基于流量的P2P僵尸網(wǎng)絡(luò)檢測(cè)

李建

摘 要： 網(wǎng)絡(luò)的快速發(fā)展使其成為被攻擊的對(duì)象。分布式結(jié)構(gòu)僵尸網(wǎng)絡(luò)攻擊以其強(qiáng)大的攻擊性和高破壞性被列為重要的網(wǎng)絡(luò)安全威脅之一。為探索分布式結(jié)構(gòu)僵尸網(wǎng)絡(luò)的檢測(cè)方法，文章從結(jié)構(gòu)、感染過(guò)程等方面分析，提出基于流量的檢測(cè)方法，通過(guò)過(guò)濾可疑流量、DNS流量檢測(cè)等，判定是否受到僵尸網(wǎng)絡(luò)攻擊，并提出避免感染僵尸網(wǎng)絡(luò)的防御措施。

關(guān)鍵詞： 僵尸網(wǎng)絡(luò)； P2P； 可疑流量； 流量檢測(cè)； DNS檢測(cè)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）05-45-04

Abstract： The rapid development of the Internet makes it the object of attack. Because of their powerful and highly destructive attack， botnet attacks were listed as one of the most important network security threats. In order to explore the detection of P2P botnet， a detection method based on P2P technology is proposed， which through filtering suspicious traffic and DNS traffic detection etc.， determines whether botnet attacks is suffered， and the defense measures to avoid botnet infection are put forward.

Key words： botnet； peer-to-peer； suspicious flow； flow detection； DNS detection

0 引言

據(jù)CNNIC報(bào)告，2015年上半年統(tǒng)計(jì)，我國(guó)網(wǎng)民總?cè)藬?shù)已達(dá)到6.68億，周平均上網(wǎng)時(shí)間達(dá)25.6小時(shí)[1]。網(wǎng)絡(luò)給人類(lèi)提供便利的同時(shí)也帶來(lái)一系列安全隱患，惡意網(wǎng)絡(luò)攻擊層出不窮。僵尸網(wǎng)絡(luò)是控制者利用網(wǎng)絡(luò)自身的弱點(diǎn)，通過(guò)網(wǎng)絡(luò)在主機(jī)內(nèi)部植入相關(guān)僵尸程序，使得該主機(jī)受其控制并秘密執(zhí)行相關(guān)指令。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）報(bào)告顯示，2014年我國(guó)境內(nèi)遭木馬僵尸感染的網(wǎng)絡(luò)主機(jī)為1108.8萬(wàn)余臺(tái)，遭木馬僵尸控制的服務(wù)器為6.1萬(wàn)余臺(tái)[2]。僵尸網(wǎng)絡(luò)已成為網(wǎng)絡(luò)安全最大威脅之一，P2P（Peer-to-Peer）協(xié)議由于其動(dòng)態(tài)可擴(kuò)充的特點(diǎn)和加入退出的靈活機(jī)制，成為近年來(lái)僵尸網(wǎng)絡(luò)主要使用技術(shù)。如何對(duì)P2P僵尸網(wǎng)絡(luò)制定有針對(duì)性的檢測(cè)措施已成為關(guān)注的重點(diǎn)。

1 僵尸網(wǎng)絡(luò)特點(diǎn)、結(jié)構(gòu)、感染過(guò)程

1.1 僵尸網(wǎng)絡(luò)特點(diǎn)

僵尸網(wǎng)絡(luò)（Botnet）是由被控主機(jī)組成的群體，通過(guò)使防御薄弱的計(jì)算機(jī)感染木馬、蠕蟲(chóng)、間諜軟件等病毒，進(jìn)而主動(dòng)從僵尸主機(jī)下載安裝bot程序，形成受控制的僵尸網(wǎng)絡(luò)系統(tǒng)。僵尸網(wǎng)絡(luò)具有一定的分布性，隨著bot病毒傳播不斷有新的僵尸主機(jī)添加到所控網(wǎng)絡(luò)中，僵尸網(wǎng)絡(luò)最明顯的特征是行動(dòng)統(tǒng)一。從傳播性、可控性、隱秘性等方面看，僵尸網(wǎng)絡(luò)與傳統(tǒng)木馬、蠕蟲(chóng)病毒相比具有更大危害性和破壞性。

近年來(lái)，P2P技術(shù)被僵尸網(wǎng)絡(luò)頻繁使用，如Nugache就是通過(guò)IM（即時(shí)通信）工具，利用工作站漏洞以郵件方式傳送病毒，開(kāi)啟TCP協(xié)議端后門(mén)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)的擴(kuò)充，并使用加密代碼遙控被控主機(jī)。新型的僵尸網(wǎng)絡(luò)攻擊技術(shù)有Hypervisor[3]（VMM）、Fast Flux domains[4]， Hypervisor可在被控主機(jī)不知情的情況下控制不同主機(jī)處理器和系統(tǒng)資源。Fast Flux domains是借助代理服務(wù)器更改IP達(dá)到隱藏自身目的。

1.2 僵尸網(wǎng)絡(luò)結(jié)構(gòu)

僵尸網(wǎng)絡(luò)結(jié)構(gòu)分為兩種：一種是集中式網(wǎng)絡(luò)，由HTTP協(xié)議或IRC協(xié)議信道構(gòu)建，由中心服務(wù)器連接所有被感染主機(jī)，控制主機(jī)通過(guò)一對(duì)多方式統(tǒng)一發(fā)布指令，其特點(diǎn)是易于控制所轄主機(jī)，但過(guò)于依賴中心節(jié)點(diǎn)的結(jié)構(gòu)易被摧毀，如：spybot、Phatbot均是此類(lèi)結(jié)構(gòu)；另一種是分布式網(wǎng)絡(luò)，鑒于P2P連接特點(diǎn)，其網(wǎng)絡(luò)結(jié)構(gòu)不存在中心節(jié)點(diǎn)，所有節(jié)點(diǎn)均對(duì)等，加入及退出靈活，節(jié)點(diǎn)間聯(lián)系松散，在拓?fù)浣Y(jié)構(gòu)上繼承P2P魯棒性和可擴(kuò)張性，且分布式的特點(diǎn)使得檢測(cè)困難，是目前僵尸網(wǎng)絡(luò)主要發(fā)展趨勢(shì)，如圖1所示。

1.3 僵尸網(wǎng)絡(luò)感染過(guò)程

P2P協(xié)議僵尸網(wǎng)絡(luò)具有更強(qiáng)的穩(wěn)定性，感染過(guò)程包括病毒傳播、感染安裝、連接、等待指令執(zhí)行四個(gè)階段。僵尸網(wǎng)絡(luò)通過(guò)擴(kuò)散bot程序達(dá)到擴(kuò)大網(wǎng)絡(luò)規(guī)模的目的，傳播方式包括主動(dòng)攻擊OS漏洞、IM軟件、Email病毒、網(wǎng)頁(yè)掛馬、惡意網(wǎng)站腳本等；主機(jī)感染后隨著病毒的發(fā)作主動(dòng)加入到僵尸網(wǎng)絡(luò)中，并打開(kāi)相應(yīng)網(wǎng)絡(luò)端口，等待接收?qǐng)?zhí)行指令；在連接、等待指令執(zhí)行階段，僵尸網(wǎng)絡(luò)會(huì)對(duì)被控主機(jī)發(fā)出的命令進(jìn)行身份認(rèn)證，并調(diào)用指令發(fā)起攻擊。

從上述流程看，加入僵尸網(wǎng)絡(luò)的終端將協(xié)同工作，會(huì)對(duì)網(wǎng)絡(luò)造成極大損害，其表現(xiàn)如網(wǎng)絡(luò)擁塞、消耗帶寬、分布式拒絕服務(wù)攻擊（DDos）、發(fā)送垃圾郵件等，易造成網(wǎng)絡(luò)癱瘓、個(gè)人私密信息泄露。僵尸網(wǎng)絡(luò)更傾向于竊取企業(yè)財(cái)務(wù)數(shù)據(jù)信息、機(jī)密商業(yè)信息，并利用企業(yè)間網(wǎng)絡(luò)互聯(lián)或同行業(yè)間的合作關(guān)系擴(kuò)大攻擊范圍，給企業(yè)以重創(chuàng)。

2 僵尸網(wǎng)絡(luò)的流量檢測(cè)

針對(duì)P2P僵尸網(wǎng)絡(luò)信息流特點(diǎn)，提出基于流量的檢測(cè)方法，檢測(cè)過(guò)程包括流量采集、數(shù)據(jù)流量預(yù)處理、DNS流量檢測(cè)、最終確定目標(biāo)四個(gè)階段，如圖2所示。

2.1 網(wǎng)絡(luò)流量的采集

網(wǎng)絡(luò)流量采集有一些較為成型的方法。張瀟丹等在2012年提出一種基于云模式的流量采集方法[5]。隨著網(wǎng)絡(luò)種類(lèi)不斷增加，流量采集技術(shù)研究也呈現(xiàn)多樣化趨勢(shì)，基于規(guī)則的流量采集法[6]，就是通過(guò)建模、設(shè)立規(guī)則，設(shè)計(jì)、實(shí)現(xiàn)流量采集。一種較完善的網(wǎng)絡(luò)流量采集方法是使用Netflow協(xié)議采集IP流量數(shù)據(jù)信息，以報(bào)文形式輸出到指定Netflow收集器，Netflow報(bào)文包括IP數(shù)據(jù)包大小、每秒數(shù)據(jù)流量、總數(shù)據(jù)流量等信息[7]。此階段主要關(guān)注網(wǎng)絡(luò)內(nèi)、外數(shù)據(jù)流量情況。

2.2 P2P網(wǎng)絡(luò)流量預(yù)處理

網(wǎng)絡(luò)流量預(yù)處理包括端口流量檢測(cè)、TCP/UDP數(shù)據(jù)包檢測(cè)法、信息流特征過(guò)濾等方法。

網(wǎng)絡(luò)端口分為三種：公認(rèn)端口、注冊(cè)端口、動(dòng)態(tài)/私有端口。公認(rèn)端口（常見(jiàn)端口），端口范圍為0-1024，綁定為特定服務(wù)。如：端口23為T(mén)elnet服務(wù)所專(zhuān)用。注冊(cè)端口，端口范圍為1025-49151，大多無(wú)明確規(guī)定的服務(wù)對(duì)象，程序根據(jù)自身需求規(guī)定服務(wù)端口，一些遠(yuǎn)程控制軟件或木馬、蠕蟲(chóng)程序即規(guī)定此類(lèi)端口為其服務(wù)。動(dòng)態(tài)/私有端口，端口范圍為49152-65535，木馬程序常利用此類(lèi)端口易于隱蔽的特點(diǎn)傳遞數(shù)據(jù)。

端口流量檢測(cè)是通過(guò)UDP或TCP數(shù)據(jù)包的源、目的端口信息檢測(cè)HTTP、SMTP、HTTPS等常見(jiàn)信息流，且成熟的P2P協(xié)議均使用固定端口通信、端口流量易于檢測(cè)、耗時(shí)短。早期僵尸網(wǎng)絡(luò)曾使用現(xiàn)有P2P協(xié)議端口作為其通信協(xié)議端口，此類(lèi)流量易于檢測(cè)。隨著技術(shù)的進(jìn)步，大多僵尸網(wǎng)絡(luò)已變更其端口通信方式，使得用固定端口方法檢測(cè)僵尸網(wǎng)絡(luò)變得困難，此方法可作為僵尸網(wǎng)絡(luò)檢測(cè)的初步手段，要判定僵尸網(wǎng)絡(luò)還需結(jié)合其他方法。

過(guò)濾網(wǎng)絡(luò)內(nèi)外部通信的數(shù)據(jù)流并做聚類(lèi)分析，生成一些P2P節(jié)點(diǎn)聚類(lèi)群。去掉使用相同且P2P協(xié)議為已知的聚類(lèi)群數(shù)據(jù)；將剩余數(shù)據(jù)流使用信息流特征過(guò)濾方法重新做聚類(lèi)分析，并對(duì)所獲得的聚類(lèi)群做統(tǒng)一標(biāo)注n1，n2，…nk，以便后期繼續(xù)深入檢測(cè)。

2.3 DNS異常流量檢測(cè)

僵尸網(wǎng)絡(luò)為避免暴露自身通常不會(huì)使用固定IP與C&C（命令與控制）通信，現(xiàn)階段通信方式主要為DNS（域名解析）方式，通過(guò)請(qǐng)求解析命令遙控服務(wù)器IP。其組網(wǎng)特點(diǎn)決定產(chǎn)生的DNS流量相比較于正常網(wǎng)絡(luò)存在較大區(qū)別，可通過(guò)此方法檢測(cè)其是否為僵尸網(wǎng)絡(luò)。

為更好地隱蔽僵尸網(wǎng)絡(luò)，DNS攻擊者主要使用DDNS（動(dòng)態(tài)域名）技術(shù)，結(jié)合flux技術(shù)、Fast-flux和Domain-flux技術(shù)隱身于控制端服務(wù)器。Flux網(wǎng)絡(luò)IP數(shù)量多、變化快，且域名解析記錄在DNS服務(wù)器中存留時(shí)間（TTL）短，一般小于300s。Fast-flux網(wǎng)絡(luò)由被控主機(jī)系統(tǒng)構(gòu)成，利用動(dòng)態(tài)域名的動(dòng)態(tài)代理技術(shù)，隱藏其主機(jī)于flux-agent（服務(wù)代理）背后提供服務(wù)，F(xiàn)ast-flux可為一個(gè)合法域名分配多個(gè)IP，并以每3分鐘的速度更替IP。Domain-flux域名時(shí)有變化，但I(xiàn)P固定，通過(guò)快速變換域名提高信道控制能力。

Schonewille和Van Helmond提出檢測(cè)DNS流量中域名解析錯(cuò)誤（NXDOMAIN）信息來(lái)檢測(cè)僵尸網(wǎng)絡(luò)域名[9]。僵尸網(wǎng)絡(luò)的特點(diǎn)導(dǎo)致僵尸主機(jī)頻繁更換域名且使用不同IP，造成大量訪問(wèn)域名無(wú)效，通過(guò)檢測(cè)IP數(shù)據(jù)流量變化可檢測(cè)出被感染的僵尸主機(jī)。

DNS異常流量檢測(cè)分為：DDOS攻擊檢測(cè)、垃圾郵件檢測(cè)等方法。作為網(wǎng)絡(luò)攻擊者，僵尸網(wǎng)絡(luò)使用P2P協(xié)議主要是為了實(shí)現(xiàn)快速通信而非文件的傳輸，在P2P使用上與正常傳遞文件相比，數(shù)據(jù)流量和集中程度都有所不同。

2.3.1 DDOS攻擊檢測(cè)

DDOS（分布式拒絕服務(wù)）攻擊通過(guò)大量消耗網(wǎng)絡(luò)資源，使得網(wǎng)絡(luò)服務(wù)器或主機(jī)不能響應(yīng)用戶端請(qǐng)求。近年來(lái)，DDOS攻擊事件增多，攻擊流量明顯增大，2015年9月22日魅族官網(wǎng)遭受混淆型DDOS攻擊，長(zhǎng)達(dá)40分鐘無(wú)法對(duì)外提供服務(wù)，瞬時(shí)并發(fā)流量達(dá)7G/S[10]。

當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)遭受DDOS攻擊時(shí)網(wǎng)絡(luò)流量大幅增長(zhǎng)，新出現(xiàn)的源IP大量增加。也有例外情況，當(dāng)大多數(shù)人就某個(gè)熱點(diǎn)話題進(jìn)行討論或某個(gè)特殊時(shí)段集中訪問(wèn)某個(gè)網(wǎng)站時(shí)，也會(huì)出現(xiàn)網(wǎng)絡(luò)流量大幅增長(zhǎng)情況，僅據(jù)此判斷受到DDOS攻擊并不完全正確。但正常訪問(wèn)高峰不會(huì)有大量新IP出現(xiàn)，且DDOS攻擊網(wǎng)絡(luò)時(shí)可偽造數(shù)量眾多的源IP，因此，網(wǎng)絡(luò)中流量大幅增長(zhǎng)和新的源IP大量增加是網(wǎng)絡(luò)遭受DDOS攻擊的明顯特征，可判定為遭受僵尸網(wǎng)絡(luò)攻擊。

2.3.2 垃圾郵件檢測(cè)

垃圾郵件檢測(cè)是檢測(cè)僵尸網(wǎng)絡(luò)攻擊的主要方法之一，被攻擊網(wǎng)絡(luò)會(huì)隨機(jī)的快速發(fā)送大量未經(jīng)請(qǐng)求的郵件，此過(guò)程中，受感染節(jié)點(diǎn)充當(dāng)垃圾信息傳播者，發(fā)送大量郵件但很少接收郵件[8]。郵件系統(tǒng)常用的傳輸協(xié)議是SMTP協(xié)議，該協(xié)議提出源節(jié)點(diǎn)到目的節(jié)點(diǎn)的傳輸規(guī)則，用來(lái)控制郵件的傳輸中轉(zhuǎn)方式，用于郵件服務(wù)器之間數(shù)據(jù)傳輸。僵尸網(wǎng)絡(luò)控制某主機(jī)后，會(huì)在其內(nèi)部搭建小型郵件服務(wù)器，并在一段時(shí)間內(nèi)使用SMTP協(xié)議給用戶郵箱發(fā)送大量郵件。2014年第四季度中國(guó)反垃圾郵件狀況調(diào)查報(bào)告顯示，用戶電子郵箱收到的郵件數(shù)量為35.0封/周，其中垃圾郵件為14.3封/周，占比41.0%。

僵尸網(wǎng)絡(luò)控制主機(jī)具有很強(qiáng)的隱秘性，主機(jī)通過(guò)不同的受控服務(wù)器向終端用戶郵箱發(fā)送大量垃圾郵件，此時(shí)出現(xiàn)一個(gè)源IP對(duì)應(yīng)多個(gè)目的IP的情況。因此，可從調(diào)用SMTP協(xié)議發(fā)送郵件過(guò)程判斷其是否發(fā)送垃圾郵件，進(jìn)而定位垃圾郵件源頭。

3 防范策略

鑒于僵尸網(wǎng)絡(luò)的危害性巨大，防范措施有兩方面。一方面針對(duì)網(wǎng)絡(luò)防御而言，通過(guò)加強(qiáng)網(wǎng)絡(luò)主機(jī)的防御級(jí)別以防感染僵尸程序，及時(shí)更新殺毒軟件庫(kù)、刪除已經(jīng)感染的僵尸程序，包括使用惡意軟件移除工具檢查并移除之，且遵循安全策略、使用防火墻攔截、DNS阻斷、更新補(bǔ)丁、使用有授權(quán)的軟件產(chǎn)品等防御手段。另一方面是針對(duì)控制和打擊僵尸網(wǎng)絡(luò)，可通過(guò)破解僵尸網(wǎng)絡(luò)域名算法預(yù)先注冊(cè)其域名，直接接管在用的僵尸網(wǎng)絡(luò)；也可利用僵尸網(wǎng)絡(luò)的命令和控制信道摧毀其網(wǎng)絡(luò)，或使之不能危害Internet正常網(wǎng)絡(luò)環(huán)境。

4 結(jié)束語(yǔ)

本文探討了P2P協(xié)議僵尸網(wǎng)絡(luò)的流量檢測(cè)技術(shù)并提出具體檢測(cè)方法。通過(guò)P2P流量預(yù)處理、流量端口檢測(cè)相結(jié)合可初步檢測(cè)出可疑流量，再針對(duì)可疑流量做DNS異常流量檢測(cè)確定其是否為僵尸網(wǎng)絡(luò)，此方法對(duì)檢測(cè)僵尸網(wǎng)絡(luò)有一定效果。從僵尸網(wǎng)絡(luò)結(jié)構(gòu)來(lái)看，集中式僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)較為成熟，而分布式P2P協(xié)議的僵尸網(wǎng)絡(luò)由于其沒(méi)有集中控制節(jié)點(diǎn)、結(jié)構(gòu)分散，檢測(cè)相對(duì)困難。后續(xù)應(yīng)在DNS異常流量檢測(cè)方面做進(jìn)一步深入的探討，以期能在檢測(cè)的準(zhǔn)確性和速度方面有所突破。

參考文獻(xiàn)（References）：

[1] 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.CNNIC發(fā)布第36次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[DB/OL].http：//www.cac.gov.cn/2015-07/23/c_1116018119.htm，2015.7.23.

[2] CNCERT. 2014年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[DB/OL].http：//www.cert.org.cn/publish/main/46/2015/20150602085719088775378/20150602085719088775378_html，2015-06-02.

[3] 張冰，杜國(guó)琦，李靜.僵尸網(wǎng)絡(luò)發(fā)展新趨勢(shì)分析[J].電信科學(xué)，2011.2：40-41

[4] Steggink M， Idziejczak I. Detection of Peer-to-PeerBotnets[J].University of Amsterdam，2008.2（12）：103-110

[5] 張瀟丹，李俊.一種基于云服務(wù)的網(wǎng)絡(luò)測(cè)量與分析架構(gòu)[J].計(jì)算機(jī)應(yīng)用研究，2012.29（2）：725-729，733

[6] 包鐵，劉淑芬.基于規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)采集處理方法[J].計(jì)算機(jī)工程，2007.33（1）：101-103

[7] 謝喜秋，梁潔，彭巍.網(wǎng)絡(luò)流量采集工具的分析和比較[J].電信科學(xué)，2002.4：64-66

[8] Sroufe P， Pheithakkitnukoon S， Dantu R， et al. Email Shape Analysis for Spam Botnet Detection[C].Consumer Communication and Networking Conference，2009：81-89

[9] A. Schonewille and DJ. Van Helmond. The Domain NameServices as an IDS[D]. Netherlands： University of Amsterdam，2010.

[10] Yesky天極新聞. 魅族官網(wǎng)在發(fā)布會(huì)前夕遭DDOS攻擊[DB/OL].http：//news.yesky.com/167/97676167.shtml，2015-9-23.