关于基于P2P的僵尸网络的检测技术

关于基于P2P的僵尸网络的检测技术

［摘要］僵尸网络是攻击者以控制他人主机为目的，恶意传播僵尸程序，并通过一对多的命令、控制信道所组成的网络。僵尸网络已步入快速发展期，是当前因特网面临的最大威胁之一。本文介绍了基于P2P僵尸网络的结构、控制和传播，并归纳总结了目前僵尸网络的检测方法。

［关键词］僵尸网络P2P检测

一、绪论

1.课题背景和目的

僵尸网络(botnet)是攻击者出于恶意目的传播的僵尸程序（bot）来控制大量主机，并通过一对多的命令与控制信道所组成的网络。随着网络系统应用及复杂性的增加，僵尸网络成为网络系统安全的重要威胁。Symantec公司2006年监测数据表明，中国大陆被Botnet控制的主机数占全世界总数的比例从上半年的20％增长到下半年的26％，已超过美国，成为最大的僵尸网络受害国，但国内对Botnet的关注和研究工作还不够全面。作为一种日趋严重的因特网安全威胁，Botnet己成为计算机安全领域研究者所的关注热点。Botnet成为计算机网络对抗研究的首要课题，预示着计算机网络威胁新的发展趋势。

2.国内研究现状

尽管僵尸网络在很早之前就已经出现了，但直到近几年，随着僵尸网络的危害越来越大，对僵尸网络检测技术的研究才被各方面所关注。国际上的一些蜜网组织，如法国蜜网项目组织RichardClarke等，最早对僵尸网络进行了研究，他们利用蜜网分析技术对僵尸网络的活动进行了深入的跟踪和分析。

早期由于IRC僵尸网络占据着主导地位，所以对僵尸网络的大多数研究都是在基于IRC僵尸网络上的。而IRC僵尸网络的检测基本上无一例外都致力于研究其C&C（Command&Control）信道。2003年Puri在“Bobs$Botnet:AnOverview”一文中主要针对当时的IRC僵尸网络进行了比较全面系统的概述。

近年来随着计算机网络的高速发展，出现了许多新型的僵尸网络，如基于IM、HTTP等不同协议的僵尸网络，并出现了采用树型结构、随机网络拓扑结构以及具有部分P2P特征的僵尸网络。从传统的基于IRC网络的僵尸网络，逐步演变成基于P2P网络的僵尸网络，大大增加了其生存性和隐蔽性，同时也使得检测此类僵尸网络变得更加困难。P2P僵尸网络是利用P2P技术来传播或控制僵尸程序的网络。因为P2P僵尸网络最近几年才出现，所以对于P2P僵尸网络的研究就相对来说比较少。Helsinki科技大学的AnttiNummipuro提出了基于主机的P2P僵尸网络检测方法，但是该方法与其他恶意代码检测技术类似，并没有新颖或创新之处。阿姆斯特丹大学的ReinierSchoof和RalphKoning等人提出P2P僵尸网络的检测主要方法是对P2P对等端上的检测。

从2005年开始，国内才逐步对僵尸网络进行研究。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪僵尸网络的项目。CNCERT恶意代码研究项目组在2005年7月开始对僵尸网络进行研究。

二、基于P2P僵尸网络的原理与分析

1.基于P2P僵尸网络的结构

僵尸控制者（Botmaster）、僵尸主机（Bot）、命令与控制（CommandandControl，C&C）网络共同组成了僵尸网络（Botnet）。僵尸控制者是控制整个僵尸网络的攻击者；命令与控制网络一般有一个或多个命令与控制(C&C)服务器，僵尸控制者通过控制这些服务器来管理和控制僵尸主机；僵尸主机是攻击者通过C&C服务器控制的主机；僵尸主机从命令与控制网络获得命令，对网络上的主机进行攻击和欺骗活动。基于P2P僵尸网络的结构如图1所示。

2.基于P2P僵尸网络的传播与控制

随着P2P应用的日渐普及，僵尸控制者将僵尸程序伪装成正常的文件或隐藏于正常的文件中，通过用户下载安装这些文件来实现Bot感染、传播。P2P技术主要被用来控制僵尸主机传播僵尸程序。

P2P网络中所有节点是对等的，每一个节点既是客户端又是服务器，因此，基于P2P的Botnet控制与IRCBotnet有很大的不同。在后者中，攻击者利用IRC服务器作为C&C务器控制僵尸计算机，我们可以通过在IRC服务器上监测Botnet的行为特征检测到并进一步将其清除；而在前者中，攻击者只需加入P2P网络向其他对等节点发出控制命令即可。因此，基于P2P控制的Botnet通信系统很难被彻底毁坏，即使有一些Bot被查杀掉，也不会影响到Botnet的生存，故其具有不存在单点失效的特点。

三、僵尸网络的检测

早期对Botnet检测的研究主要集中在如何检测和跟踪到单个的僵尸主机，但是随着Botnet采用协议和结构的复杂性，特别是P2P协议广泛应用之后，