版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p> 課題名稱(chēng): 僵尸網(wǎng)絡(luò)的研究 </p><p><b> 摘要</b></p><p> 僵尸網(wǎng)絡(luò)是由被僵尸程序感染的網(wǎng)絡(luò)上計(jì)算機(jī)組成的可相互通信、可被控制的網(wǎng)絡(luò),是一種新型的網(wǎng)絡(luò)攻擊形式,對(duì)網(wǎng)絡(luò)安全構(gòu)成了很大危害,也為網(wǎng)絡(luò)戰(zhàn)提供了一種新的進(jìn)攻手段。介紹了僵尸網(wǎng)絡(luò)的概念和演化過(guò)程,深入剖析了僵尸網(wǎng)
2、絡(luò)的功能結(jié)構(gòu)和工作機(jī)制,討論了僵尸網(wǎng)絡(luò)的傳播模型,提出討論了僵尸網(wǎng)絡(luò)的檢測(cè)和反制方法,對(duì)僵尸網(wǎng)絡(luò)的發(fā)展趨</p><p> 勢(shì)和軍事上的應(yīng)用作了展望。</p><p> 目前僵尸程序的檢測(cè)主要有基于行為特征的檢測(cè)技術(shù)和基于流量特征的檢測(cè)技術(shù)。基于行為特征的檢測(cè)技術(shù)能夠比較精確的檢測(cè)僵尸程序的活動(dòng),但是處理數(shù)據(jù)的能力有限;而基于流量特征的檢測(cè)技術(shù)能夠處理較大規(guī)模的數(shù)據(jù)量,但是存在較大的誤
3、報(bào)?;诰W(wǎng)絡(luò)僵尸程序檢測(cè)方法能夠較好的結(jié)合這兩種檢測(cè)技術(shù)的優(yōu)點(diǎn),有效地檢測(cè)在較大背景流量中活動(dòng)的僵尸程序。</p><p> 由于目前在僵尸程序代碼的設(shè)計(jì)上存在結(jié)構(gòu)化的特性,同一個(gè)僵尸網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)行為和消息在時(shí)間和空間上都表現(xiàn)出了極大的關(guān)聯(lián)性和相似性。分析了僵尸程序的流特征,根據(jù)實(shí)驗(yàn)結(jié)果,設(shè)計(jì)出了基于輕量級(jí)有效載荷協(xié)議匹配算法。然后利用序列假設(shè)檢驗(yàn)算法對(duì)僵尸程序的網(wǎng)絡(luò)活動(dòng)進(jìn)行動(dòng)態(tài)的判定。</p>
4、<p> 關(guān)鍵詞:僵尸程序,網(wǎng)絡(luò)行為,網(wǎng)絡(luò)安全,僵尸網(wǎng)絡(luò)惡意代碼,網(wǎng)絡(luò)戰(zhàn)。 </p><p><b> Abstract</b></p><p> A botnet is the program on the web infection zombie computer can be composed of communication, can be
5、 control network, is a new type of network attack form of network security constitutes the very great harm, but also for WangLaoZhan provides a new offensive means. Introduces the concept of the botnet and evolution proc
6、ess, this paper explores the botnet function structure and work mechanism, and discusses the spread the botnet model, discussed the botnet detection and counterspell method, the d</p><p> Potential and mili
7、tary application are discussed.</p><p> At present the main testing program zombie based on behavior characteristics of the testing technology based on the characteristics of the flow and testing technology
8、. Based on behavior characteristics of the testing technology can be more precise detection of zombie program activities, but limited ability to deal with data; Based on the characteristics of the flow and testing techno
9、logy to be able to deal with a large amount of data, but there is large misstatement. Based on network zombie prog</p><p> Because the present in the zombie program code on the design of the characteristics
10、 of the existing structured, within the same botnet bots behavior and the news in time and space showed a lot of connections and similarity. Analysis of the zombie program flow characteristics, according to the experimen
11、tal results, the design based on lightweight payload agreement matching algorithms. And then the sequence of hypothesis test algorithm of zombie program for dynamic network activity of the judgment</p><p>
12、Keywords: zombie procedures, network behavior, network security, botnet malicious code.</p><p><b> 目 錄</b></p><p> 選題背景- 4 -</p><p> 一、緒論- 5 -</p><p>
13、 二、僵尸網(wǎng)絡(luò)的演化過(guò)程和工作機(jī)制- 6 -</p><p> 1、僵尸網(wǎng)絡(luò)的演化- 6 -</p><p> 2、僵尸網(wǎng)絡(luò)的工作機(jī)制- 7 -</p><p> 2.1、僵尸網(wǎng)絡(luò)的工作模型- 7 -</p><p> 2.1.1、僵尸網(wǎng)絡(luò)的傳播- 7 -</p><p> 2.1.2、僵尸網(wǎng)絡(luò)的加
14、入- 8 -</p><p> 2.1.2、僵尸網(wǎng)絡(luò)的控制- 9 -</p><p> 2.3、僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)- 9 -</p><p> 三、僵尸網(wǎng)絡(luò)的檢測(cè)和反制- 10 -</p><p> 1、僵尸網(wǎng)絡(luò)的檢測(cè)- 10 -</p><p> 2、僵尸程序檢測(cè)技術(shù)- 12 -</p&g
15、t;<p> 3、僵尸網(wǎng)絡(luò)的反制- 13 -</p><p> 四、致謝- 14 -</p><p> 參考文獻(xiàn)- 15 -</p><p><b> 選題背景:</b></p><p> 近年來(lái),隨著Intemet在全球的迅速發(fā)展,其技術(shù)已廣泛滲透到各個(gè)領(lǐng)域。由Intemet發(fā)展所帶來(lái)的網(wǎng)
16、絡(luò)系統(tǒng)的安全問(wèn)題受到越來(lái)越多的關(guān)注。在信息戰(zhàn)中,計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)的強(qiáng)大威懾力集中體現(xiàn)在對(duì)信息化社會(huì)具有巨大的破壞作用上,它將是一種對(duì)社會(huì)破壞潛力最大、技術(shù)手段最新、發(fā)展最快的形式。世界各主要國(guó)家和地區(qū)都把發(fā)展信息戰(zhàn)能力作為國(guó)家安全戰(zhàn)略和軍事戰(zhàn)略的重點(diǎn),特別是重點(diǎn)開(kāi)發(fā)計(jì)算機(jī)網(wǎng)絡(luò)攻防武器和手段。僵尸網(wǎng)絡(luò)是一種具有很大作戰(zhàn)效能的</p><p> 進(jìn)攻手段。僵尸網(wǎng)絡(luò)不同于以往簡(jiǎn)單的安全事件,它相當(dāng)于一個(gè)高效、隱蔽的攻擊平
17、臺(tái)。利用該平臺(tái),攻擊者能夠發(fā)起各種各樣的破壞行為,由于平臺(tái)的搭建使得這些破壞行為產(chǎn)生聚合,造成比傳統(tǒng)破壞行為更大的危害,并且使得攻擊的防范難度增大。僵尸網(wǎng)絡(luò)將攻擊源從一個(gè)轉(zhuǎn)化為多個(gè),乃至一個(gè)龐大的網(wǎng)絡(luò)體系,攻擊者通過(guò)網(wǎng)絡(luò)來(lái)控制受感染的系統(tǒng),同時(shí)不同地造成網(wǎng)絡(luò)危害,如更快地傳播蠕蟲(chóng)、短時(shí)間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進(jìn)行非法目的牟利、發(fā)起大范圍的分布式拒絕服務(wù)攻擊等,受控網(wǎng)絡(luò)的存在,給危害追蹤和損失抑制帶來(lái)巨大的麻煩,這也是僵尸網(wǎng)絡(luò)迅
18、速發(fā)展的原因。</p><p><b> 一 緒論</b></p><p> 僵尸網(wǎng)絡(luò)(botnet)是被攻擊者遠(yuǎn)程控制的、而其用戶(hù)尚無(wú)感知的一群計(jì)算機(jī)。攻擊者通常利用僵尸網(wǎng)絡(luò)發(fā)起各種惡意行為,比如對(duì)任何指定主機(jī)發(fā)起分布式拒絕服務(wù)攻擊(DDoS)[1]、發(fā)送垃圾郵件(Spam)[2]、獲取機(jī)密、濫用資源等。傳統(tǒng)的惡意代碼有后門(mén)工具(如 rootkit)[3],網(wǎng)絡(luò)
19、蠕蟲(chóng)(Worm)[4]和特洛伊木馬(Trojan horse)[5]等,僵尸網(wǎng)絡(luò)來(lái)源于傳統(tǒng)惡意代碼但是又高于傳統(tǒng)惡意代碼。僵尸網(wǎng)絡(luò)的發(fā)展一般經(jīng)歷傳播、加入和控制三個(gè)階段,通過(guò)這三個(gè)階段,僵尸程序會(huì)根據(jù)中心服務(wù)器的控制命令下載、更新僵尸樣本。正因?yàn)榻┦W(wǎng)絡(luò)能隨時(shí)更新樣本,使得僵尸程序能夠保持良好的健壯性。</p><p> 僵尸網(wǎng)絡(luò)中心服務(wù)器通過(guò)命令與控制通道對(duì)網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)進(jìn)行控制,僵尸程序分類(lèi)方法比較多樣,
20、但是一般以命令與控制機(jī)制作為分類(lèi)標(biāo)準(zhǔn)。當(dāng)前,僵尸網(wǎng)絡(luò)的命令與控制機(jī)制主要有 3 種:基于 IRC 協(xié)議的命令與控制機(jī)制、基于 HTTP 協(xié)議的命令與控制機(jī)制和基于 P2P 協(xié)議的命令與控制機(jī)制?;?IRC 和基于 HTTP 的命令與控制機(jī)制是C/S模式,存在一個(gè)集中控制服務(wù)器,并通過(guò)該服務(wù)器向網(wǎng)絡(luò)內(nèi)的各僵尸主機(jī)發(fā)送命令;基于P2P協(xié)議的命令與控制機(jī)制采用的是點(diǎn)到點(diǎn)的對(duì)等模式,網(wǎng)絡(luò)內(nèi)的各僵尸主機(jī)均可以作為僵尸網(wǎng)絡(luò)的中心服務(wù)器。&l
21、t;/p><p> 二、僵尸網(wǎng)絡(luò)的演化過(guò)程和工作機(jī)制</p><p><b> 1、僵尸網(wǎng)絡(luò)的演化</b></p><p> Bot是秘密運(yùn)行在被控制計(jì)算機(jī)中、可以接收預(yù)定義的</p><p> 命令和執(zhí)行預(yù)定義的功能,具有一定人工智能的程序。Bot的本質(zhì)就是一個(gè)網(wǎng)絡(luò)客戶(hù)端,它會(huì)主動(dòng)連接到服務(wù)器讀取控制指令,按照指令
22、執(zhí)行相應(yīng)的代碼。僵尸網(wǎng)絡(luò)是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來(lái)的。1993年,在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了第一個(gè)bot程序一Eggdrop,能夠智能地協(xié)助管理員完成一些重復(fù)工作,這種hot的功能是良性的,但這個(gè)設(shè)計(jì)思路被黑客利用。他們編寫(xiě)出了惡意的hot程序,對(duì)大量的受害主機(jī)進(jìn)行控制,利用其資源以達(dá)到惡意目的。</p><p> 20世紀(jì)90年代末,隨著分布式拒絕服務(wù)攻擊的成熟,出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如d
23、n、tfn2k和trinoo,攻擊者利用這些工具控制大量的被感染主機(jī),發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來(lái)說(shuō)已經(jīng)具有bomet的雛形。1999年,在第八屆defcon年會(huì)上發(fā)布的sub—seven 2.1版開(kāi)始使用IRC協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道,這是第一個(gè)真正意義上的僵尸程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn),如gtbot、sdbot等,基于IRC協(xié)議的botnet成為主流。</p>&l
24、t;p> 2003年之后,隨著蠕蟲(chóng)技術(shù)的不斷成熟,hot的傳播開(kāi)始使用蠕蟲(chóng)的主動(dòng)傳播技術(shù),從而能夠快速構(gòu)建大規(guī)模的botnet。著名的有2004年爆發(fā)的agobot/gaobot和rbot/spybot。同年出現(xiàn)的phatbot則在agobot的基礎(chǔ)上,開(kāi)始獨(dú)立使用P2P協(xié)議構(gòu)建控制信道以及2004年5月出現(xiàn)的基于H1阿P協(xié)議構(gòu)建控制信道的Bobax。從良性hot的出現(xiàn)到惡意bot的實(shí)現(xiàn),從被動(dòng)傳播到利用蠕蟲(chóng)技術(shù)主動(dòng)傳播,從使用
25、簡(jiǎn)單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式,僵尸網(wǎng)絡(luò)逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測(cè)的惡意網(wǎng)絡(luò)。</p><p> 地下經(jīng)濟(jì)與僵尸網(wǎng)絡(luò)的發(fā)展</p><p> 同任何由金錢(qián)驅(qū)動(dòng)的市場(chǎng)一樣,僵尸網(wǎng)絡(luò)開(kāi)發(fā)者就像經(jīng)營(yíng)一個(gè)合法的生意那樣工作:他們利用合作、貿(mào)易和開(kāi)發(fā)流程以及質(zhì)量等好處。最近,僵尸網(wǎng)絡(luò)已經(jīng)開(kāi)始使用生命周期管理工具、面向?qū)ο蠛湍K化等通用的軟件質(zhì)量做法。僵
26、尸網(wǎng)絡(luò)開(kāi)發(fā)者正在銷(xiāo)售其軟件和感染載體,提供說(shuō)明書(shū)和技術(shù)支持,并且收集用戶(hù)的反饋意見(jiàn)和要求。在僵尸網(wǎng)絡(luò)團(tuán)體中,一致的經(jīng)濟(jì)目標(biāo)是推動(dòng)技術(shù)。在線易貨貿(mào)易和市場(chǎng)網(wǎng)站已經(jīng)開(kāi)始為這種地下經(jīng)濟(jì)團(tuán)體服務(wù),向僵尸牧人提供更好的易貨貿(mào)易和交易方式、在線技術(shù)支持以及租借和租賃等服務(wù)。這里可以銷(xiāo)售和購(gòu)買(mǎi)僵尸網(wǎng)絡(luò)節(jié)點(diǎn)或者僵尸網(wǎng)絡(luò)群。僵尸牧人在對(duì)一個(gè)實(shí)體展開(kāi)攻擊的時(shí)候會(huì)在這里尋求合作。竊取的身份證和賬戶(hù)可以在這個(gè)地下市場(chǎng)的參與者之間交換和出售。</p>
27、<p> 2、僵尸網(wǎng)絡(luò)的工作機(jī)制 </p><p> 2.1僵尸網(wǎng)絡(luò)的工作模型</p><p> 僵尸網(wǎng)絡(luò)的工作模型包括傳播、加入和控制三個(gè)階段:</p><p> 僵尸網(wǎng)絡(luò)的工作模型包括傳播、加入和控制三個(gè)階段:</p><p> 2.1.1 僵尸網(wǎng)絡(luò)的傳播</p><p> 僵尸網(wǎng)
28、絡(luò)首先需要一定規(guī)模被控制的僵尸主機(jī),為了提高僵尸網(wǎng)絡(luò)的規(guī)模,僵尸程序通常會(huì)采用各種方法進(jìn)行傳播。僵尸程序的傳播方式與蠕蟲(chóng)、病毒等惡意代碼很相近,主要采取以下幾種:</p><p><b> (1)主動(dòng)攻擊</b></p><p> 其原理是通過(guò)攻擊系統(tǒng)所存在的漏洞獲得訪問(wèn)權(quán),并利用Shellcode執(zhí)行bot程序注入代碼,感染被攻擊系統(tǒng),使之變成僵尸主機(jī),成為僵
29、尸網(wǎng)絡(luò)的一部分。這類(lèi)攻擊方式描述如下:首先,黑客進(jìn)行手動(dòng)攻擊,獲取主機(jī)權(quán)限后下載 bot 程序,然后執(zhí)行下載的 bot 程序,這類(lèi)工具有 metasploit[16]等,原理就是利用掃描器找出網(wǎng)段中有漏洞的機(jī)器,然后通過(guò)緩沖區(qū)溢出,獲取主機(jī)的控制權(quán)限。</p><p> 僵尸網(wǎng)絡(luò)主動(dòng)攻擊漏洞的全過(guò)程:</p><p> 第一步Tenable Nessus 3掃描目標(biāo) IP 段,獲取
30、主機(jī)(如 172.17.255.5 )的漏洞信息,</p><p> 根據(jù)掃描報(bào)告信息,擬采用 MS06-040。</p><p> 第二步use windows/smb/ms06_040_netapi /*利用 ms06_040_netapi 漏洞*/</p><p> 第三部set PAYLOAD windows/shell/reverse_tc
31、p /*設(shè)定對(duì)應(yīng)的 PAYLOAD*/</p><p> 第四步set RHOST 172.17.255.5 /*設(shè)定遠(yuǎn)程主機(jī) IP*/</p><p> 第五步 set LHOST 172.17.255.11/*設(shè)定本地主機(jī) IP*/</p><p> 第六步 exploit /*溢出,溢出成功*/</p><p&
32、gt; 首先,利用Tenable Nessus 3掃描漏洞,然后利用掃描到的漏洞,設(shè)定對(duì)應(yīng)的</p><p> PAYLOAD,遠(yuǎn)程 IP 和本地 IP,最后溢出成功,獲得目標(biāo)主機(jī)的控制權(quán)。</p><p><b> (2)郵件病毒。</b></p><p> 僵尸程序的另外一個(gè)傳播途徑是通過(guò)垃圾郵件,感染僵尸程序的主機(jī)加入到僵&l
33、t;/p><p> 尸網(wǎng)絡(luò)以后,會(huì)向外發(fā)送大量垃圾郵件。一般情況下,黑客在垃圾郵件附件中攜帶僵尸程序,或者通過(guò)社會(huì)工程學(xué)[17]誘惑用戶(hù)下載包含僵尸程序樣本的附件,并運(yùn)行該樣本,使的主機(jī)被僵尸程序感染。</p><p> (3)即時(shí)通信軟件。</p><p> 社會(huì)工程學(xué)不僅可以應(yīng)用在郵件病毒傳播僵尸程序,而且還可以應(yīng)用在即時(shí)通訊軟件(QQ、MSN 等),這類(lèi)方法
34、雖說(shuō)效率不高,但是因?yàn)榫W(wǎng)絡(luò)用戶(hù)總數(shù)的巨大,使得該方法成為一種比較簡(jiǎn)單實(shí)用的僵尸程序感染方法。在實(shí)際僵尸網(wǎng)絡(luò)環(huán)境中,有相當(dāng)數(shù)量僵尸主機(jī)是通過(guò)這種方式被感染的。</p><p> (4)惡意網(wǎng)站腳本。</p><p> 黑客可以攻擊獲取 WEB 服務(wù)器主機(jī)的控制權(quán),或者偽裝成常用的 WEB 服務(wù)器,然后再主機(jī)上綁定惡意腳本,當(dāng)訪問(wèn)者訪問(wèn)這些網(wǎng)站時(shí),往往會(huì)在不知不覺(jué)的情況下下載并執(zhí)行僵尸程序
35、,使得正常主機(jī)被感染變成僵尸主機(jī),成為僵尸網(wǎng)絡(luò)的一部分。</p><p><b> (5)特洛伊木馬。</b></p><p> 黑客可以將僵尸程序樣本放在特洛伊木馬中,然后將這些木馬放到特定的地方,誘使用戶(hù)在不知情的情況下下載并執(zhí)行這些僵尸程序樣本,使得正常主機(jī)被感染成為僵尸主機(jī),成為僵尸網(wǎng)絡(luò)的一部分。</p><p> 2.1.2
36、 僵尸網(wǎng)絡(luò)的加入</p><p> 正常主機(jī)被感染成為僵尸主機(jī)后,就進(jìn)入到加入階段。在加入階段,隱藏在被感染主機(jī)的僵尸程序開(kāi)始運(yùn)行,隨后被感染主機(jī)加入到僵尸網(wǎng)絡(luò)中。每種不同的僵尸程序的加入方法不盡相同。IRC 僵尸網(wǎng)絡(luò)中,僵尸主機(jī)登錄到指定的服務(wù)器和頻道,然后等待僵尸網(wǎng)絡(luò)中心控制服務(wù)器的惡意指令。HTTP 僵尸網(wǎng)絡(luò)和IRC 僵尸網(wǎng)絡(luò)類(lèi)似,同樣都有中心控制服務(wù)器,但是HTTP僵尸網(wǎng)絡(luò)不會(huì)加入到服務(wù)器和
37、頻道,而是直接登錄到指定的 WEB 頁(yè)面,然后在 WEB 頁(yè)面上下載、更新僵尸程序樣本。</p><p> P2P僵尸網(wǎng)絡(luò)沒(méi)有中心控制服務(wù)器,而且有多個(gè)控制命令發(fā)送服務(wù)器,被感染的僵尸主機(jī)一般是從 IP 最相近的服務(wù)器上下載、更新僵尸程序樣本。為了保證 IP 最近,一般采用異或求最小的方法。</p><p> 2.1.3 僵尸網(wǎng)絡(luò)的控制</p><p>
38、 經(jīng)過(guò)加入階段后,僵尸主機(jī)將進(jìn)入到僵尸網(wǎng)絡(luò)的控制階段,僵尸網(wǎng)絡(luò)的控制是</p><p> 通過(guò)發(fā)送控制命令來(lái)實(shí)現(xiàn)的,每一種僵尸網(wǎng)絡(luò)的控制命令發(fā)送方式都各不相同。每個(gè) IRC僵尸主機(jī)都存在于一個(gè)服務(wù)器和頻道中,僵尸主機(jī)通過(guò)頻道接收中心服務(wù)器發(fā)送的控制命令,并采取相應(yīng)的操作;HTTP 僵尸主機(jī)則是直接從僵尸中心控制服務(wù)器的 WEB 頁(yè)面上獲取各種控制命令;P2P 僵尸網(wǎng)絡(luò)和 IRC 僵尸網(wǎng)絡(luò)、HTTP 僵尸網(wǎng)絡(luò)
39、不同,有多個(gè)控制服務(wù)器,所以P2P僵尸主機(jī)會(huì)從最近的控制服務(wù)器獲取控制命令。接收了控制服務(wù)器的控制命令以后,僵尸主機(jī)將在中心服務(wù)器的命令下發(fā)起多種惡意攻擊。</p><p> 2.2僵尸網(wǎng)絡(luò)的功能結(jié)構(gòu)</p><p> 僵尸網(wǎng)絡(luò)是一個(gè)可控制的網(wǎng)絡(luò),它不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò),它具有一定的分布性,隨著僵尸程序的不斷傳播而不斷有新的被僵尸程序感染的計(jì)算機(jī)即僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)
40、絡(luò)中來(lái)。一般情況下,僵尸網(wǎng)絡(luò)由僵尸計(jì)算機(jī)、命令與控制服務(wù)器和攻擊者組成。其典型結(jié)構(gòu)如圖1所示。</p><p> 其中根據(jù)命令與控制信道采用協(xié)議的不同,可以將僵尸網(wǎng)絡(luò)分為基于IRC的僵尸網(wǎng)絡(luò)、基于P2P的僵尸網(wǎng)絡(luò)和基于HTTP的僵尸網(wǎng)絡(luò)。</p><p> 通過(guò)對(duì)目前主流僵尸程序的總結(jié).可以提出如圖2所示的僵尸程序功能結(jié)構(gòu)[4]。僵尸程序的功能模塊可以分為主體功能模塊和輔助功能模塊,主
41、體功能模塊包括了實(shí)現(xiàn)僵尸網(wǎng)絡(luò)定義特性的命令與控制模塊和實(shí)現(xiàn)網(wǎng)絡(luò)傳播特性的傳播模塊,而包含輔助功能模塊的僵尸程序則具有更強(qiáng)大的攻擊功能和更好的生存能力。</p><p> 其中主體功能模塊中的命令與控制模塊是僵尸程序的核心模塊,攻擊者通過(guò)命令與控制模塊實(shí)現(xiàn)和僵尸計(jì)算機(jī)的交互,對(duì)僵尸計(jì)算機(jī)發(fā)出控制命令,并通過(guò)命令與控制信道接收僵尸計(jì)算機(jī)對(duì)命令的執(zhí)行結(jié)果。傳播模塊通過(guò)各種手段將僵尸程序傳播至網(wǎng)絡(luò)上新的主機(jī),并使其加入
42、僵尸網(wǎng)絡(luò),從而達(dá)到擴(kuò)展僵尸網(wǎng)絡(luò)規(guī)模的目的。僵尸程序的傳播方式包括通過(guò)遠(yuǎn)程掃描軟件的漏洞傳播、掃描弱密碼</p><p> 傳播、掃描惡意代碼留下的后門(mén)進(jìn)行傳播、通過(guò)網(wǎng)頁(yè)惡意代碼傳播、通過(guò)發(fā)送郵件病毒傳播、通過(guò)文件共享傳播和通過(guò)即時(shí)通訊軟件及P2P下載軟件等方式傳播。輔助功能模塊是對(duì)僵尸程序除主體功能外其他功能的歸納,主要包括信息竊取、僵尸主機(jī)控制、下載與更新、躲避檢測(cè)與對(duì)分析等功能模塊?;贗RC的僵尸網(wǎng)絡(luò)、基
43、于P2P的僵尸網(wǎng)絡(luò)和基于HTFP的僵尸網(wǎng)絡(luò)的本質(zhì)上的不同在于其命令與控制模塊的不同,它們分別采用了IRC協(xié)議、P2P協(xié)議和H1可P協(xié)議來(lái)構(gòu)建命令與控制模塊,并且在基于P2P的僵尸網(wǎng)絡(luò)中,由P2P僵尸程序同時(shí)擔(dān)當(dāng)服務(wù)器和客戶(hù)端的雙重角色,使其更難被跟蹤和反制。</p><p> 三、僵尸網(wǎng)絡(luò)的檢測(cè)和反制</p><p><b> 1 僵尸網(wǎng)絡(luò)的檢測(cè)</b></
44、p><p> 對(duì)于僵尸網(wǎng)絡(luò)的檢測(cè),計(jì)算機(jī)個(gè)人用戶(hù)主要側(cè)重于發(fā)現(xiàn)個(gè)人計(jì)算機(jī)中隱藏的僵尸程序。對(duì)于個(gè)人用戶(hù)而言,發(fā)現(xiàn)僵尸程序的難度取決于僵尸程序的隱蔽度。因?yàn)榻┦绦蚱綍r(shí)潛伏在僵尸計(jì)算機(jī)中,等待攻擊者的指令,僵尸計(jì)算機(jī)和攻者此時(shí)的聯(lián)系引起的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接數(shù)很小,因此很難察覺(jué)到,一般用戶(hù)主要依靠殺毒軟件和防火墻等網(wǎng)絡(luò)安全軟件來(lái)發(fā)現(xiàn)僵尸程序。</p><p> 對(duì)于計(jì)算機(jī)安全組織,檢測(cè)僵尸網(wǎng)絡(luò)
45、的存在目前主要有使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量行為特征研究以及利用網(wǎng)絡(luò)入侵監(jiān)</p><p> 測(cè)系統(tǒng)發(fā)現(xiàn)三種方法。</p><p><b> 使用密網(wǎng)技術(shù)。</b></p><p> 使用密網(wǎng)技術(shù)主要是通過(guò)對(duì)僵尸程序的研究出發(fā),分析其性質(zhì)和特征。通過(guò)密網(wǎng)捕獲僵尸程序的樣本后,通過(guò)逆向工程等方法分析僵尸程序的代碼,獲得該僵尸網(wǎng)絡(luò)的一系列屬性。如基
46、于IRC的僵尸網(wǎng)絡(luò),則可以找出隱藏在其中的僵尸程序要登錄的IRC服務(wù)器的地址、端口號(hào)、頻道名稱(chēng)和登錄密碼以及登錄該頻道需要的用戶(hù)名等,通過(guò)這些信息,可以使用偽裝的客戶(hù)端登錄到僵尸網(wǎng)絡(luò)中,進(jìn)行對(duì)僵尸網(wǎng)絡(luò)的跟蹤和進(jìn)一步分析,采取進(jìn)一步的措施。</p><p> 網(wǎng)絡(luò)流量行為特征研究。</p><p> 這種方法的思路是通過(guò)分析僵尸網(wǎng)絡(luò)中僵尸計(jì)算機(jī)的行為特征,來(lái)判斷該計(jì)算機(jī)是否為僵尸計(jì)算機(jī),
47、對(duì)于基于IRC的僵尸網(wǎng)絡(luò)而言,可以將僵尸計(jì)算機(jī)分為兩類(lèi):長(zhǎng)時(shí)間發(fā)呆型和快速加入型。具體來(lái)說(shuō)就是僵尸計(jì)算機(jī)在僵尸網(wǎng)絡(luò)中存在著三個(gè)比較明顯的行為特征,一是通過(guò)蠕蟲(chóng)傳播的僵尸程序,大量的被其感染計(jì)算機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC服務(wù)器中,為快速加入型;二是僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線,為長(zhǎng)期連接型;三.是僵尸計(jì)算機(jī)作為一個(gè)IRC聊天的用戶(hù),在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言,保持空閑,為發(fā)呆型。這三種行為特征和一般的IRC聊天用戶(hù)的行為特征相比都是
48、不正常的。</p><p> 利用網(wǎng)絡(luò)人侵監(jiān)測(cè)系統(tǒng)。</p><p> 對(duì)于具有IRC協(xié)議解析能力的IDS,可以根據(jù)基于IRC的僵尸網(wǎng)絡(luò)的僵尸程序常用命令,如joIN、PASS、PRIVMSG、NICK、TOPIC、NOTICE等</p><p> 及其命令參數(shù)來(lái)發(fā)現(xiàn)未知僵尸網(wǎng)絡(luò)。如果不具有IRC協(xié)議解析功能,也可以根據(jù)TCP數(shù)據(jù)報(bào)文的內(nèi)容發(fā)現(xiàn)可疑僵尸網(wǎng)絡(luò),可
49、疑的數(shù)據(jù)報(bào)文包含udp、syn、ddos、http://、download、一exe,update,scan,exploit,Icon,Iogon,advscan,tsass,dcom,beagle、dDlTleware等僵尸程序在傳播、更新和發(fā)起DDoS攻擊</p><p><b> 時(shí)常用的命令。</b></p><p> 2、僵尸程序檢測(cè)技術(shù)</p&g
50、t;<p> 目前,大多數(shù)僵尸程序使用中心服務(wù)器作為命令與控制機(jī)制,所以僵尸網(wǎng)絡(luò)的檢測(cè)重心主要放在僵尸網(wǎng)絡(luò)中心服務(wù)器的檢測(cè),只要檢測(cè)到僵尸網(wǎng)絡(luò)中心服務(wù)器的詳細(xì)信息,就可以對(duì)僵尸網(wǎng)絡(luò)中心服務(wù)器進(jìn)行定位,安全人員可以根據(jù)需要對(duì)中心服務(wù)器采取當(dāng)機(jī)或者繼續(xù)監(jiān)控等措施。檢測(cè)方法分為基于主機(jī)信息的檢測(cè)技術(shù)和基流量的檢測(cè)方法兩類(lèi)。</p><p> 基于主機(jī)信息的僵尸程序檢測(cè)技術(shù)</p><
51、;p> 基于主機(jī)Botnet檢測(cè)技術(shù)的基本思想就是以網(wǎng)絡(luò)中每臺(tái)主機(jī)作為研究對(duì)象,然后對(duì)其行為或特征進(jìn)行分析。蜜罐(honeypot)/蜜網(wǎng)(honeynet)技術(shù)是目前最重要的基于主機(jī) Botnet 檢測(cè)技術(shù)。蜜網(wǎng)通過(guò)設(shè)置特殊的計(jì)算機(jī)(包括實(shí)際計(jì)算機(jī)和虛擬計(jì)算機(jī))吸引黑客對(duì)這些主機(jī)進(jìn)行入侵和注入惡意軟件,使之加入僵尸網(wǎng)絡(luò),再通過(guò)分析獲得僵尸網(wǎng)絡(luò)信息,最后根據(jù)這些信息破解僵尸網(wǎng)絡(luò)。蜜網(wǎng)由若干蜜罐主機(jī)、蜜罐網(wǎng)關(guān)HoneyWal
52、l和監(jiān)控平臺(tái)三部分組成。其中蜜罐主機(jī)可以是真實(shí)主機(jī),也可以是運(yùn)行不同操作系統(tǒng)的虛擬計(jì)算機(jī);蜜罐主機(jī)含有很多漏洞,可以吸引黑客入侵。蜜罐網(wǎng)關(guān)HoneyWall是運(yùn)行 Honeyd 的服務(wù)器,HoneyWall 可以對(duì)流進(jìn)和流出蜜網(wǎng)的各種網(wǎng)絡(luò)流進(jìn)行檢測(cè)和控制;監(jiān)控平臺(tái)專(zhuān)為網(wǎng)絡(luò)安全研究人員與 HoneyWall 交互設(shè)計(jì)。</p><p> 基于蜜網(wǎng) Botnet 檢測(cè)技術(shù)主要有以下優(yōu)點(diǎn):</p>
53、<p> (l)部署簡(jiǎn)單,虛擬機(jī)技術(shù)的采用使得實(shí)驗(yàn)成本大幅降低。</p><p> (2)安全性能好,采用封閉網(wǎng)絡(luò)環(huán)境,同時(shí)管理流進(jìn)和流出蜜網(wǎng)的網(wǎng)路流,不會(huì)</p><p> 對(duì)正常的網(wǎng)絡(luò)應(yīng)用造成影響和危害。</p><p> (3)易于理解、升級(jí)方便、維護(hù)簡(jiǎn)單。</p><p><b> 其最大的缺點(diǎn)是:&
54、lt;/b></p><p> (l)由于虛擬蜜罐的響應(yīng)與軟硬件無(wú)關(guān),黑客能夠通過(guò)蜜罐的這一特性識(shí)別蜜罐</p><p> 從而繞開(kāi)蜜罐,使得虛擬蜜罐無(wú)法取得應(yīng)有效果。</p><p> (2)蜜網(wǎng)檢測(cè) Bots 是一種被動(dòng)檢測(cè)方法,檢測(cè)效率不高。</p><p> 基于流量的 Bots 檢測(cè)技術(shù)</p><
55、p> 僵尸網(wǎng)絡(luò)之間的通信與正常用戶(hù)之間的通信有較大差別,所以通過(guò)監(jiān)控網(wǎng)絡(luò)流有</p><p> 可能找到僵尸網(wǎng)絡(luò)的命令與控制通道。這類(lèi)方法通常有如下幾個(gè)步驟:過(guò)濾可以確</p><p> 定的正常網(wǎng)絡(luò)流,得到疑似異常流,然后對(duì)疑似異常流進(jìn)行分析,試圖找到可能屬</p><p> 于同一個(gè)網(wǎng)絡(luò)的主機(jī),進(jìn)而得到僵尸網(wǎng)絡(luò)中心服務(wù)器信息,最后得到 Botnet
56、的詳細(xì)</p><p><b> 信息</b></p><p><b> 其優(yōu)點(diǎn)有:</b></p><p> (l)主動(dòng)檢測(cè),相比基于蜜網(wǎng)僵尸網(wǎng)絡(luò)檢測(cè)方法效率更高。</p><p> (2)有檢測(cè)加密僵尸網(wǎng)絡(luò)的能力。</p><p><b> 其缺點(diǎn)有:
57、</b></p><p> (l)因網(wǎng)絡(luò)流量較大,使得檢測(cè)時(shí)間效率不高,通常不能做到在線分析。</p><p> (2)有可能產(chǎn)生誤判,檢測(cè)精度隨檢測(cè)方法不同而相差巨大。</p><p><b> 3.僵尸網(wǎng)絡(luò)的反制</b></p><p> 檢測(cè)到僵尸網(wǎng)絡(luò),并掌握其基本的屬性后,對(duì)于基于IRC的僵尸
58、網(wǎng)絡(luò)和基于}r丌P的僵尸網(wǎng)絡(luò),而言,可以采用以下方法對(duì)其進(jìn)行反制。</p><p> (1)冒充攻擊者控制僵尸網(wǎng)絡(luò)。在掌握僵尸網(wǎng)絡(luò)的特征信息后,模擬攻擊者經(jīng)過(guò)驗(yàn)證后,可以接管整個(gè)僵尸網(wǎng)絡(luò)的控制權(quán),然后向所有的僵尸計(jì)算機(jī)發(fā)送自刪除命令,或是發(fā)送更新命令,使僵尸計(jì)算機(jī)下載并執(zhí)行該僵尸程序的專(zhuān)殺</p><p><b> 工具。</b></p><p
59、> (2)切斷命令與控制服務(wù)器和僵尸網(wǎng)絡(luò)的聯(lián)系。在獲取僵尸網(wǎng)絡(luò)中命令與控制服務(wù)器的準(zhǔn)確信息后,可以在本地網(wǎng)絡(luò)的入口處或安全設(shè)備上切除本地網(wǎng)絡(luò)和命令與控制服務(wù)器的聯(lián)系,使本地網(wǎng)絡(luò)用戶(hù)脫離攻擊者的控制。也可以通過(guò)網(wǎng)絡(luò)安全執(zhí)法機(jī)構(gòu)依靠法律程序關(guān)閉命令與控制服務(wù)器。這種方法的缺點(diǎn)在于,如果和命令與控制服務(wù)器斷開(kāi)聯(lián)系的僵尸程序處于執(zhí)行階段,則仍然會(huì)執(zhí)行預(yù)置的命令。</p><p> (3)在僵尸計(jì)算機(jī)中清除僵尸程
60、序。通過(guò)對(duì)僵尸網(wǎng)絡(luò)的跟蹤,找尋并定位被僵尸程序感染的計(jì)算機(jī),然后通知該計(jì)算機(jī)用戶(hù)清除僵尸程序并對(duì)系統(tǒng)進(jìn)行安全升級(jí)。這種方法規(guī)模太大,效率比較低,而且因?yàn)榻┦绦驎?huì)感染新的計(jì)算機(jī),所以不能對(duì)僵尸網(wǎng)絡(luò)進(jìn)行根本上的清除。對(duì)于基于P2P的僵尸網(wǎng)絡(luò),因?yàn)槠洳淮嬖诩械拿钆c控制服務(wù)器,對(duì)其的檢測(cè)和反制更為困難,如何有效地對(duì)其進(jìn)行檢測(cè)和反制,還有待進(jìn)一步研究。</p><p><b> 四、致謝</b>
61、;</p><p> 三年的大學(xué)生活即將結(jié)束,三年生活,為我的人生增添了一筆豐富的財(cái)富。</p><p> 感謝我的母校,教會(huì)我諸知識(shí)。她在我的人生道路上留下了不可磨滅的記憶印記,無(wú)論現(xiàn)在還是將來(lái)我都銘記于心,無(wú)論以后走到哪都不會(huì)忘記。</p><p> 感謝尊敬的**老師,感謝你在曾經(jīng)我們的TCP/IP課程給予我們的關(guān)心和教導(dǎo)同時(shí)在我學(xué)生生涯最后一站有幸有您
62、的指導(dǎo)寫(xiě)下這篇論文。</p><p> 衷心感謝一直愛(ài)護(hù)、關(guān)心我的家人和同學(xué),他們是我的堅(jiān)強(qiáng)后盾,感謝他們一直以來(lái)對(duì)我的支持。我也即將走出校園進(jìn)入工作崗位。</p><p> 特別感謝論文評(píng)審老師對(duì)我的批評(píng)、建議和指導(dǎo)!</p><p><b> 參考文獻(xiàn)</b></p><p> [1]李禾,王述洋.拒絕
63、服務(wù)攻擊/分布式拒絕服務(wù)攻擊防范技術(shù)的研究.中國(guó)安全科學(xué)學(xué)報(bào), 2009, 19(1): 132~136</p><p> [2]周彩蘭,虞珊,張亞芳.基于 SMTP 協(xié)議解析的垃圾郵件防治技術(shù).計(jì)算機(jī)技術(shù)</p><p> 與發(fā)展, 2008, 18(1): 188~191</p><p> [3]查貴庭,彭其軍,羅國(guó)富. UNIX 中后門(mén)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 僵尸網(wǎng)絡(luò)的研究畢業(yè)論文
- 畢業(yè)論文范文——基于android植物大戰(zhàn)僵尸
- 畢業(yè)論文范文——基于android植物大戰(zhàn)僵尸
- 網(wǎng)絡(luò)新詞的研究畢業(yè)論文
- 網(wǎng)絡(luò)推廣畢業(yè)論文
- 網(wǎng)絡(luò)設(shè)計(jì)畢業(yè)論文
- 網(wǎng)絡(luò)會(huì)計(jì)畢業(yè)論文
- 網(wǎng)絡(luò)購(gòu)物畢業(yè)論文
- 網(wǎng)絡(luò)犯罪畢業(yè)論文
- 網(wǎng)絡(luò)語(yǔ)言畢業(yè)論文
- 網(wǎng)絡(luò)廣播算法研究畢業(yè)論文
- 網(wǎng)絡(luò)安全研究畢業(yè)論文
- 網(wǎng)絡(luò)推廣畢業(yè)論文
- 網(wǎng)絡(luò)語(yǔ)言畢業(yè)論文
- 網(wǎng)絡(luò)推廣畢業(yè)論文
- 網(wǎng)絡(luò)專(zhuān)業(yè)畢業(yè)論文
- 網(wǎng)絡(luò)成癮畢業(yè)論文
- 網(wǎng)絡(luò)推廣畢業(yè)論文
- 僵尸網(wǎng)絡(luò)的研究及其檢測(cè).pdf
- 有關(guān)網(wǎng)絡(luò)畢業(yè)論文--網(wǎng)絡(luò)性能測(cè)量技術(shù)的研究
評(píng)論
0/150
提交評(píng)論