僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)

僵尸網(wǎng)絡(luò)機(jī)理與

防御技術(shù)15721358朱文躍僵尸網(wǎng)絡(luò)案例分析一、全球最大垃圾郵件源頭Rustock僵尸網(wǎng)絡(luò)被關(guān)閉二、河北黑客操控六萬(wàn)臺(tái)電腦制造僵尸網(wǎng)絡(luò)攻擊案全球最大垃圾郵件源頭RustockRustock僵尸網(wǎng)絡(luò)是由一群受到病毒感染的電腦組成的國(guó)際網(wǎng)絡(luò)，多年來(lái)它每天要發(fā)送幾十億個(gè)垃圾電子郵件，在網(wǎng)上推銷(xiāo)未經(jīng)當(dāng)局許可的配方和廉價(jià)藥品。

河北黑客操控六萬(wàn)臺(tái)電腦制造僵尸網(wǎng)絡(luò)■警方鎖定神秘黑客公安部經(jīng)偵查發(fā)現(xiàn)，在我國(guó)互聯(lián)網(wǎng)上有超過(guò)6萬(wàn)臺(tái)的電腦，受到一神秘黑客編譯的一種名為IPXSRV的后門(mén)程序的控制，組成了一個(gè)龐大的“僵尸網(wǎng)絡(luò)”。而神秘黑客則通過(guò)操縱這個(gè)控制有6萬(wàn)余臺(tái)電腦的“僵尸網(wǎng)絡(luò)”，對(duì)北京那家網(wǎng)站進(jìn)行“拒絕服務(wù)”攻擊，讓6萬(wàn)余臺(tái)電腦同時(shí)登錄該網(wǎng)站，造成網(wǎng)絡(luò)堵塞，讓其他客戶(hù)無(wú)法訪(fǎng)問(wèn)該網(wǎng)站。如此大規(guī)模的“僵尸網(wǎng)絡(luò)”攻擊案在我國(guó)尚屬首例。今年1月10日，公安部專(zhuān)家來(lái)到唐山，直接督導(dǎo)偵破工作，最終查到唐山黑客的主機(jī)位置，并確定主機(jī)所有人是唐山某企業(yè)職工徐某。通過(guò)高科技手段分析數(shù)據(jù)，警方進(jìn)一步確認(rèn)徐某就是他們要找的神秘黑客，并于當(dāng)日下午1時(shí)許，將其在家中擒獲?！鎏粕胶诳蛢H是個(gè)技校畢業(yè)生徐某今年27歲，唐山市路北區(qū)人，某企業(yè)職工。據(jù)徐某自述，其文化程度并不高，僅是個(gè)技校畢業(yè)生，而且所學(xué)專(zhuān)業(yè)還是車(chē)工。最初接觸電腦是在1995年，他受一位小學(xué)同學(xué)影響，開(kāi)始自學(xué)計(jì)算機(jī)知識(shí)，并很快成了一個(gè)電腦癡迷者，主攻計(jì)算機(jī)程序編譯。

論文摘要背景僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊活動(dòng)是互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一.僵尸網(wǎng)絡(luò)不斷演化、越來(lái)越復(fù)雜和隱蔽。如何有效應(yīng)對(duì)僵尸網(wǎng)絡(luò)的威脅是一項(xiàng)持續(xù)而具有挑戰(zhàn)性的課題研究方法僵尸網(wǎng)絡(luò)的傳播、攻擊命令、控制這3個(gè)方面介紹近年來(lái)僵尸網(wǎng)絡(luò)工作機(jī)制的發(fā)展從監(jiān)測(cè)、工作機(jī)制、特征分析、檢測(cè)和主動(dòng)遏制這5個(gè)環(huán)節(jié)對(duì)僵尸網(wǎng)絡(luò)防御方面研究進(jìn)行總結(jié)和分析發(fā)展趨勢(shì)目前的防御方法的局限、僵尸網(wǎng)絡(luò)的發(fā)展趨勢(shì)和進(jìn)一步的研究方向進(jìn)行了討論.

背景知識(shí)研究現(xiàn)狀問(wèn)題與展望演講內(nèi)容分為三個(gè)部分第一部分第三部分321第二部分

IIIIII僵尸網(wǎng)絡(luò)定義工作原理發(fā)展歷程第一部分背景III分類(lèi)III攻擊方式僵尸網(wǎng)絡(luò)定義中文名稱(chēng)：僵尸網(wǎng)絡(luò)英文名稱(chēng)：botnet定義：通過(guò)各種手段在大量計(jì)算機(jī)中植入特定的惡意程序，使控制者能夠通過(guò)相對(duì)集中的若干計(jì)算機(jī)直接向大量計(jì)算機(jī)發(fā)送指令的攻擊網(wǎng)絡(luò)。攻擊者通常利用這樣大規(guī)模的僵尸網(wǎng)絡(luò)實(shí)施各種其他攻擊活動(dòng)。IRC僵尸網(wǎng)絡(luò)工作原理，如下圖所示僵尸網(wǎng)絡(luò)工作原理P2P僵尸網(wǎng)絡(luò)工作原理，如下圖所示。IRC僵尸網(wǎng)絡(luò)工作原理，如下圖所示

僵尸網(wǎng)絡(luò)的發(fā)展歷程IRC聊天網(wǎng)絡(luò)中出現(xiàn)Bot工具——Eggdrop1分布式拒絕服務(wù)攻擊概念的成熟2IRC協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道3獨(dú)立使用P2P結(jié)構(gòu)構(gòu)建控制信道4Botnet發(fā)展成規(guī)模龐大、功能多樣、不易檢測(cè)的惡意網(wǎng)絡(luò)5僵尸網(wǎng)絡(luò)主要由攻擊者、僵尸主機(jī)、命令與控制信道構(gòu)成。通過(guò)命令與控制信道的類(lèi)型對(duì)僵尸網(wǎng)絡(luò)進(jìn)行分類(lèi)：

(1)使用中心服務(wù)器的僵尸網(wǎng)絡(luò)，主要有基于IRC的僵尸網(wǎng)絡(luò)；(2)不使用中心服務(wù)器的僵尸網(wǎng)絡(luò)，主要是基于P2P的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的分類(lèi)

僵尸網(wǎng)絡(luò)攻擊的方式

分布式拒絕服務(wù)(DDos)垃圾郵件（spam）釣魚(yú)網(wǎng)站（phishing）點(diǎn)擊詐騙（clickfraud）竊取信息（informationtheft）網(wǎng)絡(luò)攻擊方式僵尸網(wǎng)絡(luò)危害形式拒絕服務(wù)攻擊使用Botnet發(fā)動(dòng)DDos攻擊是當(dāng)前最主要的威脅之一，攻擊者可以向自己控制的所有bots發(fā)送指令，讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開(kāi)始連續(xù)訪(fǎng)問(wèn)特定的網(wǎng)絡(luò)目標(biāo)，從而達(dá)到DDos的目的。由于Botnet可以形成龐大規(guī)模，而且利用其進(jìn)行DDos攻擊可以做到更好地同步，所以在發(fā)布控制指令時(shí)，能夠使得DDos的危害更大，防范更難。發(fā)送垃圾郵件(spam)

一些bots會(huì)設(shè)立sockv4、v5代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。竊取秘密

Botnet的控制者可以從僵尸主機(jī)中竊取用戶(hù)的各種敏感信息和其他秘密，例如個(gè)人帳號(hào)、機(jī)密數(shù)據(jù)等。同時(shí)bot程序能夠使用sniffer觀(guān)測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。濫用資源攻擊者利用Botnet從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動(dòng)，從而使用戶(hù)的網(wǎng)絡(luò)性能受到影響，甚至帶來(lái)經(jīng)濟(jì)損失。例如：種植廣告軟件，點(diǎn)擊指定的網(wǎng)站；利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等，利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚(yú)的非法活動(dòng)。

III僵尸網(wǎng)絡(luò)工作機(jī)制技術(shù)發(fā)展對(duì)僵尸網(wǎng)絡(luò)防御方面的研究進(jìn)展第二部分研究現(xiàn)狀僵尸網(wǎng)絡(luò)工作機(jī)制技術(shù)發(fā)展

傳播機(jī)制

攻擊活動(dòng)命令與控制機(jī)制主要有：程漏洞攻擊、弱口令掃描入侵、郵件附件、惡意文檔、文件共享近來(lái)：社會(huì)工程手段、制成簡(jiǎn)單易用套件拓?fù)浣Y(jié)構(gòu)及通信協(xié)議、僵尸網(wǎng)絡(luò)自身的安全性、命令與控制機(jī)制的比較以及發(fā)展趨勢(shì)主要有：分布式拒絕服務(wù)、垃圾郵件、網(wǎng)絡(luò)釣魚(yú)、點(diǎn)擊欺詐以及敏感信息竊取等趨勢(shì)：專(zhuān)業(yè)化發(fā)展趨勢(shì)、地下市場(chǎng)銷(xiāo)售服務(wù)僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及通信協(xié)議早期集中式后來(lái)分布式自定義HTTPIRC層次化無(wú)結(jié)構(gòu)的P2PP2P僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及通信協(xié)議HTTP集中式僵尸網(wǎng)絡(luò)HTTP缺點(diǎn)優(yōu)點(diǎn)在于控制服務(wù)器容易暴露具有結(jié)構(gòu)簡(jiǎn)單、構(gòu)建容易、通信效率高的特點(diǎn),大多數(shù)僵尸網(wǎng)絡(luò)仍然采用這種方式來(lái)構(gòu)建.

層次化僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)化P2P無(wú)結(jié)構(gòu)化P2P估計(jì)出僵尸網(wǎng)絡(luò)規(guī)模大小Bot匿名性差結(jié)構(gòu)復(fù)雜缺點(diǎn)控制服務(wù)器難被發(fā)現(xiàn)不易被檢測(cè)控制服務(wù)器很難被發(fā)現(xiàn)和關(guān)停優(yōu)點(diǎn)分布式僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)自身的安全性重要性質(zhì)的隱蔽性和匿名性包含4個(gè)部分加密機(jī)制認(rèn)證機(jī)制網(wǎng)絡(luò)發(fā)現(xiàn)1.2.3.4.一種僵尸網(wǎng)絡(luò)是否容易被發(fā)現(xiàn)和破壞、是否有明顯的弱點(diǎn)和漏洞,是攻防雙方關(guān)注的重點(diǎn)僵尸網(wǎng)絡(luò)自身的安全性僵尸網(wǎng)絡(luò)的隱蔽性和匿名性基本上是由其通信方式所決定的.集中式的僵尸網(wǎng)絡(luò)bot之間的匿名性很好,但控制服務(wù)器的隱蔽性很差,很容易暴露隱蔽性匿名性采用明文通信的僵尸網(wǎng)絡(luò)的行為更容易被分析,而且更容易提取出內(nèi)容特征串來(lái)通過(guò)流量?jī)?nèi)容進(jìn)行檢測(cè).加密機(jī)制的采用,在近來(lái)發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)中已經(jīng)比較常見(jiàn),.加密機(jī)制認(rèn)證機(jī)制是指bot和控制服務(wù)器之間是否驗(yàn)證身份、控制消息是否有防止偽造和篡改的機(jī)制,這是目前僵尸網(wǎng)絡(luò)比較薄弱的一個(gè)環(huán)節(jié)認(rèn)證機(jī)制網(wǎng)絡(luò)發(fā)現(xiàn)機(jī)制是指bot如何找到控制服務(wù)器或者通過(guò)其他的bot加入到僵尸網(wǎng)絡(luò)中.網(wǎng)絡(luò)發(fā)現(xiàn)機(jī)制

僵尸網(wǎng)絡(luò)命令與控制機(jī)制的比較哪些入侵手段和僵尸程序是目前正在廣泛流行和傳播的,其傳播方式、范圍及攻擊形式是怎樣的;(2)僵尸網(wǎng)絡(luò)是如何工作的,采用了什么樣的技術(shù);(3)僵尸網(wǎng)絡(luò)的活動(dòng)具有怎樣的特征;(4)如何準(zhǔn)確地檢測(cè)出被感染的主機(jī)或者已存在的僵尸網(wǎng)絡(luò);(5)什么樣的技術(shù)和策略能夠有效地遏制僵尸網(wǎng)絡(luò)的發(fā)展.防御面臨問(wèn)題第二部分的第二小節(jié)

僵尸網(wǎng)絡(luò)防御技術(shù)研究進(jìn)展

第二部分的第二小節(jié)

僵尸網(wǎng)絡(luò)防御技術(shù)研究進(jìn)展僵尸網(wǎng)絡(luò)的工作機(jī)制分析僵尸網(wǎng)絡(luò)的特征分析僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)

僵尸網(wǎng)絡(luò)的威脅檢測(cè)

僵尸網(wǎng)絡(luò)的主動(dòng)遏制技術(shù)防御技術(shù)進(jìn)展防御技術(shù)研究進(jìn)展僵尸網(wǎng)絡(luò)威脅監(jiān)測(cè)僵尸網(wǎng)絡(luò)工作機(jī)制分析僵尸網(wǎng)絡(luò)特征分析對(duì)僵尸網(wǎng)絡(luò)的活動(dòng)進(jìn)行監(jiān)測(cè),捕獲僵尸網(wǎng)絡(luò)的傳播和攻擊行為及新的僵尸程序樣本,了解僵尸網(wǎng)絡(luò)的活動(dòng)范圍以及發(fā)展態(tài)勢(shì),是僵尸網(wǎng)絡(luò)防御體系的第1個(gè)環(huán)節(jié)對(duì)僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和跟蹤的另一個(gè)目的是發(fā)現(xiàn)和分析其所具有的一些特征,近年來(lái),這方面的研究主要包括針對(duì)spam僵尸網(wǎng)絡(luò)的測(cè)量、對(duì)特定技術(shù)如fast-flux的特征分析以及網(wǎng)絡(luò)流量?jī)?nèi)容特征提取在通過(guò)部署蜜罐或以其他方式獲取僵尸程序樣本后,研究者通過(guò)對(duì)僵尸程序樣本進(jìn)行靜態(tài)分析,并在受控的環(huán)境中運(yùn)行僵尸程序,監(jiān)控和分析其行為來(lái)揭示其背后僵尸網(wǎng)絡(luò)的工作機(jī)制。防御技術(shù)研究進(jìn)展僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)僵尸網(wǎng)絡(luò)檢測(cè)研究有兩個(gè)要素:一是數(shù)據(jù)來(lái)源,二是對(duì)異常模式的定義.另外,檢測(cè)方法的準(zhǔn)確性、性能以及可部署性也是這方面研究的重要指標(biāo).僵尸網(wǎng)絡(luò)的主動(dòng)遏制技術(shù)僵尸網(wǎng)絡(luò)的主動(dòng)遏制技術(shù)獲得僵尸網(wǎng)絡(luò)的相關(guān)信息,如bot的地址、僵尸程序感染源以及命令與控制服務(wù)器的地址和域名后,需要進(jìn)一步通過(guò)黑名單、惡意域名清除等方式來(lái)抑制僵尸網(wǎng)絡(luò)的傳播和攻擊以及關(guān)停已經(jīng)確認(rèn)的僵尸網(wǎng)絡(luò).方法一方法二方法三通過(guò)路由和DNS黑名單的方式屏蔽惡意的IP和域名是各主流的Web瀏覽器均加入了黑名單機(jī)制.直接關(guān)停僵尸網(wǎng)絡(luò)所使用的域名或關(guān)閉其命令與控制服務(wù)器的網(wǎng)絡(luò)連接

III僵尸網(wǎng)絡(luò)發(fā)展趨勢(shì)進(jìn)一步研究方向第三部分問(wèn)題與展望I僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)防御主要問(wèn)題1.僵尸程序分析和僵尸網(wǎng)絡(luò)逆向工程的可擴(kuò)展性問(wèn)題2.缺少新的可實(shí)際部署的檢測(cè)技術(shù)3.技術(shù)上缺少對(duì)大范圍跨地域信息共享和協(xié)作響應(yīng)的支持僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)防御主要問(wèn)題技術(shù)問(wèn)題.全球范圍內(nèi)的信息共享的協(xié)作響應(yīng)和聯(lián)動(dòng)面臨各種非技術(shù)需要進(jìn)一步促使ISP加強(qiáng)對(duì)其域內(nèi)互聯(lián)網(wǎng)資源的管理和自律是從法律上需要加強(qiáng)對(duì)互聯(lián)網(wǎng)犯罪懲戒力度,非技術(shù)問(wèn)題僵尸網(wǎng)絡(luò)的發(fā)展趨勢(shì)

規(guī)模方面智能化傳播經(jīng)濟(jì)利益驅(qū)動(dòng)有組織的犯罪集團(tuán)控制少量超大規(guī)模僵尸網(wǎng)絡(luò),并在不斷發(fā)展增