信流量,通过特征匹配和 关联分析技术发现僵尸网络。影响较大的包括国外的 DDos- CAIDA 组 织 和 FORNET 项 目 组 织 , 以 及 国 内 的 Vax 组 织 、 CNCERT/CC 组织。基于网络流量特征分析的方法不仅可以发 现和跟踪正在传播的僵尸网络,还可以发现和跟踪不再传播 的僵尸网络, 但对网络流量采集器的部署要求较高, 一般研究 组织无法具备这个条件。 基于 IRC 频道特征分析的僵尸网络发现和跟踪方法是的主 要原理是收集 ( 包括主动和被动收集)某些 IRC 频道的特征属 性,并通过先前建立的知识库信息来判别该 IRC 频道是否为僵 尸网络。 Binkey 采用被动方式对波特兰州立大园网络进 J.R. 行监控,统计 IRC 服务器频道内各客户端的消息发送行为和网 络扫描行为,最后根据网络扫描数量比例对这些 IRC 频道进行 排序, 将那些包含多数扫描节点的频道判定为“ 邪恶频道” 。 2.2 僵尸网络规模监测方法 一种僵尸网络规模监测方法是: 通过捕获 IRC 僵尸样本中 提取的连接认证信息, 直接登录到僵尸网络控制服务器, 使用 IRC 命令或其它方法获得关于本僵尸网络规模等相关信息。但 目前僵尸网络控制者越来越多地采用修改过的 IRC 服务器程 并刻意隐藏本 IRC 频道内的其他用户 序来构建 IRC 僵尸网络, 信息, 通过定制的 IRC 客户端直接登录 IRC 僵尸网络来测量其 规模变得越来越难。Georgia 理工大学研究人员通过劫持僵尸 网络的 DNS 解析服务,将僵尸网络中的僵尸主机连接定向到 他们的僵尸测量网络, 从而观测到僵尸网络中大部分僵尸主机 的连接活动。 2.3 僵尸网络控制方法 切断僵尸网络控制服务器和被控主机之间的联系, 是快速 消除僵尸网络威胁的最有效的方法。 具体控制措施包括禁用僵 尸网络的 DNS 解析、通过防火墙阻断僵尸程序和控制服务器 之间的通信等。 在客户端清除僵尸程序是彻底清除僵尸网络的 方法, 可以通过及时升级操作系统和应用程序补丁, 安装反病 理工大学僵尸网络 毒软件等避免主机被安装僵尸程序。 Georgia 研究项目组提出了对僵尸网络客户端的随机控制方法( Random Response)和对僵尸网络控制服务器的目标控制方法( Target , Response)并分析这两种反制方法对不同结构僵尸网络的有效 但实施起 性。目前的控制措施对 IRC 类型僵尸网络比较有效,
-
来可能比较困难。 2.4 僵尸网络发展趋势分析 僵尸程序设计者将采取有效措施来防范对其建立的僵尸 网络的发现、 跟踪和劫持, 使得僵尸网络的生存能力更强。基于 占的比例不太大, 但它的复杂 P2P 协议的僵尸网络出现比较晚, 性使得对它的进行监测比较困难。 对于 P2P 僵尸网络的自动发 现和跟踪研究将会成为重点。
3 僵尸网络控制端识别系统的设计 与实现
3.1 识别系统结构设计 通过跟踪大量的僵尸网络和正常的 IRC 服务器的内部信 息, 可以看到两者存在着一定的差异。通过总结分析将采集控 制端的开设频道数、 可列出频道数、 所有用户数、 不可见用户数 和连接的服务器数, 这五个属性作为内部信息属性, 组成内部 信息属性向量。 识别系统的输入为网关采集到的流量, 输出为对每个 IRC 服务器的判断结论。系统整体设计思路为首先择选出网关流量 中的 IRC 协议流量, 对得到的数据进行数据预处理; 然后对预 处理后的信息列表进行子网分析, 空闲信息分析和恶意信息分 析, 每个服务器得到对应的七个流量属性值; 同时根据整理出 来的服务器地址列表, 通过模拟的 IRC 客户端采集服务器内部 信息, 得到对应的五个内部信息属性值; 再使用训练模块产生 的判决决策树, 分别进行识别, 最后将流量分析和服务器内部 信息