论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要:以僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一.虽然近年来这方面的研究取得了显著的进展,但是由于僵尸网络不断演化、越来越复杂和隐蔽以及网络和系统体系结构的限制给检测和防御带来的困难,如何有效应对僵尸网络的威胁仍是一项持续而具有挑战性的课题.首先从僵尸网络的传播、攻击以及命令与控制这3个方面介绍了近年来僵尸网络工作机制的发展,然后从监测、工作机制分析、特征分析、检测和主动遏制这5个环节对僵尸网络防御方面的研究进行总结和分析,并对目前的防御方法的局限、僵尸网络的发展趋势和进一步的研究方向进行了讨论.

　　关键词:网络安全;僵尸网络;命令与控制;僵尸网络测量;僵尸网络检测

　　僵尸网络(botnet)是由大量被僵尸程序所感染的主机(botorzombie)受到攻击者(botmaster)所控制而形成的以恶意活动为目的的覆盖网络(overlaynetwork).Botmaster可以通过控制服务器操控bot发起各种类型的网络攻击,如分布式拒绝服务(DDoS)、垃圾邮件(spam)、网络钓鱼(phishing)、点击欺诈(clickfraud)以及窃取敏感信息(informationtheft)等等.

　　与以往的安全威胁,如病毒、蠕虫等不同,僵尸网络为攻击者提供了一个高度受控的平台.借助这个平台,攻击者可以按需地发动攻击来谋取经济利益.在经济利益的驱动下,攻击者社区逐渐形成了一个庞大的地下经济市场和分工明确的地下产业链.在此背景下,各种僵尸程序的数量逐年呈指数级增长,各种攻击活动也越来越频繁.近年来,还出现了一些超大规模的僵尸网络,如Conficker,Mariposa等,其所控制的bot数量达到数百万甚至更多,所拥有的攻击能力足以威胁大型ISP甚至整个互联网的运行安全.僵尸网络和以其为载体的各种攻击活动已成为目前互联网最为严重的安全威胁之一.

　　僵尸网络问题的根源在于目前系统和网络体系结构的局限.操作系统和软件的漏洞导致僵尸程序的感染,而Internet开放式的端到端通信方式,使得botmaster可以比较容易地对bot进行控制.从根本上解决僵尸网络的问题需要系统和网络体系结构的改变,而这样的改变在短时间内难以实际部署.由于在现有体系下难以从根本上解决,僵尸网络问题逐渐形成了一种攻防双方持续对抗和竞争的态势(armsrace).对于安全社区来说,了解僵尸网络的运行机制并及时跟踪其发展态势,有针对性地进行防御,是目前应对僵尸网络威胁的关键.

　　从2005年以来,僵尸网络一直是安全领域学术研究的热点问题.ACM,USENIX等协会先后举办的SRUTI,HotBots,LEET等学术研讨会均以僵尸网络作为主要议题之一,各顶级安全学术会议也都有较多僵尸网络研究的论文发表.北京大学计算机研究所、CNCERT/CC、哈尔滨工业大学等单位较早开始关注僵尸网络的问题,并先后发表了研究论文.诸葛建伟等人在文献中描述了僵尸网络的发展历史和功能结构,并对2007年以前的研究进展进行了综述.Zhu等人和Bailey等人也分别从不同的角度对僵尸网络的研究进行了概括性总结.

　　2008年以来,围绕僵尸网络展开的持续对抗,使得攻防双方的技术都有了较大的发展.攻击者采用了一些新的方法和技术来提高僵尸网络传播与攻击的效率以及自身的安全性.而在防御一方,安全研究者及时地对新的攻击技术和手段进行了研究,并提出了一些新的检测和防御技术与思路.近年来,一些政府组织、研究机构和企业开始尝试联合对一些大规模的僵尸网络进行处置并取得了明显效果.虽然对僵尸网络的研究和工作逐渐深入,但其威胁的总体趋势并没有改变.体系结构的局限,僵尸程序数量的急剧增长,僵尸网络传播、控制以及攻击方式的复杂隐蔽和多变等等因素,给防御一方带来了很大的困难.如何在攻防竞争中取得优势,从而能够有效地遏制僵尸网络的威胁,仍然是一项艰巨、持续而具有挑战性的研究课题.

　　1、僵尸网络工作机制的发展

　　深入理解僵尸网络的工作机制,是对其进行有效防御的基础.2008年以来,研究者发现和分析了一系列新的僵尸网络,如Koobface,Conficker,Zeus,Torpig,Mega-D,Mariposa,Waledac等等,对一些已知的僵尸网络,如Nugache,Storm等也进行了更为深入的研究.已有的研究结果表明,僵尸网络不仅在协议和拓扑结构上进一步复杂化,而且还采用一些新技术来提高其恶意活动的效率,并增强其自身的安全性.

　　僵尸网络的活动主要分为传播(propagation)、命令与控制(commandandcontrol)、攻击这3个阶段,其中,命令与控制是其工作机制的核心部分.本节首先简要总结僵尸网络在传播和攻击方面的变化情况,然后着重对僵尸网络命令与控制机制的发展进行归纳总结.

　　1.1僵尸网络的传播机制

　　僵尸网络主要通过侵入主机植入僵尸程序来构建,其传播方式主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等等.早期的IRC僵尸网络主要以类似蠕虫的主动扫描结合远程漏洞攻击进行传播,这种方式的主要弱点是不够隐蔽,容易被检测到.近年来,僵尸网络逐渐以更为隐蔽的网页挂马(drive-bydownload)为主要传播方式.

　　近年来,僵尸网络传播还加入了更多社会工程(socialengineering)手段,更具有欺骗性.例如,通过对Storm的研究发现,botmaster会根据近期的新闻和热点事件来变换其传播邮件的标题和内容以增加其感染的几率;另一种僵尸网络Koobface会盗取被感染用户的社交网络账号,冒充被感染用户向其社交网站好友发送带有恶意URL的消息进行传播.目前所流行的一些以好友关系为基础的网络应用,如社交网站facebook,twitter以及即时通信(instantmessage)工具,如QQ,MSN等,都成为了僵尸网络传播的重要渠道.

　　另外,一个僵尸网络的传播趋势是简单化和自动化.一些僵尸程序,如Zeus,SpyEye等等以及一些漏洞扫描和入侵工具被制作成简单易用的套件(crimewaretoolkit),并在地下市场销售.利用这些工具,一个毫无经验的攻击者也能轻易制造出僵尸程序变种并感染大量主机,这也是目前僵尸网络泛滥的一个重要原因.

　　1.2僵尸网络的攻击活动

　　目前,僵尸网络的攻击活动仍然以常见的分布式拒绝服务、垃圾邮件、网络钓鱼、点击欺诈以及敏感信息窃取等为主,并没有出现新的攻击形式.但随着互联网用户和带宽的发展,僵尸网络的攻击能力也在不断增强.

　　从各安全机构的调查报告中可以看到,各种类型的攻击,尤其是垃圾邮件、网络钓鱼以及分布式拒绝服务,都处于持续的增长中.分布式拒绝服务的最大单次攻击流量已经超过100GBps,而且还出现了数次僵尸网络攻击致使大型ISP大面积服务发生故障的案例.

　　僵尸网络在攻击能力得到持续提升的同时,也呈现出按照不同类型恶意攻击行为的专业化发展趋势,近年来流行的许多僵尸网络实例专门针对它们所实施的特定类型攻击行为进行命令控制机制的设计与优化.例如,专门针对点击广告互联网经济模式进行点击欺诈的ClickBot.A,Fiesta与7cy等僵尸网络;引入代理隐藏机制、采用URL缩短和HTTPS加密以及变更邮件模版等策略以躲避检测的Rustock,Mega-D,Storm等各种spam僵尸网络;以及对命令控制信道进行加密并进行在线银行信息窃取的Zeus僵尸网络等.

　　研究表明,僵尸网络的攻击已经开始作为一种服务在地下市场中销售,如大规模的spam僵尸网络表现出很明显的租赁行为.而且地下市场的需求和竞争促使僵尸网络提供更为细致的服务,近期出现的Waledac僵尸网络通过其复杂的结构和控制机制能够提供不同质量的垃圾邮件服务.此外,有明显的迹象表明,存在一些种子僵尸网络(seedbotnets)来为构建其他的僵尸网络和攻击提供诸如恶意程序安装(payperinstall)、钓鱼网站停放、恶意域名停放等等服务.

　　1.3僵尸网络的命令与控制机制

　　僵尸网络的命令与控制机制决定了僵尸网络的拓扑结构、通信效率、可扩展性以及是否容易被防守者发现和破坏,是僵尸网络工作机制的核心部分.本节首先对目前已知僵尸网络的拓扑结构和通信协议进行分类,并结合案例介绍各种类型的僵尸网络的特点,然后总结僵尸网络在提高自身安全性方面的一些新的技术.

　　1.3.1僵尸网络的拓扑结构及通信协议

　　早期的僵尸网络主要以集中式的拓扑结构、以IRC作为主要的通信协议,后来逐渐出现采用其他结构和通信协议的僵尸网络.我们将目前已知的僵尸网络分为两大类:

　　(1)集中式僵尸网络,bot直接和控制服务器进行通信,bot之间没有通信行为.

　　(2)分布式僵尸网络,除了bot和控制服务器之间的通信以外,bot之间也会发生通信行为.集中式僵尸网络根据通信协议的不同又可分为IRC僵尸网络、HTTP僵尸网络以及自定义协议僵尸网络.分布式僵尸网络根据拓扑结构不同可进一步分为结构化P2P僵尸网络、无结构P2P僵尸网络以及层次化僵尸网络这3类.

　　1.3.1.1集中式僵尸网络

　　在集中式僵尸网络中,bot主要以轮询方式从控制服务器那里获得控制命令.如:在IRC僵尸网络中,bot周期性地加入IRC控制频道来获取消息;在HTTP僵尸网络中,bot定期访问控制服务器URL来检查是否有控制命令的更新.这类僵尸网络的弱点在于控制服务器容易暴露,但由于其具有结构简单、构建容易、通信效率高的特点,大多数僵尸网络仍然采用这种方式来构建.

　　（1）IRC僵尸网络

　　早期大多僵尸网络,如Agobot,GT-bot等以IRC服务作为命令与控制的信道,其典型结构所示.文献中对IRC僵尸网络的发展历史和工作原理进行了详细介绍.IRC僵尸网络采用已知明文协议,在端口和通信内容等方面具有比较明显的特征;而且IRC协议在网络流量中的比例很小,便于监测和分析.虽然IRC僵尸网络容易被检测和封锁,但由于其容易构建、控制方便而且实时性好,目前的僵尸网络仍有相当一部分比例使用IRC协议作为命令与控制的信道.

　　（2）HTTP僵尸网络

　　由于IRC协议的隐蔽性不好,很多僵尸网络开始使用HTTP协议替代IRC作为命令与控制方式.相对于IRC协议,HTTP是目前网络应用最主要的通信方式之一,基本不会被屏蔽.而且僵尸网络的通信可以隐藏在大量正常应用流量之中,具有更好的隐蔽性.另外,攻击者还可以很容易地升级到HTTPS来加密整个通信过程.采用HTTP作为通信协议的僵尸网络有Conficker,Rustock,Zeus,Torpig等.此外,少数僵尸网络,如Naz等,还直接利用流行的社交网站,如facebook,twitter等作为控制服务器,进一步增加了检测和封锁的难度.目前,HTTP已经成为大多数僵尸网络采用的命令与控制协议.

　　（3）自定义协议僵尸网络

　　少数僵尸网络采用自定义的协议进行通信,自定义协议相对更为隐蔽且其通信过程更不容易被研究者所理解.这类僵尸网络的代表有Mega-D,Mariposa等.Mariposa还采用了UDP作为传输层协议,相对于TCP,无连接的UDP通信更容易被防火墙等安全设备忽略,使其更加隐蔽.

　　1.3.1.2分布式僵尸网络

　　在集中式僵尸网络中,由于bot直接与控制服务器通信,导致控制服务器容易暴露.相比之下,分布式僵尸网络的控制服务器更加隐蔽,但同时也难以构建和维护,需要攻击者具有比较专业的知识.近年来出现的少数大规模分布式僵尸网络,如Storm,Waledac表现出了极其复杂而专业的结构和功能.

　　（1）结构化P2P僵尸网络

　　这类僵尸网络采用了结构化的P2P协议.代表性的有采用WASTE协议的Phatbot以及使用基于Kademlia协议的Overnet作为命令与控制方式的Storm等.虽然结构化P2P僵尸网络的控制服务器很难被发现,但P2P协议中的查找操作可以获得其他节点的信息,导致bot的匿名性较差.研究者利用这个弱点对Strom进行了跟踪,在Overnet中加入大量的伪装节点将大量的内容发布、搜索和路由请求导向伪装节点以识别出bot,从而可以估计出整个Storm僵尸网络的大小.

　　（2）无结构P2P僵尸网络

　　无结构P2P僵尸网络的bot随机地连接在一起,采用随机转发或洪泛的方式传递控制消息.已知僵尸网络中采用这种结构的有Sinit和Nugache.Sinit使用随机扫描的方式寻找其他的bot,而且使用了UDP53端口发送数据包但又不同于DNS的报文格式,容易被检测;Nugache维护了一份可连接的peer列表,从列表中随机挑选peer尝试连接,连接成功后再相互更新列表.

　　与结构化P2P僵尸网络一样,无结构P2P僵尸网络也有bot匿名性差的弱点.Dittrich等人通过不断地连接新的peer然后请求更新列表来对整个Nugache网络进行了枚举,得到所示的拓扑图.从拓扑中可以看出,Nugache对bot的连接数进行了限制,形成了一个均匀的随机连接的P2P网络.

　　（3）层次化僵尸网络