期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

僵尸网络机理与防御技术(3)

时间:2015-12-25 15:55 文章来源:http://www.lunwenbuluo.com 作者:江健,诸葛建伟,段海新 点击次数:

  在通过部署蜜罐或以其他方式获取僵尸程序样本后,研究者通过对僵尸程序样本进行静态分析,并在受控的环境中运行僵尸程序,监控和分析其行为(botnettrackingorbotnetinfiltration)来揭示其背后僵尸网络的工作机制,整个分析过程可以视为对僵尸程序以及僵尸网络的逆向工程.

  由于不同僵尸程序和僵尸网络之间的差异很大,目前这方面的研究主要以人工的个案分析来进行.虽然缺少普适性方法的个案分析缺乏可扩展性,但安全社区仍然在这方面取得了不错的成绩,对新的僵尸网络和技术基本能够及时地发现和揭示,第1节中所介绍的各种僵尸网络工作机制多为个案分析后所得到的结果.

  以个案分析的方式进行僵尸网络的逆向工程面临可扩展性的问题,无法应对数量庞大的僵尸程序样本.此外,大多数个案分析没有揭示出僵尸网络工作机制背后的经济驱动力.针对这一问题,来自UCSD和UCBerkeley的研究团队提出了更为自动化、智能化和系统性的僵尸网络跟踪研究计划.这一计划主要包括3部分的研究内容:(1)安全受控以及可扩展的僵尸程序运行及跟踪平台Botfarm;(2)对僵尸网络命令与控制协议进行完整逆向工程;(3)在前面两部分研究的基础上对僵尸网络背后的地下经济体系进行研究.

  目前,这项研究计划正在持续开展中,并已在僵尸网络工作机制分析技术和地下经济体系调查等方面取得了丰硕的研究成果.设计实现了用于跟踪僵尸程序的Botfarm通用平台,并提出了僵尸网络命令控制协议的形式化模型与自动化逆向工程方法.在此基础上,研究者对Mega-D僵尸网络进行了深入的分析,并通过注入和改变控制命令的方法对Storm僵尸网络的价值链进行了分析.该计划最近还发表了多篇通过大规模跟踪和测量对垃圾邮件整体经济体系进行分析的论文,研究结论认为,支付环节是这一地下经济链的瓶颈,并建议采取相应的管理政策来遏制其发展.

  2.3僵尸网络特征分析

  对僵尸网络进行监测和跟踪的另一个目的是发现和分析其所具有的一些特征,近年来,这方面的研究主要包括针对spam僵尸网络的测量、对特定技术如fast-flux的特征分析以及网络流量内容特征提取.

  2.3.1SPAM僵尸网络测量研究

  Kreibich等人对Storm的研究结果表明,Storm采用了多种技术来逃避垃圾邮件过滤,包括使用词典随机生成内容、大量不同的模板、不停变换垃圾邮件中超链接的域名等等.

  John等人构建了一个受控的spam僵尸程序运行环境Botlab,通过运行并记录其新发出的垃圾邮件,然后和邮件服务器中原来的垃圾邮件结合进行关联分析用以研究spam僵尸网络的行为.其研究结果表明,垃圾邮件的来源集中在几个大的spam僵尸网络,而且多个僵尸网络的控制服务器IP地址都属于McColo这个ISP.研究者还将Botlab中获得的40270个恶意链接在GoogleSafeBrowsing黑名单中并进行了测试,发现没有一个包含在黑名单中,这说明Botlab这样的测量平台所获得的数据具有更好的实时性.Pitsillidis等人用类似Botlab的方法构建了BotnetJudo系统,从而利用僵尸程序发出的垃圾邮件作为样本,更好地对垃圾邮件进行过滤.

  2.3.2fast-flux特征分析

  fast-flux作为一种新的攻击技术引起了研究者的广泛关注,Holz等人首先对其特征进行研究,并提出了通过域名的A记录数、NS记录数以及域名对应IP地址所在的AS的数量这3项指标结合一定的权重进行计算的指标flux-score.根据这个评判标准,Holz等人对在spam中提取的7389个域名进行了测量,其中,2197个域名被认为是fast-flux域名,占到29.7%;而顶级域中,.com,.cn和.net的比例占据前三位.Nazario等人的研究发现,fast-flux域名的活跃期很短,他们测量的928个fast-flux域名平均活跃时间为18.5天,近三分之一的域名活动不到一个星期.平均每个域名累计对应2683个IP,最多的一个域名对应了超过10万个IP.Nazario等人还90JournalofSoftware软件学报Vol.23,No.1,January2012对428个fast-flux域名所关联的IP地址进行聚类分析,找出了26个不同的fast-flux域名停放网络.

  2.3.3僵尸网络流量内容特征的提取

  流量内容特征提取对僵尸网络的检测具有非常重要的意义,Rieck等人在文献中描述了一种自动提取僵尸网络通信的特征内容的方法——Botzilla.他们首先将恶意软件样本在受控的网络环境中重复运行并记录其通信内容,提取出其中的重复出现的内容作为待选特征串,然后通过正常通信内容记录进行筛选得出检测特征串.文献中对20种僵尸程序样本进行了实验,其中的17种成功生成出了特征串,而且生成的特征串在实验中表现出了很高的准确性,检测率平均达到94.5%,误报率仅为0.0001%.

  2.4僵尸网络检测技术

  如何准确地检测出被感染的主机或者已存在的僵尸网络,是应对僵尸网络威胁的一个关键问题.僵尸网络检测研究有两个要素:一是数据来源,二是对异常模式的定义.另外,检测方法的准确性、性能以及可部署性也是这方面研究的重要指标.

  目前的僵尸网络检测技术采用的数据源主要是网络流量以及一些应用程序的数据(如邮件记录以及DNS的日志记录),而对异常模式的定义主要有传统的基于内容特征(signature-based)异常基于特定行为(behaviorbased)异常.这两个方面总结了近年来的一些新的僵尸网络检测技术,下面我们以分类形式对这些检测技术的方法和特点进行分析.

  2.4.1基于网络流量内容特征的检测技术

  基于内容特征的检测是入侵检测系统的常规检测方法,这种方法适用于已知的具有明确特征的僵尸网络.

  如早期采用TCP/8端口的Nugache以及采用UDP/53端口的Sinit.另外,Phatbot,Conficker,Waledac等的研究报告中也都给出了可直接用于传统入侵检测系统的特征内容.

  基于内容特征的检测技术具有准确、快速、容易部署的特点,是目前实际应用最为广泛的检测方法.其局限性在于容易被变形、多态等技术所逃避,对未知的僵尸程序/网络没有检测能力;并且特征串的提取往往依赖于人工分析,难以应对目前急剧增长的僵尸程序数量.虽然文献中进行了自动提取网络流量特征内容的尝试并取得了很好的实验结果,但这种方式是否具有一般性还有待进一步加以研究.

  2.4.2基于网络流量行为特征的检测技术

  由于基于内容特征的检测方法具有一定的局限性,而研究者又认为僵尸网络的通信行为具有时间上的关联性和群体相似性,因此期望通过对网络流量进行分析找出更为一般性的网络行为异常模式以进行僵尸网络的检测.

  Zamboni等人根据同一僵尸网络中多个bot网络流量的相似性,提出了一种检测方法TAMD.TAMD从3个角度定义主机流量的相似:一是相同目的地址且通信频繁,二是流量内容类似,三是平台相同.TAMD通过从这3个角度对网络流量进行聚合来检测bot.Nagaraja等人提出了一种通过网络流量分析对结构化P2P僵尸网络进行检测的方法BotGrep,BotGrep需要对ISP骨干网的流量进行采集,得到网络节点之间的流量分布图,然后通过随机游走(randomwalk)方法从图中检测出结构化P2P网络的子图,再结合其他如蜜罐等检测系统的结果来判断是否为僵尸网络.

  理想状态下,基于网络流量行为的检测方法不容易被逃避,且具有检测未知僵尸网络的能力.但目前,多数这类检测方法在精确度和可部署性方面还无法达到实际应用的需要,其主要困难在于:

  (1)僵尸网络的通信行为复杂多样,很难对异常行为准确定义,通过聚类等自动学习的方式很难保证精确度;(2)背景流量同样复杂多样,很难对正常和异常进行区分;(3)网络流量数据量极大,而通信行为进行分析往往需要借助采用计算量很大的机器学习等算法,难以做到实时检测.

  2.4.3基于关联分析的检测技术

  由于bot受botmaster的控制进行恶意攻击活动,所以其通信行为往往和一些恶意事件,如DDoS攻击、扫描、二进制文件下载等在时间上具有关联性.Gu等人基于这一特性,在前期工作BotHunter的基础上又提出了BotSniffer和BotMiner两种检测方法.BotSniffer基于对同一局域网中bot活动的时间和空间上关联性(spatial-temporalcorrelation)的假设,从网络中的IRC以及HTTP流量中识别出可疑的僵尸网络命令与控制通信,然后再结合扫描、二进制文件下载、spam等异常事件日志进行关联分析来进行检测.BotMiner尝试实现不依赖于具体协议的检测方法,通过将所有的流量按目的地址和端口进行聚合作为基本单位,再根据一系列的流量属性进行聚类分析以得到通信行为类似的组,再结合异常事件的日志进行关联分析来检测出可疑的bot组.

  除了Gu等人的工作以外,最近发表的RB-Seeker也采用了关联分析的方法.先通过网络流量数据关联spam信息以及DNS的日志记录找出可疑域名,再对可疑域名进行探测,并通过机器学习的方法来检测出恶意域名,然后再和DNS日志记录进行关联来找出可能的bot.

  把网络行为和一些明确的恶意事件与数据进行关联可以缩小检测范围,提高精确度.但目前,这方面的研究仍然有其局限性.BotHunter和BotSniffer需要依赖于内容特征以及特定类型的僵尸网络通信协议,BotMiner虽然不依赖于特定的协议和僵尸网络拓扑结构,但需要进行计算量很大的聚类分析,难以保证精确度而且实时性不好.RB-Seeker也使用了难以保证精确度及实时性的机器学习等方法,且其只针对特定的僵尸网络活动.

  2.4.4基于应用数据和日志分析的检测技术

  除了网络通信以外,僵尸网络的一些行为特征,如群体相似性等,也会体现在其所使用的一些网络服务,如DNS、邮件服务的日志记录中,研究者尝试从这类数据中找出具有异常特征的记录来识别出可能的僵尸网络.

  Choi等人在文献中提出bot主机对控制服务器的DNS查询具有群体活动的特点,他们根据时间段对查询记录按域名进行分组,如果同一个域名在不同时间段内的查询IP地址有很高的重合度,则表明这些IP地址代表的主机是可疑的bot,而该域名为可疑的控制服务器.

  僵尸网络所发出的垃圾邮件也具有一定的群组相似性.Zhuang等人对垃圾邮件的内容进行分析,根据内容的相似性来对垃圾邮件进行分组,再对分组中的发送者IP地址进行分析来识别出不同的僵尸网络.Xie等人的研究借鉴了这种思想,他们提出一种自动生成垃圾邮件特征码的方法AutoRE,以识别僵尸网络发出的垃圾邮件.AutoRE通过提取E-mail中的URL来生成特征码,然后对具有类似URL特征码的E-mail及其发送者IP地址进行分组,再根据E-mail分组的IP地址分布和持续时间来判断发送者是否为僵尸网络bot.

  为提高垃圾邮件的发送成功率,一些僵尸网络通过bot自动注册和激活hotmail,gmail等邮件服务商帐号,然后登录到服务器上发送垃圾邮件.Zhao等人设计并实现了通过对邮件服务器帐号激活日志和登录日志进行分析来检测可疑bot以及相关邮件帐号的系统BotGraph[58].BotGraph包括两种检测方法:一种方法从帐号激活日志中分析单个IP地址突发的帐号激活操作来判断该IP是否为可疑的bot;另一种检测方法的异常定义为邮件帐号的IP地址共享行为,可疑的IP地址会登录多个邮件帐号,而可疑的邮件帐号会在多个IP地址登录.

  2.5僵尸网络的主动遏制技术

  在通过应用蜜罐、行为和特征分析以及检测等各种技术获得僵尸网络的相关信息,如bot的地址、僵尸程序感染源以及命令与控制服务器的地址和域名后,需要进一步通过黑名单、恶意域名清除等方式来抑制僵尸网络的传播和攻击以及关停已经确认的僵尸网络.

  通过路由和DNS黑名单的方式屏蔽恶意的IP和域名是一项简单而有效的技术,如CNCERT/CC对Conficker僵尸网络的命令与控制域名即采用了sinkhole技术进行屏蔽.对于终端用户和网络管理员来说,主要问题是如何获得恶意IP地址以及域名的数据.目前,已有大量的研究机构和个人在网络上共享了通过僵尸程序分析、IDS日志分析等方法获得的恶意IP地址和域名的黑名单.这一方面的研究工作主要关注于黑名单的及时性和准确性.Sheng等人对钓鱼网址黑名单的及时性和准确性进行了系统的测量,Felegyhazi等人探讨了通过关联分析的方法基于已有的域名黑名单提前预测恶意域名的可能性.

  针对基于Web的传播和攻击方式的流行,Google启动了GoogleSafeBrowsing项目来收集并发布挂马和僵尸程序宿主网页以及钓鱼网站,并以黑名单的形式集成在firefox和chrome浏览器中.其他厂商也进行了类似的工作,目前,各主流的Web浏览器均加入了黑名单机制来阻止用户对恶意网址的访问.

  更为直接的方法是直接关停僵尸网络所使用的域名或关闭其命令与控制服务器的网络连接.这种方式面临的困难主要是管理和政策方面的问题.一个僵尸网络所使用的域名和控制服务器往往分布在不同的行政区域,各区域管理机构难以协同对其进行处置.而且部分地域对恶意网络活动缺乏监管,导致大量的恶意域名和控制服务器集中在所谓的安全区域(bulletinproofdomainregistrarandISP),难以得到处置.近年来,一些大型的企业、安全机构和各国管理机构开始尝试对僵尸网络的大规模的协同处置行动.对Waledac,Rustock进行的域名关停以及断开存在大量控制服务器的ISPMcColo的网络连接,都取得了明显的效果.就此也有一些相应的研究工作,Liu等人结合中国对cn域名的监管以及enom对恶意域名的打击这两个案例,讨论了域名监管政策对恶意网络活动的影响.Stone-Gross等人通过跟踪僵尸网络控制服务器以及恶意网站的地址建立了对ISP进行评分的信誉系统,以促进ISP对其域内的恶意站点进行清理.

  3、讨论


  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15995089042
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15995089042
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
18915033935
微信号咨询:
15995089042