僵尸网络(botnet)检测技术研究

1、僵尸网络(botnet)检测技术研究    【摘 要】对比目前的僵尸网络检测技术研究，提出一些新的络检测思路，尤其是针对P2P、HTTP、DNS等新型僵尸网络检测方法的一些思考。 【关键词】僵尸网络；黑客；检测方法 引言 僵尸网络经历了10年多的发展历程，已经演变成一种常见的黑客攻击手段。其控制者与僵尸主机的通讯方式也从早期的IRC演变出基于P2P、HTTP、DNS协议等方式。 1背景技术和相关工作 从检测原理上来说，大致可以分为两类方法：基于聚合计算的检测和基于DNS流量分析的检测。基于聚合计算的检测方法，主要是通过分析特征库来发现僵尸主机的活动。基于

2、DNS流量检测方法是收集受控主机的系统变化信息，发现僵尸程序的活动。 1.1基于聚合计算的检测方法 对于行为特征已知的僵尸网络，可以通过特征匹配的方式进行检测。但是对于未知的新型僵尸网络，这种方法就难以奏效了，此时我们可以通过分析僵尸网络发动大规模攻击时网络流量的记录，也可以找到僵尸主机甚至可以追踪到僵尸控制主机。这种检测方法是一种基于聚合计算的分布数据集中分析算法。具体的思路是： （1）当大规模DDoS攻击发生时，被攻击目标所在网络上的Netflow记录中会包括大量的攻击流量所形成的记录。 （2）通过聚类计算，很容易将这些具有相似特征的流量记录聚合成为一类，且这个聚类中包含的流量记录相对其它

3、聚类来说明显多很多。 （3）这个最大的聚类中所有的源IP地址，就是疑似参与攻击的地址。 （4）由于这些疑似参与攻击的IP分别属于不同区域甚至是不同运营商的网络，需要将分布在网络各处的疑似参与攻击的IP地址的流量记录在一起，再次对目的lP地址进行聚合计算。计算结果可以得到一组同时与这些疑似IP有联系的IP地址。这组IP地址就是高度疑似的控制主机地址。 （5）通过分析，某些疑似控制主机可能是一些非常受欢迎的网站，排除掉这些合法的IP地址，剩下的就很可能是控制主机的IP地址了。 （6）对于步骤4，还可以疑似参与攻击的IP作为目的IP，对源IP进行聚合计算，也可以得到一组疑似控制主机IP地址。 1.2

4、 基于DNS流量分析的检测方法 无论是哪种僵尸网络活动，都伴随着大量的DNS通讯异常。例如，对于基于IRC的僵尸网络，会伴随大量陌生怪异的DNS查询。在DNS日志中，可以发现同一个A记录，在短时间内有大量的重复查询请求。僵尸网络为了逃避追查，通常还会利用一种称为Fast-Flux网络的机制。这种机制通过快速轮换IP的方式，逃避对控制主机的追查。在DNS通讯特征上，就表现为： （1）一个域名，对应过多的IP地址。 （2）域名记录的TTL极短，通常在30分钟以内，远远低于48小时的通常情况，通过追查与异常DNS通讯相关的IP地址，就可以初步定位僵尸主机。总之，对DNS流量进行分析，也是僵尸网络检测

5、的一个发力点。 1.3 基于诱骗系统和流量检测系统的僵尸网络检测方案 前人做的工作中，大部分只针对某一类僵尸网络有效，适用范围较窄。以往的采用诱骗技术僵尸网络检测方案，只单独采用了蜜罐或蜜网系统，效果不甚理想。原因是这类攻击诱骗系统是被动检系统，在没有僵尸程序攻击的情况下，很难捕捉到僵尸主机的行为。鉴于这些检测技术的局限性，笔者设计了一种新的检测方案，将诱骗系统与流量监测系统结合在一起，很好的解决了以往检测技术通用性不强，应用范围窄的问题。诱骗系统的技术特点是观察口径小，但准确率高。而部署在网络边界的流量监测系统的观察口径大，但存在一定的误报率。两者结合发挥各自的长处，形成优势互补。该方案的具

6、体工作流程如下图： （1）蜜罐首先发现内网主机A正在设法感染自己，或者蜜罐设备自身已经被安装仿真的僵尸程序。 （2）蜜罐主机会主动与控制主机进行通讯，若蜜罐为基于P2P协议的僵尸主机，则会利用P2P协议主动联系其它僵尸主机，加入僵尸主机组成的僵尸网络。由于蜜罐主机是完全受控的设备，其通讯行为特征、通讯内容完全被网络管理人员所掌握。 （3）蜜罐主机可以向部署在网络边界的流量分析系统或IDS通报控制主机的相关信息，主要是控制主机的IP地址。 1.4流量分析系统则重点监控控制主机与内网主机的通讯 监测结果表明，外网的控制主机正在与内网主机B、C、D进行通讯，且通讯行为特征与僵尸主机的行为特征相似。

7、1.5至此，可以断定，内网的B、C、D主机以及主机A皆为僵尸网络的成员 在这个技术方案中，蜜罐主机充当一个打入到僵尸网络的卧底，可以将僵尸网络的活动情况真实准确的报告出来。而部署在网络边界的流量检测设备或IDS设备，则起到了“盯梢”的作用。 2总结 为了逃避追查，僵尸网络也在不断采用新的技术来伪装自己。例如，采用加密的方式进行通讯。采用定时自动升级的方式逃避杀毒软件的追杀。采用P2P、HTTP、DNS等更通用更常见的协议进行通信联络，使得很难将其同正常流量区分开来。因此为了应对日益错综复杂的僵尸网络，仅仅依靠某一单一的检测算法，很难有效的追踪到它。采用综合的联动的检测方法，才是解决问题之道。具

8、体的原则包括：（1）基于网络的检测与基于主机的检测相结合。（2）基于主机的检测结果可以共享给基于网络的检测设备，作为新的检查规则。（3）基于网络的检测要采集实时流量、流记录、DNS通讯数据等多种数据，并进行分析。 参考文献： 1Anestis Karasaridis，Brian Rexroad，David Hoeflin.Widescale Botnet Detection and Characterization 2Binkley，An Algorithm for Anomaly.based Botnet Detection 3Guofei Gu，BotHunter：Detecting Malware InfectionThrough IDS-Driven Dialog Correlation 4Napoleon C.Paxton，Gall-Joon Ahn，Richard Kelly，KevinPearson，and Bei-Ts