僵尸网络的检测与对策

1、僵尸网络的检测与对策院系：软件学院专业：网络工程0901郭鹏飞学号：200992389关于僵尸网络僵尸网络(botnet)是指通过各种传播手段，在大量计算机中植入特定的恶意程序， 将大量主机感染僵尸程序病毒，使控制者能够通过相对集中的若干计算机直接向大量计 算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活 动。起名为僵尸，很形象地揭示了这类危害的特点：众多的计算机在不知不觉中如同僵 尸一般驱赶和指挥着，成为被人利用的一种工具。僵尸网络中涉及到的概念：bot程序：rebot的缩写，指实现恶意控制功能的程序。僵尸计算机：指被植入bot的计算机。控制服务器(Control

2、 Server):指控制和通信的中心服务器，在基于 IRC协议进行控制的僵尸网络中，就是指提供IRC聊天服务的服务器。DDoS攻击：利用服务请求来耗尽被攻击网络的系统资源，从而使被攻 击网络无法处理合法用户的请求。僵尸网络特点：首先，是一个可控制的网络，这个网络并不是具有拓扑结构的网络，它具有 一定的分布性，新的计算机会随着 bot程序的传播，不断被加入到这个网络 中。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击， 邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行僵尸网络的传播。 最后，僵尸网络的最主要的特点，就是可以一对多地执行相同的恶意行为， 比如可以同时对某目标网站

3、进行 DDos攻击，同时发送大量的垃圾邮件等， 这一特点使得攻击者能够以较低的代价高效地控制大量的资源为其服务。 Bot程序的传播途径:主动攻击漏洞。邮件病毒。即时通信软件。恶意网站脚本。特洛依木马。僵尸网络的工作过程包括传播、加入和控制三个阶段。在传播阶段之后， 将进入加入阶段。在加入阶段，每一个被感染主机都会随着隐藏在自身上的 bot程序的发作而加入到僵尸网络中去。在 IRC协议的僵尸网络中，感染bot 程序的主机会登录到指定的服务器和频道中，登录后，该主机会在在频道中 等待控制者发来的指令。在控制阶段，攻击者通过中心服务器发送预先定义 好的控制指令，让被感染主机执行恶意行为，如发起DDo

4、s攻击、窃取主机敏感信息、更新升级恶意程序等。僵尸网络的控制方式包括：IRC僵尸网络、AOL僵尸网络、P2P僵尸网 络等。而bot程序可分为以下几类：Agobot/Phatbot/Forbot/XtremBot 、 SDBot/RBot/UrBot/SpyBot、GT-Bots 等。僵尸网络的检测僵尸网络的检测从检测原理上来说，大致可以分为三类方法：行为特征统计分析bot行为仿真以监控流量数据特征匹配行为特征统计分析：僵尸网络是一种恶意行为，拥有僵尸网络的人会有意隐藏服务器的基本信息， 如连入的用户数、可见的用户数、服务器内所建立的频道等。由于加入到僵尸网络的服务器中的nickname是由bo

5、t程序生成，所以这些bot 的nickname应符合一定的生成算法，符合某种规律，这些规律可以从得到的bot 源码中发现并总结出来。这些用户的nickname的规律性和正常的IRC Server中的 nickname的随意性不同。由于僵尸网络中的感染bot程序的主机是被动控制的，所 以在没有僵尸网络控制者指令的条件下是不会有所行为的。僵尸网络在传播和准备发起攻击之前，都会有一些异常的行为，如发送大量的 DNS查询、发送大量的连接请求等等。综上所述，可供统计的一些异常行为包括：IRC服务器隐藏信息、长时间发呆、 昵称的规律性、扫描、频繁发送大量数据包、大量陌生的DNS查询、发送攻击流 量、发送垃

6、圾邮件、同时打开大量端口、传输层流特征、包大小、特定的端口号。 bot行为仿真及监控：利用主动式和被动式蜜罐系统获取Bot程序样本，监控Bot主机的传播方式和 通讯方式，从而得到僵尸网络的行为特征，包括感染行为：驻留系统的模式、安装 文件、修改文件、修改注册表、对系统进程和函数的调用、键盘操作记录、对系统 服务和网络服务的控制。传播行为包括：扫描、漏洞的利用。通信行为包括：IP 地址、端口号、协议特征、命令。对代码特征的分析包括：加壳与脱壳、Shellcode、 特征指令序列、文件片段。对日志的关联分析：系统日志、IPS攻击日志、流量信 息记录。常用的分析方法包括：沙箱法（一种按照安全策略限制

7、程序行为的执行环 境）和蜜网在线信息收集法（常见的系统监控程序包括SEBEK、入侵检测系统） 流量数据特征匹配：采用流量数据特征匹配方法，必须充分了解僵尸程序，提取指纹信息作为IDS 检测的特征。传统的IDS系统都是关注入流量，并查找点对点的入侵企图的恶意 特征。NIDS系统具有检测初始的方向入侵企图。但是从这些海量的入侵告警记录 中找到被感染的主机是非常困难。为了解决这个问题，入侵告警关联可以使分析人 员获得对告警事件流的更概括的解释。这里着重介绍下BotHunter软件，BotHunter管理器是一个基于IDS驱动的会 话管理技术的具体实现。它是由Snort驱动的，它利用了 Snort s

8、特征引擎的全部 优势，合并了一个恶意软件特征的大的集合，可以产生由探索漏洞活动所引起的对 话告警，代码下载、以及C&C的服务模式。BotHunter管理器还包括了两个Bot 特征异常检测插件：SLADE和SCADEo SLADE对某种协议的字节分布差异进行 分析，这种差异代表通常的入侵行为。SCADE对流入和流出流量执行并行且互补 的端口扫描分析。BotHunter关联器将入方向的扫描和入侵告警与出方向嫌疑比较大的已感染 主机的通讯模式关联。如果发现有足够多的告警序列与BotHunter模型匹配，则生 成一个完整报告，涵盖所有相关的事件和参与会话的感染主机。BotHunter有4种工作模式：L

9、IVEPIPE，默认模式：直接输入 BotHunter configureshutdownstatus会进 入这个模式的文件夹执行。LIVEFILE，实时文件模式：Snort先将log存入实时文件，BotHunter再对 该log文件进行处理。BATCH，批处理模式：离线处理已经保存好的snort日志文件，可以批处 理。4.INLINE，在线模式：直接读网络数据进行检测，结果会存到bhProfiles.txt 中。防治僵尸网络的对策采用Web过滤服务Web过滤服务是迎战僵尸网络的最有力武器。这些过滤服务扫描Web站点的不正常 行为，或者扫描已知的恶意活动，并且阻止这些站点与用户接触。Webse

10、nse及 Cyveillance等公司的工具都可以实时地监视互联网，并查找从事恶意或可疑活动的站 点，如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它可疑操作。转换浏览器防止僵尸网络感染的另一种策略是采用微软的Internet Explorer或Mozilla的 Firefox之外的浏览器。这两者是最流行的浏览器，但正因为如此，恶意软件作者们通 常也乐意为它们编写代码。同样的策略也适用于操作系统，据统计，苹果操作系统、桌 面Linux操作系统用户很少受到僵尸网络的侵扰，这是因为大多数僵尸程序的作者都把 目标指向了流行的Windows操作系统。禁用脚本一个极

11、端的措施是完全地禁用浏览器的脚本功能，但需要注意的是，有时候这会不 利于工作效率，特别是在使用了定制的、基于Web的应用程序时更是如此。部署入侵检测和入侵防御系统应调整IDS（入侵检测系统）和IPS（入侵防御系统），使之可以检测具有僵尸主机特 征的活动。例如，重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑 的。此外还有一些典型特征，如一个机器中SSL通信的突然上升，特别是在某些端口上 更是这样，这就可能表明一个僵尸控制的通道已经被激活了。限制用户生成的内容。Web开发人员应避免无意成为恶意软件犯罪的帮凶，在其网站程序中应该严格控制 用户生成的内容，在不影响网站功能的前提下给与用

12、户最小的权限。使用补救工具如果发现了一台被感染的计算机，那么一个临时应急的重要措施就是如何进行补 救。像Symantec等公司都宣称，他们可以检测并清除即使隐藏最深的rootkit感染。 其它的反病毒厂商也都试图保护系统免受rootkit的危害，如McAfee和FSecure等。McAfeeLab的研究人员通过在McAfee入侵防护系统中加入各种新的安全技术，从而实现了对于僵尸网络的全面网络防护，卜图给出了该系统防护Torpig的方式:巾cfpid EX* IrwMI 初：lim MtWw. ih：5 DLLTdrjMd C&CPtiihr-gHTM.InmDn/FifeJ Oatnuni.

13、Iftrw C&CIbrTwat Fitl：ydrfV3bVlctwn CllwwRrmctiMD4tcUon |对应于Torpig僵尸网络的感染途径，该系统可以起到以下作用。步骤1：属于正常的Web访问，无需阻断；步骤2：通过McAfee入侵防护系统的漏洞保护功能，阻断Torpig通过iframe方 式修改用户的浏览器；步骤3：仍属于正常的Web访问，无需阻断；步骤4：通过McAfee入侵防护系统的Artemis云安全技术，检测并阻断服务器下发的Rootkit和恶件，避免该桌面机成为僵尸网络客户端；步骤5：属于IRC通信，无需阻断；步骤6：通过McAfee入侵防护系统的Artemis云安全技术，检测并阻断服务器下 发的TorpigDLL，避免浏览器注入等攻击；步骤7：通过McAfee入侵防护系统的行为检测技术，检测并阻断每20分钟的上传 窃取信息到TorpigC&C服务器上；步骤8：通过McAfee入侵防护系统的行为检测技术，检测并阻断TorpigC&C服务 器下发的配置文件；步骤9：属于正常的Web访问，无需阻断；步骤10：文件传输，无需阻断。通过这一方式