僵尸网络(botnet)检测技术研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇僵尸网络(botnet)检测技术研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘 要】对比目前的僵尸网络检测技术研究,提出一些新的络检测思路,尤其是针对P2P、HTTP、DNS等新型僵尸网络检测方法的一些思考。
【关键词】僵尸网络;黑客;检测方法
引言
僵尸网络经历了10年多的发展历程,已经演变成一种常见的黑客攻击手段。其控制者与僵尸主机的通讯方式也从早期的IRC演变出基于P2P、HTTP、DNS协议等方式。
1背景技术和相关工作
从检测原理上来说,大致可以分为两类方法:基于聚合计算的检测和基于DNS流量分析的检测。基于聚合计算的检测方法,主要是通过分析特征库来发现僵尸主机的活动。基于DNS流量检测方法是收集受控主机的系统变化信息,发现僵尸程序的活动。
1.1基于聚合计算的检测方法
对于行为特征已知的僵尸网络,可以通过特征匹配的方式进行检测。但是对于未知的新型僵尸网络,这种方法就难以奏效了,此时我们可以通过分析僵尸网络发动大规模攻击时网络流量的记录,也可以找到僵尸主机甚至可以追踪到僵尸控制主机。这种检测方法是一种基于聚合计算的分布数据集中分析算法。具体的思路是:
(1)当大规模DDoS攻击发生时,被攻击目标所在网络上的Netflow记录中会包括大量的攻击流量所形成的记录。
(2)通过聚类计算,很容易将这些具有相似特征的流量记录聚合成为一类,且这个聚类中包含的流量记录相对其它聚类来说明显多很多。
(3)这个最大的聚类中所有的源IP地址,就是疑似参与攻击的地址。
(4)由于这些疑似参与攻击的IP分别属于不同区域甚至是不同运营商的网络,需要将分布在网络各处的疑似参与攻击的IP地址的流量记录在一起,再次对目的lP地址进行聚合计算。计算结果可以得到一组同时与这些疑似IP有联系的IP地址。这组IP地址就是高度疑似的控制主机地址。
(5)通过分析,某些疑似控制主机可能是一些非常受欢迎的网站,排除掉这些合法的IP地址,剩下的就很可能是控制主机的IP地址了。
(6)对于步骤4,还可以疑似参与攻击的IP作为目的IP,对源IP进行聚合计算,也可以得到一组疑似控制主机IP地址。
1.2 基于DNS流量分析的检测方法
无论是哪种僵尸网络活动,都伴随着大量的DNS通讯异常。例如,对于基于IRC的僵尸网络,会伴随大量陌生怪异的DNS查询。在DNS日志中,可以发现同一个A记录,在短时间内有大量的重复查询请求。僵尸网络为了逃避追查,通常还会利用一种称为Fast-Flux网络的机制。这种机制通过快速轮换IP的方式,逃避对控制主机的追查。在DNS通讯特征上,就表现为:
(1)一个域名,对应过多的IP地址。
(2)域名记录的TTL极短,通常在30分钟以内,远远低于48小时的通常情况,通过追查与异常DNS通讯相关的IP地址,就可以初步定位僵尸主机。总之,对DNS流量进行分析,也是僵尸网络检测的一个发力点。
1.3 基于诱骗系统和流量检测系统的僵尸网络检测方案
前人做的工作中,大部分只针对某一类僵尸网络有效,适用范围较窄。以往的采用诱骗技术僵尸网络检测方案,只单独采用了蜜罐或蜜网系统,效果不甚理想。原因是这类攻击诱骗系统是被动检系统,在没有僵尸程序攻击的情况下,很难捕捉到僵尸主机的行为。鉴于这些检测技术的局限性,笔者设计了一种新的检测方案,将诱骗系统与流量监测系统结合在一起,很好的解决了以往检测技术通用性不强,应用范围窄的问题。诱骗系统的技术特点是观察口径小,但准确率高。而部署在网络边界的流量监测系统的观察口径大,但存在一定的误报率。两者结合发挥各自的长处,形成优势互补。该方案的具体工作流程如下图:
(1)蜜罐首先发现内网主机A正在设法感染自己,或者蜜罐设备自身已经被安装仿真的僵尸程序。
(2)蜜罐主机会主动与控制主机进行通讯,若蜜罐为基于P2P协议的僵尸主机,则会利用P2P协议主动联系其它僵尸主机,加入僵尸主机组成的僵尸网络。由于蜜罐主机是完全受控的设备,其通讯行为特征、通讯内容完全被网络管理人员所掌握。
(3)蜜罐主机可以向部署在网络边界的流量分析系统或IDS通报控制主机的相关信息,主要是控制主机的IP地址。
1.4流量分析系统则重点监控控制主机与内网主机的通讯
监测结果表明,外网的控制主机正在与内网主机B、C、D进行通讯,且通讯行为特征与僵尸主机的行为特征相似。
1.5至此,可以断定,内网的B、C、D主机以及主机A皆为僵尸网络的成员
在这个技术方案中,蜜罐主机充当一个打入到僵尸网络的卧底,可以将僵尸网络的活动情况真实准确的报告出来。而部署在网络边界的流量检测设备或IDS设备,则起到了“盯梢”的作用。
2总结
为了逃避追查,僵尸网络也在不断采用新的技术来伪装自己。例如,采用加密的方式进行通讯。采用定时自动升级的方式逃避杀毒软件的追杀。采用P2P、HTTP、DNS等更通用更常见的协议进行通信联络,使得很难将其同正常流量区分开来。因此为了应对日益错综复杂的僵尸网络,仅仅依靠某一单一的检测算法,很难有效的追踪到它。采用综合的联动的检测方法,才是解决问题之道。具体的原则包括:(1)基于网络的检测与基于主机的检测相结合。(2)基于主机的检测结果可以共享给基于网络的检测设备,作为新的检查规则。(3)基于网络的检测要采集实时流量、流记录、DNS通讯数据等多种数据,并进行分析。
参考文献:
[1]Anestis Karasaridis,Brian Rexroad,David Hoeflin.Wide—scale botnet Detection and Characterization
[2]Binkley,An Algorithm for Anomaly.based Botnet Detection
[3]Guofei Gu,BotHunter:Detecting Malware InfectionThrough IDS-Driven Dialog Correlation
[4]Napoleon C.Paxton,Gall-Joon Ahn,Richard Kelly,KevinPearson,and Bei-Tseng Chu,Collecting and Analyzing Bots in a Systematic Honeynet—based Testbed Environment
[5]Peer-to—Peer Botnets:Overview and Case Studv