期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

基于流量的P2P僵尸网络检测

时间:2016-06-24 09:56 文章来源:http://www.lunwenbuluo.com 作者:李建 点击次数:

  摘要:网络的快速发展使其成为被攻击的对象。分布式结构僵尸网络攻击以其强大的攻击性和高破坏性被列为重要的网络安全威胁之一。为探索分布式结构僵尸网络的检测方法,文章从结构、感染过程等方面分析,提出基于流量的检测方法,通过过滤可疑流量、DNS流量检测等,判定是否受到僵尸网络攻击,并提出避免感染僵尸网络的防御措施。

  关键词:僵尸网络;P2P;可疑流量;流量检测;DNS检测

  引言

  据CNNIC报告,2015年上半年统计,我国网民总人数已达到6.68亿,周平均上网时间达25.6小时[1]。网络给人类提供便利的同时也带来一系列安全隐患,恶意网络攻击层出不穷。僵尸网络是控制者利用网络自身的弱点,通过网络在主机内部植入相关僵尸程序,使得该主机受其控制并秘密执行相关指令。据国家互联网应急中心(CNCERT/CC)报告显示,2014年我国境内遭木马僵尸感染的网络主机为1108.8万余台,遭木马僵尸控制的服务器为6.1万余台[2]。僵尸网络已成为网络安全最大威胁之一,P2P(Peer-to-Peer)协议由于其动态可扩充的特点和加入退出的灵活机制,成为近年来僵尸网络主要使用技术。如何对P2P僵尸网络制定有针对性的检测措施已成为关注的重点。

  1僵尸网络特点、结构、感染过程

  1.1僵尸网络特点

  僵尸网络(Botnet)是由被控主机组成的群体,通过使防御薄弱的计算机感染木马、蠕虫、间谍软件等病毒,进而主动从僵尸主机下载安装bot程序,形成受控制的僵尸网络系统。僵尸网络具有一定的分布性,随着bot病毒传播不断有新的僵尸主机添加到所控网络中,僵尸网络最明显的特征是行动统一。从传播性、可控性、隐秘性等方面看,僵尸网络与传统木马、蠕虫病毒相比具有更大危害性和破坏性。

  近年来,P2P技术被僵尸网络频繁使用,如Nugache就是通过IM(即时通信)工具,利用工作站漏洞以邮件方式传送病毒,开启TCP协议端后门实现僵尸网络的扩充,并使用加密代码遥控被控主机。新型的僵尸网络攻击技术有Hypervisor[3](VMM)、FastFluxdomains[4],Hypervisor可在被控主机不知情的情况下控制不同主机处理器和系统资源。FastFluxdomains是借助代理服务器更改IP达到隐藏自身目的。

  1.2僵尸网络结构

  僵尸网络结构分为两种:一种是集中式网络,由HTTP协议或IRC协议信道构建,由中心服务器连接所有被感染主机,控制主机通过一对多方式统一发布指令,其特点是易于控制所辖主机,但过于依赖中心节点的结构易被摧毁,如:spybot、Phatbot均是此类结构;另一种是分布式网络,鉴于P2P连接特点,其网络结构不存在中心节点,所有节点均对等,加入及退出灵活,节点间联系松散,在拓扑结构上继承P2P鲁棒性和可扩张性,且分布式的特点使得检测困难,是目前僵尸网络主要发展趋势,如图1所示。

  1.3僵尸网络感染过程

  P2P协议僵尸网络具有更强的稳定性,感染过程包括病毒传播、感染安装、连接、等待指令执行四个阶段。僵尸网络通过扩散bot程序达到扩大网络规模的目的,传播方式包括主动攻击OS漏洞、IM软件、Email病毒、网页挂马、恶意网站脚本等;主机感染后随着病毒的发作主动加入到僵尸网络中,并打开相应网络端口,等待接收执行指令;在连接、等待指令执行阶段,僵尸网络会对被控主机发出的命令进行身份认证,并调用指令发起攻击。

  从上述流程看,加入僵尸网络的终端将协同工作,会对网络造成极大损害,其表现如网络拥塞、消耗带宽、分布式拒绝服务攻击(DDos)、发送垃圾邮件等,易造成网络瘫痪、个人私密信息泄露。僵尸网络更倾向于窃取企业财务数据信息、机密商业信息,并利用企业间网络互联或同行业间的合作关系扩大攻击范围,给企业以重创。

  2僵尸网络的流量检测

  针对P2P僵尸网络信息流特点,提出基于流量的检测方法,检测过程包括流量采集、数据流量预处理、DNS流量检测、最终确定目标四个阶段,如图2所示。

  2.1网络流量的采集

  网络流量采集有一些较为成型的方法。张潇丹等在2012年提出一种基于云模式的流量采集方法[5]。随着网络种类不断增加,流量采集技术研究也呈现多样化趋势,基于规则的流量采集法[6],就是通过建模、设立规则,设计、实现流量采集。一种较完善的网络流量采集方法是使用Netflow协议采集IP流量数据信息,以报文形式输出到指定Netflow收集器,Netflow报文包括IP数据包大小、每秒数据流量、总数据流量等信息[7]。此阶段主要关注网络内、外数据流量情况。

  2.2P2P网络流量预处理

  网络流量预处理包括端口流量检测、TCP/UDP数据包检测法、信息流特征过滤等方法。

  网络端口分为三种:公认端口、注册端口、动态/私有端口。公认端口(常见端口),端口范围为0-1024,绑定为特定服务。如:端口23为Telnet服务所专用。注册端口,端口范围为1025-49151,大多无明确规定的服务对象,程序根据自身需求规定服务端口,一些远程控制软件或木马、蠕虫程序即规定此类端口为其服务。动态/私有端口,端口范围为49152-65535,木马程序常利用此类端口易于隐蔽的特点传递数据。


  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15995089042
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15995089042
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
18915033935
微信号咨询:
15995089042