任斌++周亦敏

摘要：互聯(lián)網(wǎng)面臨安全隱患，而僵尸網(wǎng)絡(luò)是最嚴(yán)重的隱患之一。介紹了高速網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)獲取與還原，總結(jié)了僵尸網(wǎng)絡(luò)檢測(cè)的組織架構(gòu)，在此基礎(chǔ)上設(shè)計(jì)了僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)，完成了IRC/HTTP Bot程序檢測(cè)。在階段性檢測(cè)算法基礎(chǔ)上設(shè)計(jì)了僵尸程序檢測(cè)算法。運(yùn)用該算法捕獲并分析了15天內(nèi)的監(jiān)測(cè)數(shù)據(jù)，驗(yàn)證了該系統(tǒng)的有效性。

關(guān)鍵詞：僵尸網(wǎng)絡(luò)；僵尸網(wǎng)絡(luò)檢測(cè)；IRC；HTTP；網(wǎng)絡(luò)安全

DOIDOI：10.11907/rjdk.171684

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：16727800（2017）010018903

0引言

僵尸程序是在Bot主機(jī)中運(yùn)行的非法惡意程序，憑借融合各種形式的惡意代碼形成當(dāng)前最為復(fù)雜的互聯(lián)網(wǎng)攻擊形式之一。平臺(tái)攻擊者通過(guò)僵尸網(wǎng)絡(luò)偷取關(guān)鍵信息，操控不計(jì)其數(shù)的Bot主機(jī)對(duì)互聯(lián)網(wǎng)上任意僵尸主機(jī)發(fā)起DDoS攻擊、釣魚(yú)攻擊、竊取用戶(hù)隱私、發(fā)送垃圾郵件，采取惡意欺騙手段獲取巨額經(jīng)濟(jì)利益。

中國(guó)是全球感染僵尸主機(jī)數(shù)量最多的國(guó)家， 2015年全球范圍內(nèi)檢測(cè)到的23 095起僵尸網(wǎng)絡(luò)發(fā)動(dòng)的分布式拒絕服務(wù)攻擊中，中國(guó)占37%。2016年，賽門(mén)鐵克公司共檢測(cè)到2.5萬(wàn)個(gè)僵尸網(wǎng)絡(luò)襲擊行為， 1月垃圾郵件比例為53.5%，比上年全年最低（6月）的49.7%高了將近4%。由此可以看出僵尸網(wǎng)絡(luò)活動(dòng)依然很頻繁，網(wǎng)絡(luò)安全人員急需設(shè)計(jì)出一種切實(shí)可行的檢測(cè)方法來(lái)預(yù)防僵尸網(wǎng)絡(luò)的發(fā)展。

目前僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)中，比較全面的有Gu等人完成的BotHunter[3]、BotSniffer[4]和BotMiner[1]。BotHunter系統(tǒng)以證據(jù)鏈關(guān)聯(lián)思想為基礎(chǔ)，把惡意Bot程序傳播過(guò)程理解為一臺(tái)內(nèi)網(wǎng)主機(jī)和一臺(tái)或若干臺(tái)外網(wǎng)主機(jī)之間的信息共享鏈，第一次全面闡述了僵尸程序擴(kuò)散過(guò)程。BotSniffer根據(jù)僵尸網(wǎng)絡(luò)終端活動(dòng)時(shí)間與空間的相似度特征，成功檢測(cè)了IRC/HTTP僵尸網(wǎng)絡(luò)。BotMiner系統(tǒng)依據(jù)僵尸網(wǎng)絡(luò)程序具備傳播惡意程序這一特征，設(shè)計(jì)出基于聚類(lèi)的流分析方法，檢測(cè)系統(tǒng)中網(wǎng)絡(luò)終端的惡意行為Aability與相似通信行為Cability。

1僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)

僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)包含4個(gè)組件：①數(shù)據(jù)獲取還原模塊；②規(guī)則產(chǎn)生模塊；③僵尸程序收集檢測(cè)模塊；④IRC僵尸網(wǎng)絡(luò)檢測(cè)模塊。

數(shù)據(jù)獲取模塊獲取內(nèi)網(wǎng)與外網(wǎng)之間所有通信信息，對(duì)IP報(bào)文進(jìn)行重組與TCP數(shù)據(jù)整合，還原HTTP/IRC協(xié)議數(shù)據(jù)包，傳遞到僵尸程序收集監(jiān)測(cè)模塊進(jìn)行處理。這里內(nèi)網(wǎng)指系統(tǒng)正在監(jiān)控和保護(hù)的網(wǎng)絡(luò)。

規(guī)則產(chǎn)生模塊中非法僵尸程序的獲取以蜜猴和蜜罐為核心，獲取惡意僵尸程序檢測(cè)所特有的活動(dòng)事件，將其存入規(guī)則數(shù)據(jù)池。在僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)中，網(wǎng)絡(luò)活動(dòng)有命令控制服務(wù)器URL/IP查詢(xún)結(jié)果后回溯的payload[6]，這兩類(lèi)活動(dòng)都基于P2P協(xié)議中僵尸網(wǎng)絡(luò)一事一議的特點(diǎn)。

收集檢測(cè)模塊必須依照匹配規(guī)則才能進(jìn)行僵尸程序監(jiān)視。檢測(cè)到僵尸網(wǎng)絡(luò)任何動(dòng)態(tài)，都會(huì)及時(shí)更新日志，記錄日期、數(shù)據(jù)信息及匹配規(guī)則。

IRC僵尸網(wǎng)絡(luò)檢測(cè)模塊根據(jù)IRC僵尸網(wǎng)絡(luò)終端的動(dòng)作特點(diǎn)進(jìn)行檢測(cè)，一旦組件監(jiān)聽(tīng)到僵尸頻道就會(huì)實(shí)時(shí)更新日志信息，記載該頻道的服務(wù)器地址及終端IP數(shù)據(jù)消息。

2數(shù)據(jù)捕獲及還原

2.1數(shù)據(jù)分流

為了讓網(wǎng)絡(luò)消息處理性能更高效，必須對(duì)數(shù)據(jù)平均分配處理。數(shù)據(jù)分配計(jì)劃應(yīng)做到以下兩點(diǎn)：①為了確保每個(gè)節(jié)點(diǎn)機(jī)的負(fù)載均衡，就要使數(shù)據(jù)流平均分配到每個(gè)節(jié)點(diǎn)機(jī)；②為了降低和取消每個(gè)節(jié)點(diǎn)機(jī)之間的信息依賴(lài)關(guān)系，就要確保每個(gè)TCP連接的數(shù)據(jù)都劃分到相同的節(jié)點(diǎn)機(jī)上。

在TCP/IP協(xié)議中，四元組被作為重要的分流控制參數(shù)。一方面確保相同源和目的地址的所有連接順利映射到一個(gè)節(jié)點(diǎn)機(jī)上，另一方面必須確保源參數(shù)與目的參數(shù)擁有相同的操作等級(jí)。滿(mǎn)足這個(gè)要求最合適的方式是進(jìn)行異或操作，按照以下公式分配：

XOR （Sip，Dip，Sport，Dport） mod n

n為并行節(jié)點(diǎn)個(gè)數(shù)。

2.2數(shù)據(jù)捕獲

當(dāng)前網(wǎng)絡(luò)監(jiān)控系統(tǒng)大規(guī)模使用Libpcap[5]捕包平臺(tái)。Libpcap的最快處理速度是40kpps，該Libpcap[5]捕包平臺(tái)應(yīng)用零拷貝技術(shù)可以成功完成數(shù)據(jù)捕獲，從而提高數(shù)據(jù)捕獲效率。在數(shù)據(jù)發(fā)送和數(shù)據(jù)接收過(guò)程中，如果采用零拷貝技術(shù)，就可保證數(shù)據(jù)包在應(yīng)用程序的用戶(hù)緩沖區(qū)和網(wǎng)絡(luò)接口間順利交接，從而規(guī)避數(shù)據(jù)拷貝過(guò)程。

首先，采用Linux操作系統(tǒng)的內(nèi)存映射機(jī)制。該內(nèi)存機(jī)制將某一塊內(nèi)核空間對(duì)應(yīng)到虛擬地址空間，用該空間內(nèi)的虛擬地址訪(fǎng)問(wèn)對(duì)應(yīng)的物理地址空間，從而使內(nèi)存空間可被用戶(hù)和內(nèi)核共同使用。其次，實(shí)現(xiàn)內(nèi)核和網(wǎng)卡協(xié)調(diào)工作。為了更新一個(gè)虛地址到物理地址的映射表，就要在存儲(chǔ)空間的緩沖區(qū)塊建立一個(gè)索引，該索引可由虛擬設(shè)備組件來(lái)承擔(dān)。在處理地址解析問(wèn)題時(shí)，通過(guò)拜訪(fǎng)虛擬設(shè)備模塊獲取所需目的地址，實(shí)現(xiàn)若干用戶(hù)登錄網(wǎng)絡(luò)接口和緩沖區(qū)，但該保護(hù)機(jī)制每次對(duì)網(wǎng)絡(luò)接口的修改只能限定為一個(gè)進(jìn)程。最后，在中斷上加一個(gè)定時(shí)器。定時(shí)器可在修改驅(qū)動(dòng)程序的過(guò)程中固定時(shí)間發(fā)生一次中斷，并且可同時(shí)對(duì)不同的數(shù)據(jù)文件進(jìn)行處理。

2.3多線(xiàn)程并行TCP/IP協(xié)議棧

TCP/IP協(xié)議棧不同來(lái)源的信息流全部從通信線(xiàn)路上輸入，利用協(xié)議棧逐層解析，最終找到來(lái)自應(yīng)用層的初始數(shù)據(jù)流，之后再反饋給對(duì)應(yīng)的應(yīng)用插件進(jìn)行最終解析。

并行協(xié)議棧利用不同數(shù)據(jù)分發(fā)器，將捕包模塊獲取的數(shù)據(jù)流量包遵循既定規(guī)劃，分配到對(duì)應(yīng)線(xiàn)程進(jìn)行分析，再通過(guò)空閑單元探測(cè)器結(jié)束該線(xiàn)程釋放。每個(gè)TCP/IP協(xié)議棧線(xiàn)程分為一個(gè)協(xié)議棧狀態(tài)表與兩個(gè)信息隊(duì)列，兩個(gè)信息隊(duì)列分別用來(lái)存儲(chǔ)未處理數(shù)據(jù)塊和已處理數(shù)據(jù)塊。

3僵尸網(wǎng)絡(luò)檢測(cè)endprint

3.1協(xié)議解析

僵尸網(wǎng)絡(luò)檢測(cè)首先要識(shí)別IRC流和HTTP流，之后IRC流分配給IRC檢測(cè)算法進(jìn)行分析，HTTP流分配給僵尸網(wǎng)絡(luò)檢測(cè)算法進(jìn)行分析。IRC通信端口分布較廣，所以本文采用NICK關(guān)鍵字來(lái)區(qū)分IRC通信。當(dāng)客戶(hù)端成功訪(fǎng)問(wèn)服務(wù)器之后，會(huì)第一時(shí)間發(fā)送一條NICK命令用于標(biāo)記IRC流。由于采用HTTP協(xié)議的數(shù)量較多，本文會(huì)檢測(cè)某一鏈接是否為HTTP流，如果無(wú)法確認(rèn)則轉(zhuǎn)到HTTP Pending狀態(tài)，并進(jìn)行流量包分析；如果判定為不是HTTP流，則再判定是否為IRC流，如果確認(rèn)二者都不是，則丟掉該鏈接。

3.2IRC僵尸網(wǎng)絡(luò)檢測(cè)

對(duì)已經(jīng)感染IRC Bot程序的主機(jī)，最大的困難在于如何發(fā)現(xiàn)該惡意程序。Bot廣泛使用IRC協(xié)議標(biāo)準(zhǔn)的TCP 6667端口，但這種端口較少使用，很難被發(fā)現(xiàn)。大多數(shù)情形是Bot很少處于靜止?fàn)顟B(tài)，會(huì)不停地掃描、擴(kuò)散，與此同時(shí)，系統(tǒng)網(wǎng)絡(luò)負(fù)載會(huì)大量增加，大量占用系統(tǒng)資源，導(dǎo)致機(jī)器反應(yīng)明顯變慢，這和蠕蟲(chóng)感染很相似。所以本文借鑒蠕蟲(chóng)病毒檢測(cè)方法，采用蜜墻Snort數(shù)據(jù)控制Bot向外連接阻斷，控制本機(jī)的Bot僵尸程序。

來(lái)自外部網(wǎng)絡(luò)的IRC Bot數(shù)據(jù)包分為兩部分：①搜索數(shù)據(jù)包的Bot特征；②搜索IRC僵尸網(wǎng)絡(luò)聊天信道特征，并核對(duì)其信息。在蜜墻部分設(shè)計(jì)好必要的監(jiān)視程序，設(shè)計(jì)流程如圖1所示。

圖1僵尸網(wǎng)絡(luò)監(jiān)測(cè)流程

3.3HTTP僵尸網(wǎng)絡(luò)檢測(cè)

HTTP僵尸網(wǎng)絡(luò)檢測(cè)通過(guò)規(guī)則驅(qū)動(dòng)檢測(cè)模塊實(shí)現(xiàn)， URL自動(dòng)機(jī)和敏感內(nèi)容自動(dòng)機(jī)是從規(guī)則生成模塊產(chǎn)生的兩個(gè)匹配自動(dòng)機(jī)。 URL自動(dòng)機(jī)通過(guò)URL和IP地址產(chǎn)生關(guān)鍵字，通過(guò)返回信息或攻擊者發(fā)布命令產(chǎn)生自動(dòng)機(jī)關(guān)鍵字。

目前經(jīng)典的多模式匹配算法是AhoCorasick[10]，通過(guò)該算法可以高效快速定位文本中出現(xiàn)的所有關(guān)鍵字，定位只需掃描一次便可。AhoCorasick算法具備兩個(gè)顯著特征：①運(yùn)用該算法掃描時(shí)無(wú)需回溯；②時(shí)間復(fù)雜度為O（n），關(guān)鍵字的數(shù)量和長(zhǎng)度對(duì)O（n）沒(méi)有絲毫影響。

設(shè)計(jì)URL自動(dòng)機(jī)應(yīng)考慮將URL的首部作為關(guān)鍵字，以確保分配到該網(wǎng)絡(luò)的共性域名。在創(chuàng)建敏感內(nèi)容自動(dòng)機(jī)過(guò)程中，將內(nèi)容看作以一個(gè)字節(jié)為單位的二進(jìn)制代碼，而不關(guān)心具體編碼，確保理解密文。HTTP流分解后，需要用兩個(gè)自動(dòng)機(jī)對(duì)關(guān)鍵字匹配。若匹配成功則認(rèn)為該HTTP流屬于僵尸程序通信，將該HTTP流源地址和目的地址及匹配到的關(guān)鍵字存入規(guī)則庫(kù)；若匹配失敗，則判斷該流是無(wú)污染HTTP流而丟掉。

3.4僵尸程序檢測(cè)算法

根據(jù)兩階段檢測(cè)模型設(shè)計(jì)僵尸程序檢測(cè)算法如下：

輸入：時(shí)間差閾值Tt，己訓(xùn)練分類(lèi)器CSVM，監(jiān)控進(jìn)程列表{P}

輸出：僵尸程序列表{B}

初始化，{B}=，{P} =；

啟動(dòng)自動(dòng)連接監(jiān)控，當(dāng)出現(xiàn)DNS查詢(xún)活動(dòng)時(shí)，提取對(duì)應(yīng)進(jìn)程相關(guān)參數(shù)（T，S，F(xiàn)），其中T=Tkm-TDNS，S為鍵盤(pán)鼠標(biāo)事件來(lái)源，F(xiàn)為進(jìn)程運(yùn)行狀態(tài)，若滿(mǎn)足T

對(duì){P}中進(jìn)程，記錄其DNS反應(yīng)行為，得到Sd={n2，n4，n5，n6}，Sn={n1，nB}；

計(jì)算H（Sd）=-∑ipilogpi，pi=ni∑ini，rate=∑ini∑ij=1nj，構(gòu)成特征向量F=（H（Sd），rate），其中i=2，4，5，6；

將F=（H（Sd），rate）輸入分類(lèi)器CSVM，得到分類(lèi)結(jié)果；

若輸出結(jié)果為-1（代表僵尸程序），將對(duì)應(yīng)進(jìn)程名稱(chēng)加入{B}，結(jié)束

4實(shí)驗(yàn)結(jié)果及分析

僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)針對(duì)網(wǎng)絡(luò)流量進(jìn)行捕獲，利用分光器通過(guò)監(jiān)測(cè)兩個(gè)路由器的流量并加以復(fù)制，將該流量傳遞給數(shù)據(jù)分發(fā)機(jī)進(jìn)行分析，分析后依照通信協(xié)議分配給相應(yīng)的檢測(cè)機(jī)。系統(tǒng)每日檢測(cè)到的僵尸網(wǎng)絡(luò)控制服務(wù)器數(shù)目如圖2所示。IRC僵尸頻道數(shù)目比IRC控制服務(wù)器數(shù)目多，原因是多個(gè)僵尸信道可能處在相同的服務(wù)器中。但是HTTP僵尸信道數(shù)量和HTTP控制服務(wù)器數(shù)量卻一樣，是因?yàn)槊總€(gè)IP地址對(duì)應(yīng)了不同的僵尸信道。僵尸網(wǎng)絡(luò)的使用權(quán)通常會(huì)出租或轉(zhuǎn)售，如果在同一個(gè)服務(wù)器中發(fā)現(xiàn)了多個(gè)僵尸頻道，則認(rèn)為是同一人設(shè)計(jì)了這些僵尸頻道，排除了多個(gè)黑客共享一個(gè)服務(wù)器的可能。

圖2每日監(jiān)測(cè)命令控制服務(wù)器

5結(jié)語(yǔ)

僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)最嚴(yán)重隱患之一，本文研究并實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)環(huán)境下僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)，完成了IRC/HTTP僵尸網(wǎng)絡(luò)檢測(cè)，通過(guò)實(shí)驗(yàn)驗(yàn)證了僵尸網(wǎng)絡(luò)活動(dòng)階段。其中HTTP僵尸網(wǎng)絡(luò)不僅包括傳統(tǒng)的基于HTTP協(xié)議創(chuàng)建的惡意程序，還包括使用HTTP協(xié)議獲取命令的惡意程序。本文只做了一個(gè)初步的階段性工作，今后要進(jìn)行更加深入的研究。

參考文獻(xiàn)參考文獻(xiàn)：

[1]G GU， R PERDISCT， J ZHANG， et al. BotMiner： clustering analysis of network traffic for protocoland structure independent botnet detection[C].Proceedings of the 17th USENIX Security Symposium. San Jose， CA，2008：139154.

[2]F JAHANIAN. Enter the botnet： an introduction to the postworm era[C].Proceedings of the ARODARPADHS Special Workshop on Botnets，2006.

[3]G GU， P PORRAS， V YEGNESWARAN. Bothunter detecting malware infection through IDSdriven dialog correlation[C].Proceedings of the 16th USENIX Security Symposium. Boston， MA，2007：167182.

[4]G GU， J ZHANG， W LEE. BotSniffer： detecting botnet command and control channels in network traffic[C].Proceedings of the 15th Annual Network and Distributed System Security Symposium. San Diego， CA，2008：269286.

[5]王佰玲，方濱興，云曉春.零拷貝報(bào)文捕獲平臺(tái)的研究與發(fā)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2005，28（1）：4751.

[6]羅浩，云曉春，方濱興.多線(xiàn)程TCP/IP還原技術(shù)的研究[J].高技術(shù)通訊，2003，13（11）；1519.

[7]陳訓(xùn)遜，方濱興，李蕾.高速網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)結(jié)構(gòu)研究[J].計(jì)算機(jī)研究與發(fā)展，2004，41（9）：14811487.

[8]A KURMANN，F(xiàn) RAUCH， T STRICKEN. Speculative defragmentationleading gigabit ethernet to true zerocopy communicatio[J].Cluster Computing，2001，4（1）：718.

[9]J RANTWIJK. Data transmission in the antares data acquisition system[D].De1ft，India：Delft University of Technology，2002.

[10]A AHO， M CORASICK. Efficient string matching： an aid to bibliographic search[J].Communications of the ACM，1975，18（6）：333340.

責(zé)任編輯（責(zé)任編輯：杜能鋼）