僵尸网络传播模型分析

僵尸网络传播模型研究

图１僵尸程序的功能模块
常将僵尸程序和蠕虫捆绑，利用蠕虫来传播僵尸程序，因此这类僵尸网络继承网络蠕虫的传播特
性。从图１尸程序的功能模块中可以看出，僵僵
在受控的前提下僵尸网络的传播和网络蠕虫的传播是相似的。通常的蠕虫代码都包含三个功能模块：扫描模块、攻击模块和复制模块。蠕虫的
ｎｔｒｆｏｅｏｍａｙｃｎｒｌｅａｉｎｈｐＷｉｈｅｅｏｍｅｔｆｎｔｏｋｔｃｎｌｇｔｅｓｒａｆｂｔｅｓｉａｕｅｏｎ－ｎｏｔｌｔｓｉ．ｔｔｅｄｖｌｐｎｅｗｒｅｈｏｏｙ，ｐｅｄｏｏｎｔｓ４ｏｒｏｈｏｈａｓｖｌｉｇＳｕｙｎｈｒｐｇｔｎｃａａｔｒｔｓｏｏｎｔｐｅｄｎｎｓｅｉｇｉｉｔｇａｌｙｈｌｏｅｏｖｎ．ｔｄｉｇｔｅｐｏａａｉｈｒｃｅｓｉｆｂｔｅｓｓｒａｉｇａｄｍａｔｒｔｎｅｒｙａｅｔｅｏｉｃｎｌｐｅｅｕｓｅｏｋｎｏｎｅ－ａｕｅ．ｎｕｎａｃｒｔｒｐｇｔｎｍｏｅｓｉｅｓｎｉ１Ｔｉｐｐｒｓｍｍａｒｒｑｉｉｆａｉｇｃｕｔｒｍｅｓｒｓａｄｔｓａｃｕａｅｐｏａａｉｄｌｓｓｅｔ．ｈｓａｅｕｔｔｈｏａ — ｒｅｅｅｉｉｇｂｔｅｒｐｇｔｎｍｏｅｓａｄａａｙｅｈｉｄａｔｇｓａｄｄｓｄａｔｇｓＳｓｔｒｖｄｅ－ｉｓｈｘｓｎｏｎｔｏａａｉｄｌｎｎｌｚｓｔｅｒａｖｎａｅｎｉｖｎａｅＯａｏｐｏｉｅｒｆｚｔｔｐｏａ

僵尸程序网络行为分析及检测方法研究

华中科技大学硕士学位论文僵尸程序网络行为分析及检测方法研究姓名：冉俊秀申请学位级别：硕士专业：信息安全指导教师：李汉菊20090526华中科技大学硕士学位论文摘要僵尸网络是由多个被植入僵尸程序的主机构成，它往往被用以发起大规模的网络攻击，同时被植入僵尸程序的主机，其信息也面临被泄露的威胁。

无论是网络运行安全还是用户数据安全，僵尸网络都是巨大的安全隐患！因此，有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。

目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。

基于行为特征的检测技术能够比较精确的检测僵尸程序的活动，但是处理数据的能力有限；而基于流量特征的检测技术能够处理较大规模的数据量，但是存在较大的误报。

基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点，有效地检测在较大背景流量中活动的僵尸程序。

由于目前在僵尸程序代码的设计上存在结构化的特性，同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。

分析了僵尸程序的流特征，根据实验结果，设计出了基于轻量级有效载荷协议匹配算法。

然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。

基于以上分析，设计并实现了一个原型系统，系统主要包含了三个模块：网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。

为了检测网络中的僵尸活动，首先，网络流预处理模块对网络流量进行监控分析，通过白名单技术过滤掉正常网络流量；然后，使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包；最后，通过序列假设检验分析模块识别僵尸程序的活动。

为了进行验证，在局域网环境部署了多台有僵尸程序活动的主机，然后利用原型系统对获取的网络流量进行分析处理，分析结果表明能够对局域网内的僵尸活动进行有效检测。

关键词：僵尸程序，网络行为，基于轻量级有效载荷协议匹配算法，序贯概率比检验算法华中科技大学硕士学位论文AbstractBotnets are constituted by many hosts which are infected by bots. Botnets are always used for launching large scale network attack. Meanwhile, the infected hosts encounter the thread of information revelation. Botnets are serious hidden danger for both network running security and user data security. Thus, detecting botnets effectively is urgent for nowadays network management.Currently, research of botnet detecting is mainly focus on behavioral characteristics and flow characteristics. Behavioral characteristics based detecting technology can detect bots accurately, but its data processing ability is limited. Flow characteristics based detecting technology can process large scale data, but its false alarm rate is a little high. The method discussed in this paper combine the advantages of these two methods and can effectively detect botnet activities in large background trafic.Analyzing flow characteristics of Botnet, within the same botnet will likely demonstrate patial-temporal correlation and similarity because of the structured nature of Botnet. Design a protocol matching algorithm based on light-weight payload according to the experimental results. And then determine network behavior of bots using the sequential probability ratio test algorithm.Due to above research, A prototype system is designed and implemented, which contains three main modules: network flow preprocessing module, protocol matching module based on light-weight payload, and analysis module based on sequence probability ratio test algorithm. First of all, filter out known flow which can not be botnets flow through whitelist technology; Secondly, identify suspicious botnets C&C flow in the remaining flow by using the light-weight payload technology; Finally, identify bots activities by using sequential probability ration testing algorithms.In order to test and verify the method discussed in this paper, arrange several hosts containing bot activities, then analysis and process the captured network flow by using the prototype system. The result shows that the method can detect bot activities in LAN effectively.Keywords: bots, network behavior, protocol matching algothrim based on light weightpayload, sequential probability ratio tesing algorithm独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。

僵尸网络的威胁与解决策略

僵尸网络的威胁与解决策略1引言僵尸网络是2005年国际网络安全领域的重点研究对象，其英文也叫botnet，bot是rebot(机器人)的缩写，botnet意为受控制的，可以自动发起攻击的网络，其中的bot就是僵尸程序，只有种植了bot的计算机才可以叫做僵尸计算机；因此，僵尸网络可以描述为由众多被同一攻击者通过互联网秘密植入控制程序的可以被集中控制的计算机群。

僵尸网络是黑客攻击手段和病毒、恶意代码等发展到一定程度，必然会出现的一种结合了各种技术特点的新攻击方式。

它具有DDOS攻击的网络结构，同时具有木马的可控性和蠕虫病毒的大面积传播性。

2僵尸网络的结构与安全威胁2.1僵尸网络的结构Bot程序很早就存在，且是作为网络管理员辅助程序出现的，这种程序可以自动完成一些固定的操作，oicq自动回复聊天的程序模块，也可以叫做聊天bot。

但后来人们发现，把这种思想和木马结合起来，就成为“主动联网的可远程控制他人”的程序，这就直接导致了botnet的出现。

最早是采用IRC协议和b0t技术结合，利用IRC聊天服务器来控制僵尸计算机构成僵尸网络，现在也逐渐出现了AOLbot和P2Pbot，使得僵尸网络越来越隐蔽，潜在的危害也越来越大。

图2-1基于IRC协议的僵尸网络结构可以看出僵尸网络由三部分构成：被植入bot程序的计算机群，也叫僵尸计算机(客户端)，会主动联系IRC服务器；一个或者多个控制服务器，多是互联网中的公共服务器，如IRC聊天室服务器，通过它们控制者的命令可以被迅速下达；攻击者的控制终端，用来向整个僵尸网络发出指令。

2.2僵尸网络的形成目前最常见的僵尸网络都是基于IRC协议的，这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。

IRC协议采用C/S模式，用户可以通过客户端连接到IRC服务器，并建立、选择并加入感兴趣的频道，每个用户都可以将消息发送给频道内所有其他用户，也可以单独发给某个用户。

基于加权网络的僵尸网络传播模型研究

的主机，导致僵尸网络的规模迅速扩张。相比传统网络安全威
胁，僵尸网络更显复杂和严重。据（２０１１年我国互联网网络安全态势综述》报告，２０１１年，ＣＮＣＥＲＴ全年共发现近８９０万余个
境内主机ＩＰ地址感染了木马或僵尸程序，较２０１０年大幅增加７８．５％。自１９９３年，第一个良性僵尸程序Ｅｇｇｄｒｏｐ的出现，到
际的僵尸网络传播情形。为准确地描述现实中的各种网络，从开始的随机图模型、规则网络到小世界网络，再从无标度网络模型到加权网络模型，网络理论的发展是基于实际网络的拓扑特征进行的。小世界网络概念的提出，弥补了规则网络演化过程中具有长平均和随机网
ｔｅｒｉｓｔｊｃｓ０ｆａｂｏｔｎｅｔｉｎａｃｔｕａ】ｎｅｔｗｏｒｋｓ．
Ｋｅｙｗｏｒｄｓ
ＷｅｉｇｈｔｅｄｎｅｔｗｏｒｋｓＢｏｔｎｅｔＴｏｐｏｌｏｇｉｅｓｔｒｕｃｔｕｒｅＰｒｏｐａｇａｔｉｏｎｃｈａｒａｃｔｅｒｉｓｔｉｃｓ
ＣａｏＸｉａｏｌｉＮｉｕＺｈｉｌｉｎｇ
（Ｄｅｐａｒｔｍｅｎｔｏｆｈ￣ｏｎｎａｔｉｏｕＥｎｇｉｎｅｅｒｉｎｇ，ＨｅｎａｎＰｏｌｙｔｅｃｈｎｉｃ，Ｚｈｅｎｇｚｈｏｕ４５００４６，Ｈｅｎａｎ，Ｃｈｉｎａ）

无尺度网络下具有免疫特征的僵尸网络传播模型

（．ｅａｏａｏｙｏｉｕｎＶｕｌｏｐｔｇ＆Ｖｒａｅｌ）Ｃｌｇｏｐｔ，ｉｕｎＮｒｌｎｖｒｔ，ｈｎｄ１０８ＣｉａｒＫｙＬｂｒｔｒｃａｉａｍｕｉ１ｆＳｈｓＣｎｉｕｌａ＃，ｏｅｅｆＣｍｕｅＳｃａｏｍａｉｓｙＣｅｇｕ６０６，ｈｎｔＲ，ｌｏｒｈＵｅｉ２ＩｓｔｔｏｏｐｔｇＴｃｎｌｙｈｎｓＡｃｄｍ厂ｃｎｅ，ｅｉｇ１０８，Ｃｉａ．ｎｔｕｅｆＣｍｕｉｅｈｏｏ，ＣｉｅａｅｙＤＳｉｃＢｉｎ０００ｈｎ）ｉｎｇｅｅｓｊ
关键词：无尺度网络；僵尸网络；僵尸程序；易感染主机；传播模型；免疫特征中图分类号：Ｔ３３Ｐ９文献标志码：Ａ文章编号：１０ —６５２１）３１２ —４０１３９（０２０－０８０
ｄｉ１．９９ｊｉｎ１０－６５２１．３０２ｏ：０３６／．ｓ．０１３９．０２０．６ｓ
量僵尸主机，通过一对多的命令和控制信道所组成的网并
０引言
无尺度网络中各个节点的度分布服从幂律分布。在无尺
络。在僵尸网络初步建立以后，击者就可以控制受害主攻机在接收其命令的情况下继续传播僵尸程序。当受害主机的
第２９卷第３期
２１０２年３月
计算机应用研究
ＡｐｌａｉｎＲｅｅｒｈｏｏｕｅｓｐｉｔｓａｃｆＣｍｐｔｒｃｏ

僵尸网络综述

纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集・哈尔滨２００６尸）１４】，ＩＲＣＢｏｔ就会自动连接到指定的ＩＲＣ频道等候命令，这样由许多已被攻陷的，可在一个ＩＲＣ频道被远程控制的主机组成的网络结构，叫作ＩＲＣＢｏｔｎｅｔ（僵尸网络）。

虽然ＩＲＣ协议作为实现Ｂｏｔｎｅｔ的协议不是最好的，但由于ｌＲＣ服务器可以免费获得并且容易搭建，许多攻击者又有几年的ＩＲＣ通讯经验，ＩＲＣ协议是目前最流行的Ｂｏｍｅｔ通信协议。

２Ｂｏｔｎｅｔ结构、形成及功能２．１Ｂｏｍｅｔ结构由ＩＲＣＢｏｔ组成的ＩＲＣＢｏｔｎｃｔ（以下称Ｂｏｔｎｅｔ）的结构如图２．１【５ｌ：图２．１Ｂｏｔｎｅｔ结构其中ＩＲＣＢｏｔ模拟ＩＲＣ客户端，使用ＩＲＣ协议与ＩＲＣ服务器进行通信，ＩＲＣＢｏｔ至少要模拟以下命令１２］：（１）ＮＩＣＫ和ＵＳＥＲ：用于标志用户和用户所属主机，相当于一个ＩＤ。

（２）ＰＡＳＳ：设置和发送口令。

（３）ＪＯＩＮ＃Ｃｈａｎｎｅｌ：加入频道。

（４）ＭＯＤＥ：修改频道模式。

（５）Ｐ１ＮＧ和ＰＯＮＧ：维护与服务器的连接，当用户空闲时，服务器端向用户发送ＰＩＮＧ，用户回应ＰＯＮＧ，表示客户端存活。

（６）ＰＲＩＶＭＳＧ：向频道或者用户发送消息。

（７）ＤＣＣＳＥＮＤ：发送文件。

２．２Ｂｏ仃ｌｅｔ的形成及控制攻击者首先通过编写新的Ｂｏｔ或者修改现有的Ｂｏｔ得到将要投放的Ｂｏｔ，然后攻击者扫描某段网络，如Ｃ段网，一旦发现目标，攻击者就对目标进行探测和攻击，通常扫描的端口集中在以下几个端口，如表２．１１６１：表２．１端口服务对照表端口相关服务ＴＣＰ／８０ＨｔｔｐＴＣＰ／１３９ＣＩＦＳＴＣＰ／４４５ＣＩＦＳＵＤＰ／１３７ＮｃｔＢｌ０ＳＵＤＰ／１４３４ＭＳＳＱＬＳｅｒｖｅｒ攻击者利用被扫描主机的漏洞，通常这个过程利用某种蠕虫进行攻击。

获得管理员权限。

如果成功攻陷主机，攻击者把编写好的Ｂｏｔ工具利用ＴＦＴＰ、ＦＴＰ、ＨＴＴＰ或者Ｃｓｅｎｄ（ＩＲＣ用来给其他用户发送文件的一个扩展，可比于ＤＣＣＳＥＮＤ）上传到主机。

僵尸网络 (最终版)

自动连接检测的判断规则为： if Tpi<Tt∧S=true∧F=yes，then pi ∈Puser,or pi ∈Pauto
DNS 反应行为分析
进程的 DNS 反应行为：指的是进程进行DNS 查询活动以及对查询结果的反应事件构成的事件序列，其中反应事件指的是使用 DNS查询中涉及的 IP地址尝试建立连接的行为及结果。
召集与保护
召集：僵尸网络客户端首次发起与僵尸命令与控制（Command and Control,
C&C）服务器联系。主要目的是让傀儡牧人知道其已经加入僵尸网络。
通信：不同的僵尸网络采用不同的网络协议来构建C&C信道
协议
➢ IRCP (Internet Relay Chat Protocol，因特网中继聊天)； ➢ HTTP(HyperText Transfer Protocol,超文本传输协议)； ➢ P2P(peer-to-peer)。
僵尸网络的保护措施：
对抗反病毒模块：保护新僵尸机以防被删除。
例子：半分布式P2P僵尸网络
从半分布式 P2P 僵尸程序（bot 程序）植入受控主机，到组建成完整的半分布式 P2P Botnet，共经过了以下几个阶段：
僵尸网络命令与控制机制
自身安全性
• 隐蔽性和匿名性 • 加密机制 • 认证机制 • 网络发现机制
记录时间间隔T内待检测进程的DNS反应行为
提取特征值H（Sd）和rate
用训练得到的分类器进行检测
判断是否为僵尸进程
检测过程
图 DNS反应检测流程图
僵尸程序检测算法
僵尸程序数据收集
序号 Bot1 Bot2 Bot3 Bot4 Bot5 Bot6 Bot7 Bot8

僵尸网络研究1

僵尸网络研究
民硕四班：刘倩
一、引言
1.1、僵尸网络的发现
僵尸网络是近年来兴起的危害互联网网络安全重大安全威胁之一。据CNCERT/CC统计，中国内地被控僵尸网络数量全球排名第一，2005年发现的规模超过5000台的僵尸网络达143个，2006年上半年发现的规模超过5000台的僵尸网络数量达 188个。这些僵尸网络的控制服务器很多位于国外，对我公共互联网的安全造成了严重的威胁。
2) AOL botnet。与IRC bot类似,AOL为美国在线提供的一种即时通信服务,这类botnet是依托这种即时通服务形成的网络而建立的,被感染主机登录到固定的服务器上接收控制命令。 3) P2P botnet。该类botnet中使用的bot程序本身包含了P2P的客户端, 可以连入采用了Gnutella技术(一种开放源码的文件共享技术)的服务器,利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接,就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信,而当有一些bot被查杀时,并不会影响到botnet的生存,所以这类的botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。
3.2Botnet的跟踪
3.3Botnet的检测方法
3.3.1 行为特征统计分析的检测方法
僵尸网络有其自身无法避免的弱点,就其产生的异常行为也具有一定的规律性。可供统计的bot-net一些异常行为规律性包括: IRC服务器隐藏信息、长时间发呆(平均回话时长3. 5 小时),昵称的规律性,扫描,频繁发送大量数据包(每个客户端每秒至少发生5~10个包),大量陌生的DNS查询,发送攻击流量,发送垃圾邮件,同时打开大量端口,传输层流特征, 特定的端口号 (6667, 6668,6669, 7000, 7514)等。通过对上述特征的归纳总结,形成了可以用来判断基于IRC协议的botnet的服务器端的规则。利用该规则,就可以针对僵尸网络异常行为特征直接确定出botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。 AT&T实验室的AnestisKarasaridis等人提出一种针对僵尸网络异常行为特征在ISP骨干网层面上检测和刻画僵尸网络行为的方法。