（计算机软件与理论专业论文）基于主机的p2p僵尸病毒检测技术研究.pdf

摘要 摘要 僵尸网络作为一种日趋严重的互联网安全威胁，已成为安全领域研究者所共 同关注的热点。由于目前i r c 协议仍是僵尸网络的主流控制协议，所以几乎所有 的相关研究都是关注i r c 僵尸网络控制信道的检测和刻画。基于i r c 协议的命令 与控制机制具有集中控制点，使得这种基于客户端服务器架构的僵尸网络容易被 跟踪、检测和反制。而基于p 2 p 技术的僵尸网络在健壮性、安全性和隐蔽性等方 面都有很大的提高，这给僵尸网络的发现和监测带来了挑战。p 2 p 僵尸网络由于具 有较强的个性化差异，目前还没有一种通用的检测方法。但随着这类僵尸网络近 年来的不断发展，构建对p 2 p 僵尸网络的有效检测方法将是一个重要的研究课题。 本文将数据挖掘技术引入互联网信息安全领域，选取p 2 p 僵尸病毒作为研究 对象，对其进行有害内容提取、主机行为分析及网络通信分析，析取出其内在活 动规律与传播机制，挖掘出主机上的非法行为与非法链接，在此基础上，提出了 一种通用且高效的p 2 p 僵尸病毒检测方法，从恶意行为分析与p 2 p 流量识别两个 方面来对p 2 p 僵尸病毒进行检测。这一课题在僵尸病毒的研究上具有较大的创新 性，同时也具有较高的应用价值。 本文首先收集了大量僵尸病毒样本，选取几种典型的p 2 p 僵尸病毒进行深入 分析，抽象出其功能结构模块，研究其在主机上的恶意行为、传播方式、攻击手 段以及对等端之间的连接特性等，在此基础上完成了详细的病毒分析报告。接着 本文将n - g r a m 算法应用于恶意行为的动态分析，通过提取并量化可执行程序的a p i 函数调用序列，得出a p i 子串的频率分布特征，据此判断该程序是否发生了恶意 行为。然后，本文在现有流量检测技术的基础上做出改进，提出了一种基于连接 行为特征的p 2 p 协议识别方法。通过对各种p 2 p 应用协议进行系统的分析，找出 p 2 p 流量存在的特性及共性，从而构建p 2 p 行为特征模型，用于检测可执行程序是 否发生了p 2 p 通信。最后，将恶意行为分析和p 2 p 协议识别进行有效结合，设置 一个合理的时间窗口，动态监测可执行程序的主机行为及网络通信，从而实现对 p 2 p 僵尸病毒的实时检测。实验表明，本文提出的基于行为特征的p 2 p 僵尸病毒检 测方法具有较高的准确率。 关键词：僵尸网络，p 2 p 僵尸病毒，恶意行为分析，p 2 p 协议识别 a b s t r a c t a b s tr a c t b e i n g a l li n c r e a s i n gt h r e a tt ot h es e c u r i t yo fi n t e r n e t ，b o t n e th a sb e e nb r o u g h ti n t o f o c u sa m o n gr e s e a r c h e r sa t t e n t i o ni nt h ea r e ao fn e t w o r ks e c u r i t y a si r ci ss t i l lt h e d o m i n a t ep r o t o c o lu s e db yb o t n e t s ，a l m o s ta l lt h er e l e v a n tr e s e a r c ha r ec o n c e r n e da b o u t t h ed e t e c t i o no nt h ec o m m a n da n dc o n t r o l ( c & c ) c h a n n e lo f 瓜cb o t n e t s i r c - b a s e d c & cc h a n n e li sh i g h l yc e n t r a l i z e dw h i c hm a k e st h i ss t r u c t u r eb a s e do nc l i e n t s e r v e r p a t t e r ni se a s yt ob et r a c k e d ，d e t e c t e da n dc o n t r o l l e d c o m p a r e dw i t ht h ei r cb o t n e t s ， b o t n e t su s i n gp 2 pt e c h n i q u ea r ew e l li m p r o v e di nr o b u s m e s sa n da b i l i t yo fc o n c e a l m e n t ， w h i c hb r i n gb i gc h a l l e n g e st od e t e c ta n dt r a c ks u c hk i n do fb o m c t s a tp r e s e n t ，t h e r ei s n og e n e r a ld e t e c t i o na p p r o a c hb e c a u s eo ft h es t r o n gc h a r a c t e r i s t i co fp 2 pb o t n e t s h o w e v e r , w i t ht h ec o n s t a n td e v e l o p m e n to fp 2 pb o t n e t sr e c e n t l y , c o n s t r u c t i n gt h e e f f e c t i v ed e t e c t i o nm e t h o do f p 2 pb o t n e t sw i l lb ea ni m p o r t a n tr e s e a r c hs u b j e c t i nt h i st h e s i s ，d a t ai n i i l i n gt e c h n i q u e sh a v eb e e nb r o u g h ti n t ot h ef i e l do f i n f o r m a t i o ns e c u r i t y w ec h o o s ep 2 p c o n t r o l l e db o t sa sr e s e a r c hc o n t e n t ，a n a l y z i n gm e i r m a l i c i o u sb e h a v i o r so nt h eh o s ta n dc o m m u n i c a t i o ns oa st ou n d e r s t a n dt h er u l e so f t h e i ra c t i v i t i e sa n dt r a n s m i s s i o nm e c h a n i s m f u r t h e r m o r e ， ag e n e r a la n de f f i c i e n t d e t e c t i o nm e t h o do fp 2 p - c o n t r o l l e db o t si sp r o p o s e db a s e do na b o v ea n a l y s i ss oa st o f i n do u tt h eu n u s u a la c t i v i t i e sa n dc o n n e c t i o n s t h r o u g hc o m b i n i n ga n a l y s i so f m a l i c i o u sb e h a v i o r sa n di d e n t i f i c a t i o no fp 2 p p r o t o c o lt o g e t h e r , t h eg e n e r a ld e t e c t i o n m e t h o do fp 2 p c o n t r o l l e db o t si sa c h i e v e dw h i c hn o to n l yw i mg r e a ti n n o v a t i o ni nt h i s r e s e a r c ha r e ab u ta l s ow i t hl l i 曲a p p l i c a t i o nv a l u e s i nt h i sp a p e r , l a r g en u m b e r so fb o ts a m p l e sa r ec o l l e c t e df i r s t l y t h e s es a m p l e sa r e a n a l y z e di no r d e rt ou n d e r s t a n dm e i ro p e r a t i o np r i n c i p l e s ，c o n t e n ts i g n a t u r e s ，b e h a v i o r c h a r a c t e r s ，t r a n s m i s s i o nm l e sa n da t t a c k s b o t sa n a l y s i sr e p o r t sa r ea c c o m p l i s h e di n d e t a i l s s e c o n d l y , t e x tc l a s s i f i c a t i o na l g o r i t h m - n - g r a mi su t i l i z e dt oc o n s t r u c tt h e d e t e c t i o nm o d e lw h i c hi su s e dt oi d e n t i f ym a l i c i o u sb e h a v i o r s t h r o u g he x t r a c t i n ga n d q u a n t i f y i n ga p if u n c t i o nc a l l so fe x e c u t a b l e s ，w ec a l lg e tt h ef r e q u e n c yd i s t r i b u t i o no f t h es u b s t r i n gi n t e r s e c t e df r o mt h ea p is e q u e n c es oa st ov e r i f yi ft h ee x e c u t a b l eh a s m a l i c i o u sb e h a v i o r so nt h eh o s t t h i r d l y , i m p r o v e m e n t sa r em a d eo nc u r r e n tt r a f f i c n a b s t r a c t d e t e c t i o nt e c h n i q u e s am e t h o dt oi d e n t i f yp 2 pt r a f f i ci sc o n s t r u c t e d w e 锄p h a s i z eo n t h ea n a l y s i so fp 2 pc o n n e c t i o nb e h a v i o r s ，a n dg i v ead e t a i l e dd e s c r i p t i o no ft h ep r o c e s s o fc o n s t r u c t i n gt h ep 2 pb e h a v i o rm o d e l f i n a l l y , t h ed e t e c t i o na p p r o a c hc o m b i n e s m a l i c i o u sb e h a v i o ra n a l y s i sa n dp 2 pp r o t o c o li d e n t i f i c a t i o nt o g e t h e re f f e c t i v e l y at i m e w i n d o wi ss e tt om o n i t o rt h eb e h a v i o r so nt h eh o s ta n dt h ec o m m u n i c a t i o nt r a f f i c d y n a m i c a l l y , t h r o u g hw h i c ht h ed e t e c t i o no f p 2 p c o n t r i o l l e db o t so nt h eh o s ti sr e a l i z e d a n dt h e n ，s e r i e so fe x p e r i m e n t sa r el a u n c h e dt os h o wt h a tt h ew a yo fd e t e c t i n g p 2 p c o n t r o l l e db o t sp r o p o s e di nt h i sp a p e ri se f f e c t i v e k e y w o r d s ：b o t n e t ，p 2 p - c o n t r o l l e dh o t ，m a l i c i o u sb e h a v i o ra n a l y s i s ，p 2 pt r a f f i c i d e n t i f i c a t i o n i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 关于论文使用授权的说明 年月 日 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 吼哆年历月中日 第一章绪论 1 1研究背景及意义 第一章绪论弟一早珀t 匕 僵尸网络( b o t n e t ) 是攻击者出于恶意目的，传播僵尸病毒控制大量主机，并 通过一对多的命令与控制信道所组成的网络。僵尸病毒是在传统恶意代码包括计 算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化，并通过相互融合发 展而成的一种新型攻击方式，它可以执行某些预定义功能，也可以被预定义的命 令所远程控制，并且具有一定的智能。僵尸病毒与其他恶意软件的最大区别之处 就在于它是高度可控的，危害更大。由于为攻击者提供了隐匿、灵活且高效的一 对多控制机制，僵尸网络得到了攻击者的青睐和进一步的发展。利用僵尸网络， 攻击者可以轻易地控制成千上万台主机对任意站点发起分布式拒绝服务攻击 ( d d o s ) 或发送大量垃圾邮件，从而导致整个基础信息网络或重要应用系统瘫痪； 同时也可以从受控主机上窃取敏感信息，导致大量机密或个人隐私泄露；另外， 还可以进行点击欺诈等其他违法犯罪活动以牟取经济利益【l 卅。作为一种日趋严重 的互联网安全威胁，僵尸网络已成为安全领域研究者所共同关注的热点。 p 2 p 技术，即对等网络技术，具有非中心化、可扩展性好和健壮性好等特点。 它打破了传统的c s 模式，网络中的每个节点的地位都是对等的，既是资源提供 者，又是资源获取者【5 】。随着p 2 p 技术的广泛使用，p 2 p 的应用如文件传输、i p 电 话、流媒体等，在网络流量中的份额越来越大。基于对等和开放的p 2 p 网络体系 既可以提供扩展性和灵活性，实现网络资源的合理配置，带来新的应用模式，其 网络结构也具有规模大、动态性强、拓扑结构相对复杂等特点。因此，p 2 p 技术在 给人们带来极大便利的同时，也产生了许多问题，比如网络带宽的巨大消耗、盗 版媒体及不健康内容的分发、网络病毒的传播等【6 】。 p 2 p 僵尸病毒，是由僵尸程序与最新的p 2 p 技术相结合而产生的一种更复杂、 更灵活、威胁更大的恶意程序。与早期出现的i r c 僵尸网络相比，基于p 2 p 技术 的僵尸网络在健壮性、安全性和隐蔽性等方面都有了很大的提耐。基于i r c 协议 的命令与控制机制具有集中控制点，使得这种基于客户端服务器架构的僵尸网络 容易被跟踪、检测和反制。一旦防御者获得僵尸程序样本，他们就能很容易地发 现僵尸网络控制器 8 】的位置，并使用监测和跟踪手段掌握僵尸网络的全局信息，从 而通过关闭这些集中的僵尸网络控制器以削弱或消除僵尸网络所带来的威胁。近 电子科技大学硕士学位论文 年来，一些新出现的僵尸程序开始使用分布式的p 2 p 协议构建其命令与控制机制， 如p h a t b o t 、s i n i t 、s p a m t h r u 、n u g a c h e 、p e a c o m m 等【外。由于p 2 p 网络本身具有 的对等特性，在p 2 p 僵尸网络中不存在只充当服务器角色的僵尸网络控制器，而 是由p 2 p 僵尸程序同时承担客户端和服务器的双重角色，这样一来，就能避免控 制过于集中的缺点，从而使得p 2 p 僵尸网络更具韧性和隐蔽性。然而，对p 2 p 僵 尸网络的研究目前还处于起步阶段，国内外尚未有详细而全面介绍p 2 p 僵尸病毒 机理和研究成果的论文，现有的研究大部分关注的是i r c 僵尸网络，并且很多都 只是针对由某一特定僵尸病毒所构成的僵尸网络【l m l 3 】，而缺乏对一般性僵尸网络 进行检测与防御的通用方法。安全专家认为，在未来的几个月内，会有更多的僵 尸工具使用p 2 p 网络协议。 鉴于僵尸网络对互联网用户已造成严重威胁，并且p 2 pb o t n e t 正在迅速兴起， 并可能成为未来僵尸网络的主流形式，因此，对p 2 p 僵尸病毒检测技术的研究是 十分有意义的。一方面可以有效遏制其快速发展的势头，对国家安全起到非常重 要的作用；另一方面，对于开展网上业务的各商家和用户来说也能产生巨大的经 济利益，为电子商务的发展铺平道路，而且相应的技术还能应用到网络犯罪团伙 的发现、互联网诈骗的预警等场合。 1 2国内外研究现状与发展趋势 1 2 1 研究现状及存在的问题 恶意僵尸程序出现后，最先对其进行研究的是反病毒厂商。他们将僵尸程序 视为从网络蠕虫或后门工具发展出来的一种恶意代码，并将其划入反病毒软件的 查杀范围。各大著名的反病毒厂商对几个重要的僵尸程序( 如a g o b o t ，s d b o t ， s p y b o t ，g t b o t 等) 及其变种进行了细致的分析，并在病毒库中包含了这些僵尸程 序的特征码。s y m a n t e c 从2 0 0 4 年开始，在其每半年发布一次的安全趋势分析报告 中，以单独的章节给出对b o t n e t 活动的观测结果。k a s p e r s k y 也在恶意软件趋势 分析报告中指出，僵尸网络的盛行是2 0 0 4 年病毒领域最重大的变化。 学术界从2 0 0 3 年开始关注b o t n e t 的发展。a c m 协会从2 0 0 3 年开始举办的w o r m 会议( w o r k s h o po nr a p i dm a l c o d e ) 和u s e n i x 协会从2 0 0 5 年开始举办的s r u t i 会 议( w o r k s h o po ns t e p st or e d u c i n gu n w a n t e d t r a f f i ci nt h ei n t e r n e t ) 均以 僵尸网络为重要议题。此外，u s e n i x 协会从2 0 0 7 年开始举办僵尸网络专题探讨会 2 第一章绪论 h o t b o t s ( w o r k s h o po nh o tt o p i c si nu n d e r s t a n d i n gb o t n e t s ) 。国际上的蜜网 项目组和蜜网研究联盟的一些成员使用蜜网分析技术对b o t n e t 的活动进行了深入 跟踪和分析，如a z u s ap a c i f i c 大学的b i l lm c c a r t y 1 4 1 、法国蜜网项目组的r i c h a r d c l a r k e 1 5 1 、华盛顿大学的d a v ed i t t r i c h 1 每1 7 1 和德国蜜网项目组。特别是德国蜜网 项目组在2 0 0 4 年1 1 月到2 0 0 5 年1 月通过部署w i n 3 2 蜜罐机对近1 0 0 个b o t n e t 进行了跟踪，并发布了b o t n e t 跟踪的技术报剖1 8 埘】。 工业界和政府部门也同样关注僵尸网络对互联网所造成的严重安全威胁。微 软公司在2 0 0 4 年发起了国际反僵尸网络工作组。2 0 0 6 年6 月，美国陆军研究办公 室a r o 、国防高级研究计划署d a r p a 和国土安全部d h s 等3 个部门联合在g at e c h 举办了僵尸网络专门研讨会，汇集学术界、政府部门和工业界的研究人员对这一 新兴安全威胁进行了深入探讨，并汇总出版了b o t n e td e t e c t i o n ：c o u n t e r i n gt h e l a r g e s ts e c u r i t yt h r e a t 2 2 】。 僵尸网络的一个主要威胁是作为攻击平台对指定的目标发起d d o s 攻击，所以 d d o s 的研究人员也对僵尸网络做了相应的分析研究【2 3 - 2 4 】。由国外d d o s v a x 组织的 “d e t e c t i n gb o t si ni n t e r n e tr e l a yc h a ts y s t e m s 项目中，分析了基于i r c 协议的b o t 程序的行为特征，在网络流量中择选出对应关系，从而检测出b o t n e t 的存在。 s y m a n t e c 公司2 0 0 6 年监测数据表明【2 5 。2 6 】，中国大陆被僵尸网络控制的主机数 占全世界总数的比例从上半年的2 0 增长到下半年的2 6 ，已超过美国，成为最大 的僵尸网络受害国。但与此极不相称的是，国内对僵尸网络的关注和研究工作还比 较少。国家计算机网络应急技术处理协调中心在2 0 0 4 年底破获了国内第一起大规 模的僵尸网络案件。北京大学计算机研究所从2 0 0 5 年1 月开始实施用蜜网跟踪 b o t n e t 的项卧2 7 彩】，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优 势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所连接的b o t n e t 控制信道的信息进行提取，最终获得了6 0 ，0 0 0 多个僵尸程序样本分析报告，对其 中5 0 0 多个仍然活跃的b o t n e t 进行跟踪，统计出所属国分布、规模分布等信息。 通过以上描述可以看出，从国内到国外，对僵尸网络的研究越来越多地受到 网络安全领域的重视，研究人员在僵尸网络的检测、跟踪、防御与反制等多方面 开展了深入的研究工作。下面就现有的僵尸病毒检测技术做简单介绍。 b i n k l e y 等人 3 0 - 3 1 】提出了一种基于t c p 扫描权重( t c pw o r kw e i g h t ) 的启发 式异常检测算法以检测i r c 僵尸网络的命令与控制信道。该算法基于i r c 僵尸网 络中大量僵尸主机连接到同一i r c 频道，并接受网络传播命令进行大量的t c ps y n 3 电子科技大学硕士学位论文 扫描这一观察，按照公式i - i 定义t c p 扫描权重这一评价指标，并通过识别t c p 扫描权重超出正常阈值的被感染i p 地址及其连接的i r c 频道对僵尸网络进行检 测。 w = ( s s + f s + r r ) t s r ( 卜1 ) 公式1 - 1 中，& 为发送的s y n 包和s y na c k 包数量，风为发送的f i n 包数量， r r 为接收的r e s e t 包数量，乃，为全部t c p 数据包数量，t c p 扫描权重w 为t c p 控 制报文数与t c p 总报文数的比值。b i n k l e y 等人提出的这种方法只适用于以明文方 式传播控制信道命令的i r c 僵尸网络。 s t r a y e r 等人【3 2 】提出了通过检查带宽使用、持续时间和数据包时序等网络流属 性来识别i r c 僵尸网络命令与控制通信的方法。l i v a d a s 等人【3 3 】则应用机器学习方 法来对i r c 僵尸网络通信流量进行检测，他们将任务分解为两个步骤：首先使用 机器学习领域中经典的原始贝叶斯、贝叶斯网络、j 4 8 决策树等分类器对i r c 流量 和非i r c 流量进行区分，实验结果显示，原始贝叶斯分类器取得了最好的效果， 误报率为2 4 9 ，漏报率为1 5 0 4 ，均达到了较低水平；然后再从i r c 流量中区 分正常i r c 通信和僵尸网络控制流量，在这个步骤中，所有的3 种分类器均没有 达到理想的效果，最好的贝叶斯网络分类器也仅达到了误报率为1 0 - 一2 0 、漏报率 3 0 4 0 间的平衡。这一研究工作表明，简单地将机器学习方法应用到僵尸网络检 测并不能取得良好的效果，必须充分考虑僵尸网络控制机制的内在特性。 g o e b e l 等人 3 4 】描述了一种简单而高效的i r c 僵尸网络检测方法叫i s h i ，其 基本思想是被动监听网络流量，通过开源的n g r e p 工具获取其中包含的i r c 协议 连接信息，然后用n g r a m 分析方法实现评分函数，通过对i r c 昵称的异常评定， 检测出内部网络中被i r c 僵尸网络所感染的僵尸主机。利用这种方法，g o e b e l 等 人在德国r w t ha a c h e nu n i v e r s i t y 校园网的1 0 g 网关上两周内检测出了8 2 台被 感染的僵尸主机。该方法虽然对现有的i r c 僵尸网络检测比较有效，但还存在如 下的不足之处：( 1 ) r i s h i 方法依赖于正则表达式来检测和评价一个僵尸程序呢称， 但目前存在一些僵尸程序使用与i r c 用户类似的昵称命名结构，从而导致r i s h i 无法有效检测，而且僵尸网络控制者也很容易修改僵尸程序呢称命名结构以绕过 r i s h i 所定义的正则表达式；( 2 ) 该方法只能用于对基于标准i r c 协议僵尸网络的 检测，无法应对基于h t t p 协议、p 2 p 协议和其他自定义协议的僵尸网络。 a t & t 实验室的k a r a s a r i d i s 等人f 3 5 】提出了一种在i s p 骨干网层面上检测和刻 画僵尸网络行为的方法，该方法由如下步骤组成：( 1 ) 对a t & ti n t e r n e tp r o t e c t 4 第一章绪论 底层传感器触发的事件进行聚合，识别出具有可疑行为的主机；( 2 ) 基于缺省i r c 服务端口、识别到集中服务器的连接以及i r c 流量模型特征这3 个启发式规则， 识别出可能的僵尸网络命令与控制连接；( 3 ) 分析可能的命令与控制连接，计算 出连接同一服务器的可疑僵尸主机数量，计算出可疑连接与i r c 流量模型的相似 性距离，并结合两者计算该可疑连接为僵尸网络命令与控制信道的得分；( 4 ) 通 过与其他数据源( 如基于蜜罐技术发现的僵尸网络数据) 的关联、d n s 域名验证和 人工验证确认检测到的僵尸网络。与之前的工作相比，k a r a s a r i d i s 等人的方法具 有如下优势：( 1 ) 分析方法完全在传输层以下进行，没有涉及应用层信息，因此， 检测效率将更高，可在骨干网上实施：( 2 ) 基于网络流数据被动监听与分析，不 涉及隐私问题，并可以检测加密通信的i r c 僵尸网络；( 3 ) 误报率低，在实验中 达到了2 的较好水平，同时可以量化僵尸网络的规模等信息。 g u 等人【3 6 】采用i d s 驱动的会话关联方法实现了能够检测僵尸程序感染的 b o t h u n t e r 系统。该系统基于证据链( e v i d e n c et r a i l ) 关联思想，将僵尸程序感染 过程视为一台内网主机与外网一台或多台主机间的信息交互序列，包括目标扫描、 破解攻击、二进制代码注入与执行、命令与控制信道连接和对外扫描等步骤。 b o t h u n t e r 系统底层采用s n o r t 入侵检测系统的特征检测方法以及两个关注僵尸程 序的异常检测插件s l a d e 和s c a d e ，以对僵尸程序感染的各个步骤进行检测。s l a d e 插件实现了对流入连接的有损性n - g r a m 负载分析方法，通过对执行协议负载的字 节分布异常检测出恶意代码攻击；s c a d e 插件进行针对恶意代码的平行及垂直端口 扫描分析，可以检测出流入连接和流出连接中的扫描事件。然后，b o t h u n t e r 关联 分析器将底层i d s 报告的流入扫描报警、破解攻击报警和外出控制信道报警、对 外扫描报警等事件联系在一起，从而给出一个详细的包含所有相关事件的僵尸程 序感染会话场景。b o t h u n t e r 系统的优点在于首次提出了一个关联和刻画僵尸程序 整个感染过程的实时分析系统，并通过实际测试3 5 个最近的僵尸程序验证了其有 效性。 t h o r s t e nh o l z 等人册通过对病毒的二进制代码进行反汇编来剖析僵尸病毒 的传播机制、恶意行为、控制信道加密方式等特点，从而实现了对p 2 p 僵尸网络 的跟踪、检测与反制。该方法的优点在于首次对p 2 p 僵尸网络s t o r m w o r m 进行了 深入分析，通过伪装成受控主机加入到僵尸网络，接收和回复攻击者的命令，从 而发现并阻断其通信信道以便削弱僵尸网络的攻击能力。但是，这种方法只能检 测某一类特定的僵尸网络，不具有通用性，并且只适用于分析加密方式简单的病 毒，对于未知的或者是经过变形处理的病毒则很难发挥效用。另外采用反汇编技 5 电子科技大学硕士学位论文 术需要对计算机底层工作原理如c p u 架构，指令集，汇编语言等有很深的认识， 而且在进行反汇编调试时需要有很丰富的反汇编调试经验，对于普通技术人员而 言这种分析方式难度过高。更甚者，如果编写僵尸病毒的黑客人为地在程序中加 入大量的花指令、连续不断的跳转、定时器设置陷阱、跟踪调试软件标识符加密、 反跟踪调试功能设置等等，那么对病毒的二进制代码进行反汇编将十分耗时且低 效，并且难以应对僵尸程序的推陈出新。 由于目前i r c 协议仍是僵尸网络的主流控制协议，所以几乎所有的相关研究 工作都是围绕i r c 僵尸网络控制信道的检测和刻画来开展的。基于p 2 p 协议的僵 尸网络由于具有较强的个性化差异，目前还没有一种通用的检测方法，但随着这 类僵尸网络近年来的不断发展，构建对p 2 p 僵尸病毒的有效检测方法将是一个重 要的研究课题。 1 2 2 发展趋势 作为一种从传统恶意代码形态进化而来的高级攻击方式，僵尸网络已经成为 攻击者发动大规模分布式恶意行为的首选工具，目前正步入快速发展期，并对因 特网的安全造成了严重威胁，对中国大陆造成的危害尤为严重。此外，僵尸网络 还呈现出如下发展趋势： 1 命令与控制机制从基于i r c 协议和h t t p 协议逐渐转移到基于各种不同类 型的p 2 p 协议，以增强僵尸网络的隐蔽性和鲁棒性。 2 网络传播方面借鉴并融合了各类传统恶意代码的传播方式，包括最新的通 过即时通信软件和p 2 p 文件共享软件进行传播。 3 通过增强认证和信道加密机制，对僵尸程序进行多态化和变形混淆，引入 r o o t k i t 隐藏机制使得对僵尸网络的检测、跟踪和分析更加困难。 鉴于僵尸网络所呈现的技术特点及其发展趋势，安全领域研究者必须加强对 僵尸网络的研究，并协调反病毒业乔和应急响应部门进行有效反制，才能遏制其 快速发展的势头。预计僵尸网络领域在未来一段时间的研究重点包括： 1 新型的僵尸网络命令与控制机制及其应对策略研究。现有的研究大部分都 是关于i r c 协议的僵尸网络，随着研究工作的深入，这类僵尸网络的缺点逐渐暴 露出来，基于p 2 p 技术的僵尸网络在健壮性、安全性和隐蔽性等方面都有很大的 提高，对互联网安全产生的威胁也大大增强，因此，对于这种基于p 2 p 命令与控 制机制的僵尸网络的研究必将进一步深入。 6 第一章绪论 2 僵尸网络传播模型的进一步研究及在实验测试环境中的验证。僵尸网络的 传播特性是从网络蠕虫继承而来，但又与传统网络蠕虫的自动传播方式不同。已有 的网络蠕虫传播模型包括最基本的s i 模型 3 8 1 、s i r 模型 3 9 】，以及考虑蠕虫反制机 制的双因素模型【加】等。由于僵尸网络传播所具有的受控性和区域性，网络蠕虫的传 播模型并不适合用于对僵尸网络发展趋势的刻画和预测，因此，有必要研究适应 僵尸网络传播特性的模型。 3 更具准确性和高效性的僵尸网络检测机制，特别是针对新型的僵尸网络命 令与控制机制。由于p 2 p 僵尸网络的实现比较复杂，同时也因为其在控制方式上 的分布性使得对它的研究比较困难，所以目前还没有一种通用的检测方法。找出 更多和更普遍的行为特征或通信特征将对这类僵尸病毒的检测有很大帮助，另外 结合人工智能技术，实现启发式、动态、智能的查杀技术也是很好的发展方向， 未来在攻击检测上可能会出现多学科相结合的情况，如心理学、行为学等。 4 具有一定自动化程度的僵尸网络反制辅助平台的研究和实现。在反制方面 目前尚未出现高效的技术，未来的发展将会关注于反制技术的自动化。如设计出 在攻击目标处更加自动化和更加有效的认证方式，设计出更准确的网络流量鉴别 工具等。此外，分析p 2 p 僵尸网络的进化和破坏能力也应成为理论研究的重要问 题，需要针对不同的p 2 p 网络模型采取有针对性的反制策略。 1 3 研究内容及论文章节安排 1 3 1 本文的研究内容 本文选取更复杂、更灵活、更具隐匿性的p 2 p 僵尸病毒作为研究对象，将数 据挖掘技术引入信息安全领域，提出了一种通用且高效的p 2 p 僵尸病毒检测方法。 这一课题在僵尸病毒的研究上具有较大的创新性，同时也具有较高的应用价值。 本文所做的工作主要包括以下几个方面： 1 收集大量僵尸病毒样本，选取最新出现的几种p 2 p 僵尸病毒做深入分析， 研究其在主机上的恶意行为、传播方式以及对等端之间的通信特征等，完 成详细的病毒分析报告。 2 通过查阅国内外大量相关技术文献，在现有检测技术的基础上做出改进， 提出一种基于行为特征的p 2 p 僵尸病毒检测方法。 3 对本文检测方法中所使用的恶意行为分析、p 2 p 流量识别等关键技术做详 7 电子科技大学硕士学位论文 细介绍，并给出实验数据以证实方法的有效性。 本文的创新点如下： 1 对目前国内外尚未有相关研究文献的几种p 2 p 僵尸病毒进行了深入的分 析研究，并完成了相应的病毒分析报告。 2 提出了一种通用的检测方法，从恶意行为分析与p 2 p 流量识别两个方面来 对各种p 2 p 僵尸病毒进行实时检测，突破了逆向工程技术和解密技术的局 限性与低效性。 3 将n g r a m 算法应用于恶意行为的动态分析。 4 有效结合深层数据包检测技术和流量特征检测技术的优点，构建一种基于 p 2 p 连接行为特征模型的p 2 p 协议识别方法。 1 3 2 论文章节安排 本论文共分为六章，各章的主要内容如下： 第一章：简要介绍本课题的研究背景和意义，明确本文的研究内容以及论文 的章节安排。 第二章：介绍本文采用的样本收集方法及分析技术，举例分析两种典型的p 2 p 僵尸病毒样本，并归纳总结其传播方式、恶意行为、命令与控制机制等，为p 2 p 僵尸病毒的检测提供依据。 第三章：在上一章对p 2 p 僵尸病毒所做的分析基础上，提出一种基于行为特 征的p 2 p 僵尸病毒检测方法，并描述了系统的总体框架及各主要模块的功能实现。 第四章：详细介绍了恶意行为分析模块中所用到的a p i 函数拦截技术及n g r a m 建模方法。 第五章：详细介绍了p 2 p 协议识别模块中所使用的特征码匹配及行为特征建 模等关键技术。 第六章：对本文已完成的工作进行总结，并展望后续工作。 第二章典型p 2 p 僵尸病毒分析 第二章典型p 2 p 僵尸病毒分析 为了构建一个通用且高效的p 2 p 僵尸病毒检测系统，有必要对p 2 p 僵尸病毒 的工作原理及行为特征等进行深入的解析。因此本课题共收集了7 6 种p 2 p 僵尸病 毒样本，选取了其中7 种来进行分析研究，分别是：p h a t b o t 、z h e l a t i n z y 、 z h e l a t i n y d 、e v i b o t 、a b u v a 、s p y b o t c 、i n s t a a ，并完成了相应的病毒分析报 告( 除了p h a t b o t 有相关的英文文献f 4 1 】对其特征进行简单分析以外，其他6 种病 毒目前国内外尚未有相关的研究文献) 。本章首先给出了p 2 p 僵尸病毒的定义，并 将其与传统恶意代码进行对比分析，然后简要介绍了本文所采用的样本收集方法 和分析技术，最后以p h a t b o t 和z h e l a t i n z y 为例，深入剖析了p 2 p 僵尸病毒的 功能结构与工作机制，并归纳总结了其恶意行为特征和网络通信特征，为p 2 p 僵 尸病毒的检测提供了依据。 2 1 p 2 p 僵尸病毒的定义 计算机病毒在中华人民共和国计算机信息系统安全保护条例中的定义是： 编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且 能够自我复制的一组计算机指令或者程序代码。病毒必须满足两个基本条件：( 1 ) 自行执行( 2 ) 自我复制。另外病毒往往还具有传播性、潜伏性、触发性和破坏性 等特性。 蠕虫属于传统恶意代码的一种，它是无须计算机使用者干预即可运行的独立 程序，通过获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕 虫与普通病毒最大的区别在于普通病毒需要传播受感染的驻留文件来进行复制， 而蠕虫不使用驻留文件即可在系统之间进行自我复制。 特洛伊木马是一种基于远程控制的黑客工具，具有欺骗性( 表面看上去是良 性的，实质上具有恶意功能) 、隐蔽性和非授权性。木马与普通病毒的最大区别 在于它不具有传染性，不能像病毒那样复制自身，也并不“刻意 地去感染其他 文件，而是通过将自身伪装起来，吸引用户下载执行，从而导致严重破坏。 僵尸病毒具有一些和蠕虫、木马等传统恶意代码相似的病毒特性，如传播性、 隐蔽性、破坏性等等，其行为方式的核心是木马程序，但在传播方式上采用的是 蠕虫的主动传播技术。 9 电子科技大学硕士学位论文 从1 9 9 9 年第一个具有僵尸网络特性的恶意代码p r e t t y p a r k 现身因特网，到 2 0 0 2 年s d b o t 和a g o b o t 源码的发布和广泛流传，僵尸网络快速地成为了因特网的 严重安全威胁。反病毒厂商一直没有给出僵尸程序和僵尸网络的准确定义，而仍 将其归入网络蠕虫或后门工具的范畴。学术界从2 0 0 3 年开始关注这一新兴的安全 威胁，为区分僵尸程序与传统恶意代码，p u r i m 2 1 和m c c a r t y 4 3 】给出这样的定义： 僵尸程序为连接攻击者所控制i r c 信道的客户端程序，而僵尸网络是由这些受控 僵尸程序通过i r c 协议所组成的网络。为适应之后出现的使用h t t p 或p 2 p 协议构 建命令与控制信道的僵尸网络，b a c h e r 等人 3 】给出了一个更具通用性的定义：僵 尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。为了能够更加明确地 区分僵尸网络和其他安全威胁，诸葛建伟等人口7 】强调了僵尸网络与其他攻击方式 最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系。r a j a b 等人在 文献 4 4 1 中也指出，虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播， 如远程攻击软件漏洞、社会工程学方法等，但其独有的特性在于对控制与命令通 道的使用。 综合上述分析，本文定义：僵尸病毒是在传统恶意代码包括计算机病毒、网 络蠕虫、特洛伊木马和后门工具的基础上发展进化，并通过使用各种网络协议 ( i r c 、h t t p 、p 2 p 等) 构建命令与控制信道的一种新型攻击方式。p 2 p 僵尸病毒， 是由僵尸病毒与最新的p 2 p 技术相结合而产生的一种更复杂、更灵活、威胁更大 的恶意程序。p 2 p 僵尸病毒与传统僵尸病毒( i r c h t t p 僵尸病毒) 的差异在于其 核心模块命令与控制模块的实现机制不同。 2 2 样本分析技术介绍 1 静态分析技术 静态分析的主要对象是源程序，它不需要执行待测试的程序，而是通过扫描 待测试程序的源代码，对程序的数据流和控制流进行分析。典型的静态分析技术 按其设计思想主要包括检查漏洞库函数、基于约束的分析和软件模型检测这三种 方法。 2 动态分析技术 动态分析是指在程序运行的过程中对其进行跟踪分析，包括沙箱( s a n d b o x ) 和蜜网在线攻击分析技术。沙箱是一种主动的检测未知病毒和恶意软件的技术， 使恶意程序可以在一个安全的虚拟环境中运行并暴露出来，而不会对真实系统产 1 0 第二章典型p 2