的加大僵尸网络样本集的收
集工作力度,尽可能多的为模式识别算法提供训练样本,提高检
测准确度。最后对程序已经识剔出来的僵尸网络,研究僵尸网络
对僵尸主机的控制方法,通知客户消除好病毒代码,争取控制僵
尸网络的权利,可以进一步减少由于僵尸网络所造成的损失,控
制住僵尸网络。
参考文献z
[1)国家计算机网络应急技术处理协调中心 .CNCERT/CC 网
络安全工作报告,电.cn
[2]The Honeynet Project&良田earcb Alliance,"Know your
Enemy: Tracking Botnets--Using honeynets to leam more about
Bots" ,http://www. .
间社跃进,崔翔倍尸网络及其启发四.中国数据通信,2∞5,7
[4)诸葛建伟,拂心总叶志远,邹维.僵尸网络的发现与~琼[c].
见:中国网络与信息安全技术研讨会论文集.2005,183-189
[5]i民绍杰基于蜜网技术的 DDoS 防御方法研究[D].上海交通
大学学位论文,2∞7
[6]串串心悉,郭晋鹏,周勇林,猪葛建伟,t 东志,邹雄.僵尸网络活
动调查分析(J) .通信学报,2仰7,28(12) :167-172
[7]张冰等.健尸网络(BOTNET)监控技术研究UJ.徽计算机信
息,2008
I创王涛 .僵尸网络检测与传播抑制(c].中山大学学位论
文,2010
[9]冯,等构建基于蜜罐技术的入侵检测系统囚计算机系统
应用,2006
。咱
W
lçt
1丸 .1'
o t
图 1 从训练'自掘和各个测试戴撮集所挖掘镶糊关联规则相似度
示意图
参考文献s
[1] 罗守山.入侵检测[M].北京:北京邮电大学出版社,2∞4,4
[2)Wenke Lee ,Sa1vatore ,Data Mining Approaches for
Intrusion DetectioD,In Proceedings of the 7t"USENIX Security
S严nposium,San Antonio ,TXJanuaty 1998
[3] 肖位枢.模糊数学基础ß..应用 [M]. 北京:航空工业出版
社,1992,p2-p4
[4]Wenke Lee and Wei Fan ,Mining System Audit
Data:Opportuniti臼 and Challenges,ACM SIGMOD
Record, v .30(n份,December 2∞1:p35}44
[作者简介]李连焕(1974-),女,河南南阳人,讲师,主要
从事计算机网络教育。
