博士生开题报告-混合结构僵尸网络构建及评估.pdf

1、开题报告混合结构僵尸网络构建及评估 一、开展本课题研究的意义当今世界，互联网(Internet)已经深入到人类活动的很多方面，其影响力越来越大，网络 安全问题也接踵而来。对于处于互联网高速发展时期的中国，三网融合不断推进和手机用户 快速增长给中国互联网发展增添了新的动力和机遇，同时也使网络信息安全面临新的问题和 挑战。其中，僵尸网络(Botnet)给网络信息安全带来了巨大威胁和严重危害，而且程度不断 加深，因此受到了工业界和学术界越来越多的重视。作为能够发起各种攻击的平台，僵尸网 络已被公认为是互联网安全最大的威胁之一。赛门铁克(Symantec)公司2010年4月发布的互 联网安全威胁报告2

2、指出：中国是僵尸网络的最大受害国之一，仅列美国之后。Arbor Networks公司2010年1月发布的安全报告1显示：僵尸网络是全球网络服务提供商(ISP)的第 二大运营威胁，仅列分布式拒绝服务(DDoS)攻击之后，而DDoS往往是由僵尸网络发起的。僵尸网络的危害主要表现以下几个方面。(1)窃取敏感信息。攻击者利用僵尸程序非法入侵个人电脑、手机等各种网络终端，拥 有最高级权限，可以窃取僵尸终端上用户的任何信息，比如邮箱地址、手机号、聊天工具帐 号密码、网游帐号密码、网上银行帐号密码，甚至是很多网络应用的好友信息等等。(2)盗用资源。攻击者利用僵尸程序可以盗用僵尸终端的网络资源，可能会使僵尸终

3、端 的网络性能受到影响，甚至遭受损失。比如，ClickBot的控制者利用僵尸终端虚假点击网络 广告，以牟取非法经济利益3。(3)发送大量垃圾邮件和垃圾信息。攻击者利用僵尸程序，可以发送垃圾邮件和其他垃 圾信息(比如IM消息、微博消息、手机短信等)。赛门铁克的研究人员指出全世界80%以上 的垃圾邮件竟然出自十大垃圾邮件僵尸网络4。另外，最近的报道5指出，手机僵尸病毒 利用社会工程学攻击，通过大量发送垃圾短信来感染更多的移动终端。(4)分布式拒绝服务攻击。攻击者可以给所有僵尸终端发送指令，让其在特定时间同时 访问特定的网络目标，从而达到DDoS的目的。山于僵尸网络的特点，利用僵尸网络可以形 成更大

4、规模、更高同步性的DDoS攻击。僵尸程序可能发起多种不同的DDoS攻击，主要是 TCP SYN和UDP洪水攻击。(5)存储违法数据。攻击者可以利用僵尸网络建立起分布式的共享数据库，以存放和传 播违法数据。比如，为网络仿冒提供钓鱼网站，临时存放其他僵尸终端的返回信息。(6)发动新的蠕虫攻击。攻击者可以利用僵尸网络缓慢释放蠕虫，而蠕虫最大的威胁是 其快速蔓延时产生的数据流量可以导致大面积网络拥塞甚至瘫痪。有研究表明，影响蠕虫破 坏效果的重要因素之一是释放蠕虫的初始节点的规模和分布，而僵尸网络正可以满足分布 广、规模大的需求。(7)作为跳板攻击者可以利用僵尸终端，隐藏身份，发起各种攻击，或从事其他非

5、法 活动。其中，DDoS和Spam是僵尸网络最严重的危害6。当然，随着僵尸网络的演变进化，新 的危害还会出现。可以看出，僵尸网络不等同于某个特定的安全事件，而是网络犯罪者用来 发动各种攻击的通用平台。僵尸网络也与其他恶意代码不同，由僵尸网络控制者通过命令控 制通道操控整个网络，具有高度的可控性。利用僵尸网络这样强大的平台，攻击者可以从事 各种各样的非法恶意活动，往往比使用传统攻击方式付出的成本更低、造成的危害更大、防 范的难度更高。通过僵尸网络实施网络攻击，使步骤更加简化，效率更加明显，并且更易于 隐藏攻击者的身份。僵尸网络控制者可以从这些非法攻击中获得经济利益，而这也是僵尸网 络不断发展、难

6、以防治的根源。僵尸网络是可被攻击者(Attacker)操控的计算机群，其组成部分包括僵尸终端(Bot)、命-1-令控制信道(Command&Control,C&C)和控制者(BotMaster)。僵尸终端是被植入僵尸程序(Bot Program)的计算机，而僵尸程序是一类恶意代码，被控制者通过命令控制信道操纵。控 制者是僵尸网络的所有者，他们利用软硬件漏洞攻击、社会工程学攻击和网页挂马等多种入 侵手段，非法传播僵尸程序，控制大量僵尸终端，匿名操纵僵尸网络，发送垃圾邮件(Spamming)、发动DDoS攻击、窃取机密信息或从事其他恶意活动，以牟取利益或达到其他 目的。可见，僵尸网络的两个本质属性

7、是可控性和协同性。按照拓扑结构可将僵尸网络分为 四类：纯中心结构、纯P2P结构、组合结构和混合结构。更需要关注的是，僵尸网络种类和数量不断增加，并且不断演变进化。起初，僵尸网络 利用IRC协议构建命令控制通道，后来，出现了基于HTTP和P2P的僵尸网络。而且，攻击 者完全有可能利用任何一种网络应用，设计新的命令控制通道，组建新型僵尸网络，比如利 用邮件服务、即时通信软件、微博客和手机短信等等。随着三网融合的不断推进和手机户用 的快速增长，攻击者很可能会利用新网络环境和网络应用的安全漏洞和隐患，构建新型僵尸 网络，造成危害。比如前一段时间，各大媒体重点报道了手机僵尸病毒，其规模已经达到百 万级5

8、导致手机网络运营商和手机用户蒙受巨大的威胁和严重的损失。可见，在网络环 境复杂化和网络应用多样化的发展趋势下，僵尸网络新的威胁和危害也会不断出现。同时一，僵尸网络的防御和研究相对滞后，我们认为存在三方面的问题：(1)僵尸网络的危害显现的时候才开始防御，损失已经造成，不能够防范于未然；(2)对于僵尸网络的传播机制没有系统的研究，不能够把握特定僵尸网络的传播速度和 发展趋势，进而不能够准确预判；(3)没有一套完善的僵尸网络评价体系，导致防御策略在选择性和针对性等方面得不到 合理化建议。针对上述问题，本课题从攻击者和防御者两种不同的角度，进行僵尸网络攻防关键技术 的研究，其内容和意义如下：(1)新

9、型僵尸网络构建的研究。从攻击者的角度出发，预测未来僵尸网络模型和发展趋 势，可以更好地帮助防御者及时提出有效的防御措施，提前防范可能出现的危害。(2)僵尸网络传播模型的研究。僵尸网络可以融合多种恶意代码传播手段，并且进行可 控感染，而现有的传播模型并不能够准确、有效、统一地刻画所有僵尸网络的传播行为。因 此，为了进一步了解和掌握僵尸网络的传播规律，我们需要找寻一种新的传播模型，为防御 者提供更多有价值的信息。(3)僵尸网络评价体系的研究。对于僵尸网络的评估方法，多数研究成果8-10还处于“一 事一议”的状态，没有形成一套系统全面的评估方法和标准。此研究点的意义在于可以全面 有效地比较不同僵尸网

10、络(如危害程度、传播速度、对抗能力等)，加深对僵尸网络的认识，同时提出为防御者提供有针对性的防御策略选择和建议。二、国内外研究现状分析尽管第一个僵尸网络(Pretty Park)在1999年就出现了，但针对僵尸网络的研究并不多，因为当时的僵尸网络攻击技术并不成熟，造成的损失相对较小，没有引起人们的重视11。直到2003年前后，随着僵尸网络攻击技术的成熟，攻击者可以很容易地使用模块化的方法 来构建自己的僵尸网络,发动各种各样的大规模攻击,这给网络及其用户带来了巨大的威胁。国内外的科研工作者、反病毒厂商纷纷将目光转移到僵尸网络的研究上。特别是在僵尸网络 控制者利用IRC以外的协议(如P2P协议)来

11、构建更具健壮性和隐蔽性的控制与命令机制之 后，学术界和工业界加紧了对僵尸网络的研究。在学术界，USENIX协会从2007年开始举 办僵尸网络专题研讨会 HotBots(Workshop on Hot Topics in Understanding Botnets),2008 年，-2-WORM 与 HotBots 合并为 LEET(Workshop on Lager-scale Exploits and Emergent Threats),专门探讨僵尸网络、间谍软件和蠕虫。同时，近年来在USENIX Security Symposium、NDSS、CCS、RAID等著名会议上发表的僵尸网络研究

12、成果呈明显增多趋势。在工业界，微软公 司在2004年发起了国际反僵尸网络工作组。在政府部门，2006年6月美国陆军研究办公 室ARO、国防高级研究计划署DARPA和国土安全部DHS等3个部门联合在GATech举办 了名为“ARO-DARPA-DHS Special Workshop on Botnet”的僵尸网络专门研讨会，对这一严 重安全威胁进行了深入探讨。概括地讲，僵尸网络的研究包括个方面：防御技术研究和运行机理研究。详细来看，僵 尸网络防御技术研究主要包括1)检测(Detection),2)追踪(Tracking),3)度量(Measurement),4)对抗(Countermeasur

13、e)12；而僵尸网络运行机理研究主要包括1)预测(Prediction)和2)评估(Evaluation)。其中，预测研究是指以攻击者的视角，研究僵尸网络未来可能出现的攻击技术、构建方式等，旨在帮助防御者了解和掌握僵尸网络的演变进化和发展趋势，做好防御技术研 究，从而提前提出有效的防御手段;而分析评估研究能够深入了解现有的和未来的僵尸网络,为防御策略的选择提供合理化建议和理论依据。图2-1僵尸网络研究分类框架本课题的主要研究工作属于僵尸网络运行机理研究的范畴。针对本课题的主要研究内 容，本节将介绍国内外相关的一些研究和成果，同时指出其尚待改进和不足之处。2.1 僵尸网络预测的相关研究僵尸网络的

14、结构越来越复杂，P2P是其演变趋势之一。国内外的研究者主要把研究重点 放在了僵尸网络的模型设计上，而提出的模型多为基于P2P结构的。加拿大卡尔加里大学(University of Calgary)的Ryan Vogt等人在13中引入了network of botnets”的思想，提出了一个“super-botnet”模型。他们认为小规模僵尸网络不容易引起防 御者的注意，比大规模僵尸网络更具威胁。super-botnet”是把各个独立的小规模僵尸网络 协同起来，为其建立类似P2P的通信控制通道，可以完成“Time bombs”等攻击。他们分 析了该“super-botnet”的通信控制通道的健壮

15、性和抗毁性，表明防御者难以篡改和破坏其控 制命令。然而，该模型是基于蠕虫传播获取僵尸终端的，在传播上不具有可控性；同时一，该 模型偏向于思想层面，很多因素(如网络环境，用户行为，终端失效等)没有考虑进去，没有-3-较有力的实现验证其可行性。上述研究成果具备P2P思想的雏形，随后研究者们提出了更加有效的僵尸网络模型。奥地利维也纳工业大学(Vienna University of Technology)的 Guenther Starnberger 等人在14 中提出了一种基于Kademalia的僵尸网络命令控制协议Overbot,构建出隐蔽的、难以检测 的命令控制通道。Overbot不需知道僵尸终

16、端的IP,并且能够使僵尸网络控制者的命令不被 破坏和阻止。Overbot把僵尸终端分为normal node、sensor node和actuator node,巧妙地利 用kademalia协议中的NodelD和Key来存放命令控制信息，并利用未来时间点产生集结点 ID进行通信。美国中佛罗里达大学(University of Central Florida)的Ping Wang等人更进一步，他们在15中提出了一种混合结构的P2P僵尸网络模型，该模型具有很好的隐蔽性，难以被 关闭和劫持。他们把僵尸终端分为“Serventbots”和“Client bots”，并对该僵尸网络模型的 结构和通信控

17、制协议进行了较为详细的阐述。在国内，也有学者进行模型设计方面的研究，中国科学院软件研究所的应凌云等人在16中分析了攻击者的需求，提出了一种基于层次化 P2P网络技术的僵尸网络结构，并对这一僵尸网络的可行性和具体的传播、通讯、控制等方 面进行了分析和探讨。在此基础上，他们通过模拟实验对一些防御策略的有效性进行了对比 分析，说明了现有的防御策略难以有效摧毁这一僵尸网络。可以看出，上述研究者们提出的都是基于P2P的僵尸网络模型，然而，这些模型还有 一些不足和局限性。对一于Overbot协议，Kademalia的Nodeld和Key存在信息量有有限，而 且未来集结点生成算法一旦被防御者掌握，则通信控制

18、通道面临失效问题。而且，分析也偏 于理论方面，没有考虑实际因素；对于混合结构的P2P僵尸网络模型，Ping Wang和应凌云 等人并没有考虑僵尸网络初始化过程，以及僵尸网络规模和僵尸终端合法用户行为产生的影 响，并且对于P2P协议固有的攻击，这些模型也没有很好的应对措施。另外，对于渗透防 御技术，这些模型也无法做到足够的隐蔽性，而且其处理P2P网络抖动方法有待进一步探 讨，另外，模型中参数取值多为经验值，随着网络环境的变化，这些并不能够全面完整地反 映实际情况。在僵尸网络的模型设计方面，哈尔滨工业大学的王威等人取得了一定的突破，他们在6,17中提出了一种基于UserID的可重构僵尸网络体系结构

19、他们认为：在僵尸网络的通信控 制通道被破坏，僵尸程序还有效的情况下，大部分僵尸终端处于失控状态，这时僵尸网络的 重构机制就非常有意义。僵尸程序运行于非合作的僵尸终端上，每个僵尸终端均有合法用户，目前网络环境下大多用户至少拥有一个网络ID(比如Email地址，IM软件帐号，微博客ID 等等)。于是他们将僵尸终端和其上合法用户的网络ID进行对应，在正常通信控制通道失效 的情况下，通过网络ID推送(Push)控制命令信息，重构僵尸网络。基于上述思想，他们以 Email地址作为网络ID进行了阐述，并构建了僵尸网络重构模型进行理论分析，符合预期 的效果。重构僵尸网络的方法给研究者一种新颖的思路，然而，

20、其恢复过程具有时间行为相 似性，防御者可以利用蜜网技术检测到这一过程；另外，文中借鉴三室模型来分析僵尸网络 重构过程，在模型选择和参数考虑上并不是十分准确，其分析结果与实际情况的偏差可能比 较大。另外，对于僵尸网络攻击技术的研究相对较少，值得一提的是，Ping Wang等人在18 中提出了一种检测蜜罐的僵尸网络攻击技术。这中蜜罐检测技术独立于终端的软硬件基础，并且基于一个假设：蜜罐的设计者有责任约束，他们不能让蜜罐参与僵尸网络的攻击。这样，攻击者可以利用蜜罐防御技术的这一限制来设计蜜罐检测方法：设定僵尸程序发送某种恶意 攻击，如果攻击失败，则判定该僵尸终端为蜜罐。最后，他们把该蜜罐检测技术应用

21、于中心 结构和分布式结构的僵尸网络，实验达到预期效果。-4-2.2 僵尸网络评估的相关研究2.2.1 僵尸网络传播机制相关研究僵尸网络的传播具有可控性，这是与其他恶意程序的根本区别；同时一，攻击者利用各种 传播手段（比如蠕虫、垃圾邮件、网页挂马、社会工程学攻击等等）进行僵尸程序传播，与其 他恶意程序又有很多的相似性。因此，研究僵尸网络的传播需要研究其他多种恶意程序的传 播规律；同时不同的僵尸网络结构对其传播趋势也可能产生影响；另外，僵尸网络的可控性 也是一个重要因素。美国佐治亚理工学院（Georgia Institute of Technology）的David Dagon等人认为到计算机 在

22、夜间关机下线后进入非易感状态，并且僵尸网络的感染过程存在区域性偏向，他们在19 中提出了一个基于时区的僵尸网络传播模型。通过对实际僵尸网络规模发展数据的观察和统 计，基于时区的传播模型较传统SIR传播模型能够更好地符合僵尸网络的实际传播规律。然 而，该模型只关注了传统远程攻击漏洞的传播方式,对于僵尸网络可能采用的其他传播手段,没有做研究和分析；另外，文章实验仅仅对少数几个实际僵尸网络做了分析对照，不具有很 好的代表性和全面性。单独分析研究僵尸网络传播机制的文章较少，可能是因为僵尸网络本身没有特定的传播 方式，多采用一种或多种其他恶意代码的传播方式，但僵尸网络传播机制的研究仍然十分有 必要（后面

23、章节将会具体说明）。另外，我们发现相关恶意代码传播模型的研究比较活跃，这 些研究成果有助于僵尸网络传播机制的研究。清华大学的赵丽等人在20中提出了一个基于节点知名度和活跃度的离散时间话题传 播模型。该模型的参数具有明确的物理意义，可体现话题动态传播过程的特征，并可为话题 传播趋势的预测研究提供依据。通过统计和分析中国最大的博客站点（新浪博客）在几个月中 若干具有突发性的事件引起的热门话题数据，结果表明，所提出的模型可以较为精确地再现 话题的实际传播过程并体现传播速率的重尾现象。电子科技大学的冯朝胜等人在21中提出了沉默型蠕虫的传播模型和免疫模型，并基于 该模型推导出了沉默型蠕虫不会流行的条件。

24、为了考查各个P2P参数对蠕虫传播的影响和从 实践上验证推导出的蠕虫不会流行的条件，使用Matlab进行了大量仿真实验。实验表明，理 论推导出的蠕虫不会流行的条件是正确的；实验还进一步表明，蠕虫的流行程度是由流行指 数来决定的，这为提出蠕虫控制策略提供了依据。通过对决定流行指数的几个参数的分析表 明，在发现蠕虫时迅速降低下载率是补丁发布前控制蠕虫最有效的办法。西安电子科技大学的王长广等人在22中出了一种描述无线Ad hoc网络上恶意程序传 播的模型，并通过仿真实验研究了恶意程序的传播行为。研究表明，无线Adhoc网络中恶意 程序的传播临界值明显高于Internet中恶意程序的传播临界值，并且恶意

25、程序在无线网络中 的传播速度远远低于它在Internet中的传播速度。同时，无线MAC协议的引入会影响恶意程 序在Ad hoc网络中的传播特性。2.2.2 僵尸网络评价体系相关研究随着网络环境的复杂化和僵尸网络的多样化，构建合理僵尸网络的评价体系有利于把握 其发展趋势，评估其攻击能力和危害程度，找到特定僵尸网络的弱点，给防御者提供更多信 息，进而促进僵尸网络防御技术的研究。首先，对于僵尸网络健壮性的分析评估比较多。美国俄勒冈大学（University of Oregon）的Jun Li等人在23中对随机网络方式构建的僵尸 网络（如Sinit botnet等）、小世界模型僵尸网络和类Gnutel

26、la僵尸网络（如Phatbot botnet等）的效 率（efficiency）和韧性（resiliency）进行了仿真分析，得出：三种不同P2P类型构建的僵尸网络中 的最大直径和平均直径与网络包含节点数之间的关系严格符合对数函数趋势。从文章对三种-5-不同P2P类型僵尸网络的效率和韧性仿真分析结果的比较可以看出：类Gnutella方式构建的僵 尸网络能够达到更高的效率和更好的韧性。David Dagon等人基于攻击效用的角度在24中综 述了僵尸网络的结构，对于僵尸网络的健壮性进行了研究分析，他们经过实验，得出：基于 随机图结构的僵尸网络(比如基于结构化P2P的僵尸网络)对于随机节点防御策略和

27、针对性节 点防御策略，都具有很强的对抗能力。另外，也有文章对僵尸网络的危害性进行了分析评估。美国加利福尼亚大学(University of California)的Brett Stone-Gross等人在文献9中成功 破解了僵尸网络Torpig的DOMAIN FLUX生成算法，提前注册未来Torpig的C&C Server,从而监测到超过180000的僵尸终端通讯，并获取70GB左右山僵尸终端收集的敏感数据。他们从规模和危害性(包括经济损失、垃圾邮件威胁和DDoS威胁方面)对Torpig进行了评估 分析。然而，仅在10天之后，Torpig的Botmaster更新了僵尸程序中DOMAIN FLU

28、X生成 算法，致使他们的“Hijacking”终止。另外，文中仅对单一僵尸网络进行评估，对其他僵尸 网络的防御没有很高的指导意义。最后，在僵尸网络评价研究方面，还有一些综合研究类的文章。美国威斯康星大学(University of Wisconsin)的Paul Barfbr等人在25中详细、系统地剖 析了儿种著名的基于IRC协议的僵尸网络(GTBot,SDBot,AgoBot与SpyBot),提出了僵尸程 序功能结构的分类方法，并从七个方面(结构、网络控制机制、主机控制机制、传播机制等)刻画了每个僵尸网络所具有的功能特性。美国约翰霍普金斯大学(Johns Hopkins University

29、)的Moheeb Abu Rajab等人在26中指出对于僵尸网络规模的研究处于模糊，甚至是矛盾的状 况，因此他们阐述了僵尸网络规模统计不一的不同方式，并且支出僵尸网络的克隆、临时迁 移、隐藏结构等情况增加了准确统计僵尸网络规模的难度。另外，他们首次定义了僵尸网络 的历史规模(fbotprint)和实时规模(live population)。北京大学的诸葛建伟等人在文献7中对僵 尸网络研究进行了综述，他们参考别人的研究成果，提出了一个僵尸程序的功能结构，包括 主体功能和辅助功能两大模块，主体功能模块包括命令控制模块和传播模块，辅助功能模块 包括敏感信息窃取、主机控制、下载更新和对抗检测分析功能。

30、另外，他们利用上述模块分 类方法对一些流行的僵尸程序进行了统计对比。Ping Wang等人文献27中对P2P僵尸网络 进行了系统地综合性地研究分析，从僵尸网络结构、命令控制通信机制、属性度量方面和防 御策略方面进行了阐述。他们认为评估一个P2P僵尸网络需要从三个维度进行：1 Effectiveness,2)Efficiency,3)Robustnesso然而，上述文章没有考虑新的网络应用环境(比如移动网络)，也没有把僵尸网络的控制 粒度作为一个评估内容。对与僵尸网络的其他属性(比如可控性、传播性和危害性等)没有做 深入系统的分析评估。另外，随着僵尸网络的演变进化，IRC僵尸网络已经逐渐被新型结

31、构 的僵尸网络替代28,有些文章中所提到的属性已经不能够完全评估僵尸网络的实际情况。这些都需要我们进一步研究。2.3 小结综上对国内外研究现状的调查，我们有以下结论：(1)预测未来僵尸网络模型是研究热点之一，但现有的成果并不能够完全预示未来可能 的威胁，新的设计思想和攻击技术还有待深入研究，尤其是僵尸网络的重构性.(2)对于僵尸网络的传播机制，还有待深入研究。僵尸网络的传播不同于其他恶意代码，它具有可控性。另外，新的网络环境和网络应用对其传播的影响也需要关注。(3)没有形成统一的、全面的僵尸网络评估方法和评价体系。上述文献中提到的分析评 估大多是基于某一个特定的僵尸网络，或者某一类僵尸网络的部

32、分属性进行分析评价。另外，采用的方法各异，借鉴意义不大。-6-三、研究目标、内容和拟解决的关键技术3.1 研究目标本课题的研究目标是：针对国家安全、国防安全和社会经济发展安全的重点需求，结合下一代网络的复杂性、多样性、可变性等特点，以僵尸网络的攻击威胁为出发点、防御策略为落脚点，围绕僵尸网 络构建及评估的儿个关键问题展开研究，旨在预测未来可能出现的僵尸网络，揭示特定僵尸 网络的传播规律，以及建立相应的评估体系，为僵尸网络的防御者提供策略建议，从而帮助 防御者把握僵尸网络的演变进化和发展方向，更好地开展僵尸网络的检测和防范研究工作，进而提升我国信息安全基础设施的整体安全保障水平，提高我国在国际信

33、息对抗中的主动性 和积极防御能力。3.2 研究内容充分理解僵尸网络的运行机理和把握僵尸网络的演变进化，对僵尸网络的检测、测量及 反制方法的研究具有重要的意义。下面，我们将通过介绍僵尸网络的生命周期，来说明我们 研究内容的所处层次和具体工作。攻击者企图使僵尸网络绕过现有防御体系，继续其恶意活动；而防御者不断改进防御技 术，来瓦解僵尸网络。这样就形成了僵尸网络的攻防对抗，对于一个僵尸网络的生命周期来 说，可分为以下几个阶段，如图3-1所示。图3-1僵尸网络的生命周期(1)创造阶段。攻击者设计新的僵尸程序和通信控制通道，做好入侵前的准备；防御者 设想新的僵尸网络，并预先准备相应的防御技术。(2)入侵

34、阶段。攻击者利用传统的入侵手段，大量传播僵尸程序，并对抗杀毒提高生存 性；防御者运用异常检测29、网络数据流分析30等方法识别僵尸终端，阻挡其规模扩张。通过蜜罐密网31或者其他途径获取僵尸程序样本，进行分析。2008年10月爆发的Confiker 就是利用windows系统漏洞进行传播32,随后SRI实验室捕获到Confiker样本，并对其机 理和通信控制方式进行了深入分析33 o(3)演化阶段。攻击者根据攻击需要或者为躲避防御，改进僵尸程序，发布新版本；防 御者研究其新版本，发掘其弱点，从而试图减弱、劫持或者反制僵尸网络。Holz等人通过 渗透，深入分析了 Storm Worm,并测量了 S

35、torm Worm的规模，提出了两种减弱Storm Worm 危害的方案10。(4)攻击阶段。攻击者通过通信控制通道向僵尸终端发送攻击命令，僵尸终端通过通信-7-控制通道获取或上报恶意活动相关的数据信息；这一阶段，防御者可以僵尸终端行为的相似 性34或者异常性来进行检测和防御，也可以检测和阻止相关的恶意活动35-37来防御。(5)衰亡阶段。攻击者目的达到弃用僵尸网络，或者防御者设计出有效的防御手段，使 僵尸网络走向消亡。攻击者不断创造新的僵尸网络，从利用IRC,HTTP到P2P,从中心结构、分布式结构 到混合结构，并且利用通信混淆和加密技术使僵尸网络更加隐蔽和健壮。与此同时.，防御者 对已有的

36、僵尸网络进行检测、追踪和劫持，对防御技术自动化，并试图找到僵尸网络的要害,进而研究出通用的防御技术。可以说，僵尸网络的攻防是此消彼长、螺旋式发展的过程。没 有一种僵尸网络是“坚不可摧”的，也没有一种防御技术是“包治百病”的，工业界和学术 界的研究现状也印证了这一点。有效的防御技术应该在防范于未然，扼杀僵尸网络在摇篮之中。但是，上述五个阶段并 非有明确的先后顺序，可能有的僵尸程序一旦感染就会进行恶意活动，比如waledac会搜集 户用的网上银行和信用卡的帐号密码等。从上面攻防的各个阶段不难得出：防御者只有在僵 尸网络的入侵阶段、演化阶段以及攻击阶段初期实施有效手段，迫使僵尸网络快速进入衰亡 期，

37、才能达到防御的目的。因此，本课题把僵尸网络的几个关键阶段作为研究的出发点，如图3-2所示。尸络型建究 僵网模构研僵网传机研尸络价系究 僵网评体研图3-2研究内容的关联与体系结构(1)针对创造阶段，如果能够有效地预测未来僵尸网络的攻击技术和结构模型，就能够 在真正的危害到来之前，做好相应的防御，这是非常有价值的工作，也是本课题的主要研究 内容之一。(2)针对入侵阶段，攻击者的目的是获取大量符合要求的僵尸终端，而研究僵尸网络的 传播模型和机理，有助于防御者及时抑制僵尸网络的蔓延，并开展有效防御。因此，僵尸网 络的传播模型也是本课题的研究内容之一。(3)针对演化阶段和攻击阶段，我们很关心：有多少僵尸

38、终端能够接收到指令？在某种 防御策略下，又能够有多少接收到指令？当僵尸网络控制则发出指令后，僵尸终端需要多长 时间执行？某个僵尸网络能够造成多大的可能危害？僵尸网络的通信控制通道被有效破坏 后，是否有能力恢复？等等。解决这些问题，需要有一套僵尸网络的评价体系，来准确描述-8-一个僵尸网络的各种能力，并能够进行有效对比，进而提供针对性的防御建议。这也是本课 题的研究内容之一。3.2.1 僵尸网络攻击模型研究图3-3僵尸网络协议栈结构僵尸网络是弱通信网，僵尸终端的交互性非常低，甚至他们可以不知道彼此。僵尸网络 的通信协议是私有的，而且不同的僵尸网络协议格式不一样。图3-3是僵尸网络的协议栈结 构。

39、通信控制协议决定了僵尸网络的结构，如IRC僵尸网络，HTTP僵尸网络，以及现在热 门的P2P僵尸网络；命令控制协议决定了僵尸网络的性质，表明僵尸网络从事哪些恶意活 动。需要指出的是，控制者可以通过更新僵尸程序，来升级改进上述两种协议，比如Conficker 从中心结构的HTTP协议更新为具有分布式特征的通信结构。基于P2P协议的僵尸网络已经成为僵尸网络的发展趋势，同时新型网络环境下的僵尸 网络威胁也日趋显现。从攻击者的角度来看，基于P2P协议的混合型僵尸网络具有更大的 作用。对于僵尸网络模型的设计，多级的角色功能细化、通信控制通道的健壮性和对抗防御 的能力是主要的研究点。3.2.2 僵尸网络传

40、播机制僵尸网络传播最大的特点是具有可控性，僵尸控制者可以操控传播的针对性，以及速度 和规模。另外，部分僵尸网络的传播还具有区域性。山于不同地区语言文化的差异，攻击者 的目的导向和传播方式的约束，导致特定僵尸网络的僵尸终端可能呈现区域分布。比如以盗 取QQ帐号为目的的僵尸网络，感染的目标地区主要是中国，因为QQ的绝大部分用户是中 国人。攻击者可能采用多种传播手段来获取僵尸终端，因此，僵尸网络的传播模型与其他恶意 代码的传播模型有一定的关联。垃圾邮件、即时通信、蠕虫、网页挂马等是僵尸网络主要采 用的方式，而某一僵尸网络的传播模型可能是这个僵尸网络采用的传播手段传播模型的有机 结合。网络终端用户的行

41、为、现有的防御手段也会影响僵尸网络的传播，比如我们应该考虑用 户的上网习惯，杀毒软件的反映速度和查杀效果，等等。另外，在三网融合不断推进的背景下，移动网络等新型网络环境下，僵尸网络的传播机 制也需要进一步研究。3.2.3 僵尸网络评价体系本研究点的主要思想是对经典的僵尸网络和未来可能出现的僵尸网络模型，进行评估分 析，制定指标规范，从僵尸网络的可达性、时效性、可控性、危害性、可重构性、对抗性、隐蔽性等方面展开研究分析，建立相应的评估方法，最终为防御者提供防御策略的合理化选 择和建议。僵尸网络评价体系的研究内容包括1）僵尸网络评价因子的提取方法，2）多指标综合评价-9-方法的研究和3)根据评价结

42、果，给出合理化防御策略的选择和建议。3.3 拟解决的关键技术本课题结合新型的网络环境，主要的研究是僵尸网络攻击模型和分析评估方面的内容，拟解决的关键技术也在此范围内，如下所列：(1)P2P混合结构僵尸网络模型中的新型通信控制协议设计；(2)僵尸网络的对抗防御技术；(3)通用的僵尸网络传播模型；(4)僵尸网络的评价体系和评估方法。四、拟采取的研究方法、技术路线及可行性分析在展开本课题研究的过程中，我们以僵尸网络攻防和新型网络环境为背景，紧紧围绕上 述的几个关键问题展开工作。在学习和了解已有研究成果的基础上，我们需要掌握P2P的 相关研究和技术，还需要掌握移动网络等新型网络环境，然后，构建合适的模

43、拟仿真环境，对上述研究内容进行深入。我们认为几个研究内容是有着密切的关系，因此研究方法和技术 路线有很多相同的部分，比如可以采用同一个模拟仿真平台。当然，不同的问题需要采用不 同的思路、方法来解决，下面我们将一一阐述。4.1 一种基于荣誉机制的多角色P2P僵尸网络模型本课题拟提出的僵尸网络模型，具有多种角色，而且能够有效地避免P2P的结点污染 攻击和女巫攻击。同时即使在被攻击的情况下，本课题拟提出的冗余机制也能够保证僵尸网 络的正常通信。4.1.1 不同角色多级设计图4-1基于P2P的多角色僵尸网络系统框架所谓多级，是指该僵尸网络模型区别与其他的p2P应用，以及以往的僵尸网络。该僵尸 网络包含

44、多种角色：a)僵尸控制者(BotMaster),b)服务僵尸终端(ServiceBot),c)普通僵尸终 端(NormalBot),d)虚壳节点(FakeBot),e)监控节点(MonitorBot)。-10-图4-2僵尸终端状态转移图僵尸控制者是僵尸网络的所有者，拥有僵尸网络的控制权；服务僵尸终端负责转发控制 者发送的命令，回收和临时存储普通节点返回的信息；普通僵尸终端接受控制者的指令，攻 击的发起者；虚假僵尸终端是没有经过信任验证的僵尸终端，不包含僵尸程序的核心代码，不具备完整的通信，但是具有僵尸网络的传播功能；监控节点作为控制者的“耳目”，负责 认证虚壳节点，以及统计僵尸网络的各方面属性

45、包括活跃数量，攻击能力等。如图4-1所示，新感染的终端先被注入虚假僵尸程序，为成为虚壳节点，它只有某一终 端的信息，只负责僵尸网络的传播。虚假节点不接受BotMaster的操控，类似于蠕虫一样，感染别的节点。它没有建立真正的僵尸网络通信控制通道，所以即使被防御者完全逆向，也 不会暴露僵尸网络的攻击意图和节点信息。FBot满足一定的条件之后，会转化为真正的僵尸终端，SBot或者NBot,如图4-2所示。由于篇幅关系，本文不作展开论述。4.1.2 通信控制通道与冗余机制从行为来看，僵尸网络属于弱通信网络，即节点之间的数据传输不大，并且不频繁，这 与大多数P2P的应用不一样。因此，攻击者更加关心控

46、制命令的完整性、可达性和时效性。传统的僵尸网络和现有的P2P僵尸网络都有服务节点失效的问题，而完全非结构化的P2P 僵尸网络又有诸多实现的难度。为解决服务节点被攻陷后，控制命令信息被篡改的问题，为了保证较高的联通性和增强 僵尸网络命令下发的能力，我们提出了冗余机制。首先，采用门限算法(K,k)38,把命令控 制信息分为K份，其中的任意k份数据能够得到一份完整信息；然后，控制者用Push方式 使每一个SBot存储一个信息片段；最后，NBot从用Poll方式依次从SBot获取命令控制信 息片段，当得到k份不同的信息片段后停止访问，组成完整的控制命令信息c4.1.3 服务节点的遴选算法众所周知，P2

47、P应用中的节点，可能受到索引污染攻击和女巫攻击。这些攻击是无法避 免的39,而防御者可能采用主动防御的策略，对P2P结构的僵尸网络实施上述攻击，使某 些SBot失效。另外，SBot也可能因为其他原因死掉，或者处于离线的状态。因此，本文拟 研究一种SBot的遴选算法，以减少上述情况对僵尸网络可能造成的威胁。-11-4.2 一种通用的僵尸网络传播模型本课题拟提出一种僵尸网络通用传播模型，以僵尸网络已经采用和可能采用的传播手段 为研究基础，结合已有的恶意代码传播模型，同时考虑用户行为以及新网络环境的应用对与 传播的影响，然后得出一个传播模型，能够通过调整模型参数，准确刻画特定僵尸网络的传 播机制，预

48、测其传播的趋势和威胁。4.2.1 僵尸网络的传播方式和相关传播模型僵尸网络采用的传播方式包括：(1)网页挂马。简单地讲就是将僵尸程序放在特定网页上，只要这个网页被访问，访问 者在不进行任何点击操作的情况下，其计算机将被强制运行僵尸程序，成为僵尸终端。(2)垃圾邮件。攻击者通常会杜撰一个感兴趣的邮件标题和内容，诱导阅读者访问其提 供的链接，或者阅读邮件附件，进而在不知情的状态下运行僵尸程序。(3)利用系统和软件漏洞的蠕虫传播。攻击者把僵尸程序跟某种蠕虫结合，然后通过蠕 虫感染方式传播僵尸程序。(4)即时消息。攻击者利用已感染的僵尸终端，假冒别人的名义向其好友发送消息，诱 骗其运行僵尸程序。另外，

49、还有其他的传播方式，这里不作一一介绍。相关的传播模型有：(l)SI40,SIR41传染病模型，这是最基本的模型。(2)蠕虫传播模型。(3)垃圾邮件病毒传播模型。(4)手机病毒传播模型。4.2.2 用户行为分析众所周知，计算机终端如果关机或者断网，就处于非易感状态。因此，计算机用户的行 为影响着恶意代码，包括僵尸程序的传播。我们对用户行为进行深入分析，有助于了解这一 影响程度，准备把握僵尸网络的传播。比如，就网络用户的上网时间来说，不同时点有不同的情况，如下图所示。图4-3中国网民上网时点当然，对僵尸网络造成影响的用户行为远不止上网时点这一个因素，这有待进一步研究。-12-4.2.3 新的网络环

50、境和网络应用新的网络环境和网络应用对僵尸网络的传播也有着深刻的影响。比如微博客的出现，使 消息传播的速度更快，同时也可能被攻击者利用，进行社会工程学攻击，由此造成的传播危 害也可能会增大。另外，手机移动网络中，新的传输方法给用户带来便利的同时，也给攻击 者带来可趁之机。而这些新的传播手段需要一个合适的，具有通用特点的传播模型进行准确 描述。4.3僵尸网络评价体系和评估方法本课题以不同的僵尸网络为评估对象，选择适合的多指标评价方法及权重系数。我们认 为评价过程应该分为三个阶段，下面将逐一介绍。4.3.1 提取评估因子评估因子表示僵尸网络某方面的属性和特征，把这些属性特征进行量化表达。初步来说,僵