发现的僵尸网络的跟踪和深入分析, 提出了一个能够有 效识别 IRC 僵尸网络控制端的方法, 并在 CERNET 中进行了测 试, 分析了当前 CERNET 中僵尸网络的存在情况, 为进一步的 跟踪和捕获提供有效的依据。 本文首先对僵尸网络的机理进行的深入分析, 然后对僵尸 网络监控技术做了全面的介绍。在此基础上, 提出了一套僵尸 网络控制端识别系统方案, 并给出了实际监控的效果。
控制的计算机群。僵尸网络指的是攻击者利用互联网秘密建立 的可以集中控制的计算机群。僵尸网络由一组被感染了僵尸程 序( 的主机组成。Bot( 僵尸程序) robot 的简写, 是 可以自动 Bot) 执行预定义的功能, 可以被预定义的命令所远程控制, 并具有 一定人工智能的程序。僵尸程序一般同时具备复制、 通信和攻 击等功能, 它通过某种途径将自己植入到那些存在安全缺陷的 互联网主机中, 然后会以一种较隐蔽方式与指定的控制服务器 进行通信连接, 接收来自僵尸网络控制者的命令并执行它。僵 尸网络的生命周期一般包括传播构建和通信控制两个阶段, 在 不同阶段具有不同的行为特征。( 下图中的 Attacker 也有人称 之为“ ) herder”
技 术 创 新
1 僵尸网络机理分析
1.1 僵尸网络的组成 僵尸网络指的是攻击者利用互联网秘密建立的可以集中 张 冰: 博士 基金项目:科技部国家高技术研究发展计划( 863) “ 国家公共互联网安全监测、 预警与危机控制 关键技术研究” 课题支持( 2006AA01Z451) 《P LC 技术应用 200 例》
图 1 僵尸网络的组成 僵尸程序的蔓延形式 1.1 僵尸程序的蔓延形式主要通过两种途径: (1)基于主动攻击 的传播方法, 包括弱口令破解、 网络共享利用, 远程高危漏洞利 用等, 比如, 支持弱口令方法传播自己, 2004 年流行的 Ago Bot, 还能主动攻击三个常见高危漏洞 ( RPC DCOM、 IIS5 WEBDAV 和 RPC Locator 缓冲区溢出漏洞) 来传播自己。 (2)基于社会工程 的传播方法, 欺骗用户访问恶意网站, 发送欺骗性邮件, 欺骗用 户 执 行程 序 或 解 析 附 件 , 引 诱 用 户 点 击 URL 等 。 2004 年 CNCERT/CC 破获的国内首起僵尸网络案例就是通过恶意脚本 网站传播的。 1.2 僵尸网络的通信控制模式 目前常见的僵尸网络通信控制方式有如下 3 种: (1)IRC 通 信控制方式, 即攻击者在公共或者私密的 IRC 聊天服务器中开 辟私有聊天频道作为控制频道, 僵尸程序在运行时会根据预置 邮局订阅号: 82-946 360 元 / 年 - 51 -
信息安全
中文核心期刊 《微计算机信息》(管控一体化)2008 年第 24 卷第 7-3 期
的连接认证信息自动寻找和连接这些 IRC 控制频道, 收取频道 中的控制信息。 攻击者则通过控制频道向所有连接的僵尸程序 发送指令。(2)即时消息通信方式。常见的基于即时消息通信方 即 式的僵尸网络有 MSN Bot 和 AOL Bot 等。(3)P2P 通信方式, 通过 P2P 网络实现僵尸程序之间的相互通讯。
2 僵尸网络监控技术
2.1 僵尸网络的发现方法 目前国内外的僵尸网络监控技术主要包括: 基于蜜罐/蜜网 的监控方法、 基于网络流量特征分析的监控方法和基于频道特 征分析的监控方法。 最早使用蜜罐技术开展僵尸网络发现和跟踪研究的有法 国蜜网项目组、 华盛顿大学蜜网项目组, 以及德国蜜网项目组 等, 国内有以北京大学领导的中国蜜网项目组。通过在互联网 上部署蜜罐引诱来自僵尸网络的攻击、搜集僵尸程序样本, 通 过监控和分析蜜罐主机的详细日志来发现和跟踪僵尸网络。 但 无法发现已有的并不再传播的僵尸网络。 基于网络流量特征分析的僵尸网络主要利用分布部署的 互联网监测平台收集僵尸网络的通