ISSN 1000-9825, CODEN RUXUEW E-mail: jos@https://www.doczj.com/doc/f810300377.html,
Journal of Software, Vol.19, No.3, March 2008, pp.702?715 https://www.doczj.com/doc/f810300377.html, DOI: 10.3724/SP.J.1001.2008.00702 Tel/Fax: +86-10-62562563
? 2008 by Journal of Software. All rights reserved.
?
僵尸网络研究
诸葛建伟1, 韩心慧1, 周勇林2, 叶志远1, 邹维1+
1(北京大学计算机科学技术研究所,北京 100871)
2(国家计算机网络应急技术处理协调中心,北京 100029)
Research and Development of Botnets
ZHUGE Jian-Wei1, HAN Xin-Hui1, ZHOU Yong-Lin2, YE Zhi-Yuan1, ZOU Wei1+
1(Institute of Computer Science and Technology, Peking University, Beijing 100871, China)
2(National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China)
+ Corresponding author: Phn: +86-10-82529688, Fax: +86-10-82529207, E-mail: zouwei@https://www.doczj.com/doc/f810300377.html,
Zhuge JW, Han XH, Zhou YL, Ye ZY, Zou W. Research and development of botnets. Journal of Software,
2008,19(3):702?715. https://www.doczj.com/doc/f810300377.html,/1000-9825/19/702.htm
Abstract: Botnet is a novel attack strategy evolved from traditional malware forms; it provides the attackers
stealthy, flexible and efficient one-to-many Command and Control mechanisms, which can be used to order an army
of zombies to achieve the goals including information theft, launching distributed denial of service, and sending
spam. Botnet has stepped into the expanding phase, and has been a serious threat to Internet security, especially in
China mainland. In this paper, the evolution process, concept, functional structure and execution mechanism of
botnet are presented, the Command and Control mechanisms and propagation model are discussed, and the latest
techniques on botnet tracking, detection and prevention are reviewed. The developing trends of botnet and further
topics in this area are also analyzed.
Key words: network security; botnet; malware; bot; propagation model
摘要: 僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一
对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵
尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化
过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归
纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.
关键词: 网络安全;僵尸网络;恶意代码;僵尸程序;传播模型
中图法分类号: TP393文献标识码: A
? Supported by the National High-Tech Research and Development Plan of China under Grant Nos.2006AA01Z445, 2006AA01Z410
(国家高技术研究发展计划(863)); the National Information Security Research Plan of China under Grant No.2006A30 (国家242信息安
全计划); the Electronic Development Fund of the Ministry of Information Industry of China under Grant No.[2006]634 (信息产业部电子
发展基金); the IBM Ph.D. Fellowship Plan (IBM全球博士生英才计划)
Received 2007-06-21; Accepted 2007-09-04
诸葛建伟等:僵尸网络研究703
僵尸网络(botnet)是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络.僵尸网络是从传统恶意代码形态包括计算机病毒、网络蠕虫、特洛伊木马和后门工具的基础上进化,并通过相互融合发展而成的目前最为复杂的攻击方式之一.
由于为攻击者提供了隐匿、灵活且高效的一对多控制机制,僵尸网络得到了攻击者的青睐和进一步的发展,从而已成为因特网最为严重的威胁之一.利用僵尸网络,攻击者可以轻易地控制成千上万台主机对因特网任意站点发起分布式拒绝服务攻击,并发送大量垃圾邮件,从受控主机上窃取敏感信息或进行点击欺诈以牟取经济利益[1].
近年来,僵尸网络的活跃已经引起国外安全业界的充分重视:僵尸网络已成为安全领域的学术研究和讨论的热点问题,ACM协会从2003年开始举办的WORM会议(Workshop on rapid malcode)和USENIX协会从2005年开始举办的SRUTI会议(Workshop on steps to reducing unwanted traffic in the Internet)均以僵尸网络为重要议题.此外,USENIX协会从2007年开始举办僵尸网络专题探讨会HotBots(Workshop on hot topics in understanding botnets).工业界和政府部门也同样关注僵尸网络对因特网所带来的严重安全威胁,微软公司在2004年发起了国际反僵尸网络工作组,2006年6月,美国陆军研究办公室ARO、国防高级研究计划署DARPA 和国土安全部DHS等3个部门联合在GA Tech举办了僵尸网络专门研讨会,汇集学术界、政府部门和工业界的研究人员对这一新兴安全威胁进行了深入探讨,并汇总出版了《Botnet Detection: Countering the Largest Security Threat》[2].
Symantec公司2006年监测数据表明[3,4],中国大陆被僵尸网络控制的主机数占全世界总数的比例从上半年的20%增长到下半年的26%,已超过美国,成为最大的僵尸网络受害国.但与此极不相称的是,国内对僵尸网络的关注和研究工作还较少.国家计算机网络应急技术处理协调中心在2004年底破获了国内第一起大规模的僵尸网络案件;北京大学计算机研究所在僵尸网络跟踪方面进行了长期而持续的研究[5?8];哈尔滨工业大学的孙彦东等人对僵尸网络安全威胁现状和研究进展进行了简要综述[9].
作为一种日趋严重的因特网安全威胁,僵尸网络已成为安全领域研究者所共同关注的热点,但目前国内外还尚未有详细而全面介绍僵尸网络机理和研究成果的综述论文.鉴于僵尸网络对国内因特网用户已造成的严重威胁,为深入理解僵尸网络机理和发展趋势,对僵尸网络的研究进展有一个总体把握,并促进国内在该方向上的研究,综述僵尸网络研究进展工作十分有意义.
本文阐述了僵尸网络的定义、功能结构与工作机制,并重点分析了僵尸网络的核心——命令与控制机制的不同实现方法,然后对僵尸网络的传播模型、僵尸网络跟踪、检测与防御技术的各个方面的主要研究工作进行了总体介绍,并对僵尸网络研究的发展趋势进行了展望.
1 僵尸网络的定义、功能结构与工作机制
1.1 僵尸网络的定义
僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式.从1999年第一个具有僵尸网络特性的恶意代码PrettyPark现身因特网,到2002年因SDbot和Agobot源码的发布和广泛流传,僵尸网络快速地成为了因特网的严重安全威胁.第一线的反病毒厂商一直没有给出僵尸程序(bot)和僵尸网络的准确定义,而仍将其归入网络蠕虫或后门工具的范畴.从2003年前后,学术界开始关注这一新兴的安全威胁,为区分僵尸程序、僵尸网络与传统恶意代码形态,Puri在文献[10]中及McCarty在文献[11]中均定义“僵尸程序为连接攻击者所控制IRC信道的客户端程序,而僵尸网络是由这些受控僵尸程序通过IRC协议所组成的网络”.为适应之后出现的使用HTTP或P2P协议构建命令与控制信道的僵尸网络, Bacher等人[12]给出了一个更具通用性的定义:僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络.为了能够更加明确地区分僵尸网络和其他安全威胁,我们在文献[5]中强调了僵尸网络与其他攻击方式最大的区别特性在于攻击者和僵尸程序之间存在一对多的控制关系.Rajab等人在文献[13]中也指出,虽然僵尸网络使用了其他形态恶意代码所利用的方法进行传播,如远程攻击软件漏洞、社会工程学方法等,但其定义特性在于对
704 Journal of Software软件学报 V ol.19, No.3, March 2008
控制与命令通道的使用.
综合上述分析,本文定义僵尸网络是攻击者(称为botmaster)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络.僵尸网络区别于其他攻击方式的基本特性是使用一对多的命令与控制机制.另外,我们的定义也强调了僵尸网络的恶意性以及具备的网络传播特性.
1.2 僵尸网络的演化过程
虽然僵尸网络这种新兴安全威胁在近些年才被学术界所关注,但它之前已经过了10余年的演化过程,表1给出了僵尸网络演化过程时间线.
Table 1Timeline of botnet evolution
表1僵尸网络的演化过程
name/Nick Description Date Name Author
12/1993 Eggdrop Robey Pointer, Jeff Fisher, et al.First non-malicious IRC bot
06/1999 PrettyPark Anonymous First malicious bot using IRC as C&C protocol
2000 GT-Bot Sony, mSg and DeadKode First widely spreading IRC bot based on mIRC executables and scripts 02/2002 SDbot SD First stand-alone IRC bot code base
09/2002 Slapper Anonymous First worm with P2P communications protocol
10/2002 Agobot Ago Incredibly robust, flexible, and modular design
09/2003 Sinit Anonymous Peer-to-Peer bot using random scanning to fund peers
03/2004 Phatbot Ago Peer-to-Peer bot based on WASTE
2004 Rbot/rxbot Nils, RacerX90, et al. Descendant of SDbot, most wildly distributed IRC bot code base
2004 Gaobot Anonymous Type I bot spreads through many approaches
05/2004 Bobax Anonymous Bot using HTTP based command and control mechanism
僵尸网络的历史渊源可以追溯到1993年因特网初期在IRC聊天网络中出现的Bot工具——Eggdrop,它实现为IRC聊天网络中的智能程序,能够自动地执行如防止频道被滥用、管理权限、记录频道事件等一系列功能,从而帮助IRC网络管理员更方便地管理这些聊天网络.
而之后,黑客受到良性Bot工具的启发,开始编写恶意僵尸程序对大量的受害主机进行控制,以利用这些主机资源达到恶意目的.1999年6月,在因特网上出现的PrettyPark首次使用了IRC协议构建命令与控制信道,从而成为第一个恶意僵尸程序.之后,IRC僵尸程序层出不穷,如在mIRC客户端程序上通过脚本实现的GT-Bot、开源发布并广泛流传的Sdbot、具有高度模块化设计的Agobot等,这使得IRC成为构建僵尸网络命令与控制信道的主流协议.为了让僵尸网络更具隐蔽性和韧性,黑客不断地对僵尸网络组织形式进行创新和发展,出现了基于P2P协议及HTTP协议构建命令与控制信道的僵尸程序,著名的案例包括传播后通过构建P2P网络支持DDoS攻击的Slapper[14]、使用随机扫描策略寻找邻居节点的Sinit、基于WASTE协议构建控制信道的Phatbot 以及2004年5月出现的基于HTTP协议构建控制信道的Bobax等.
随着僵尸网络这种高效可控的攻击平台得到广泛的认同和使用,黑客也开始将传统的各类恶意代码技术融合到新型僵尸程序中,包括蠕虫主动传播技术、邮件病毒传播技术、Rootkit隐藏技术、多态变形及对抗分析技术等,如2004年爆发的Gaobot和Rbot,这种技术融合趋势使得僵尸网络的功能更加强大,传播渠道更加多样和隐蔽,也增加了防御者对僵尸网络进行发现、跟踪和防御的难度.
1.3 僵尸网络的功能结构
最早出现的IRC僵尸网络由僵尸网络控制器(botnet controller)和僵尸程序两部分组成.
由于IRC僵尸网络基于标准IRC协议构建其命令与控制信道,因此,其控制器可构建在公用IRC聊天服务器上,但攻击者为保证对僵尸网络控制器的绝对控制权,一般会利用其完全控制的主机架设专门的僵尸网络命令与控制服务器,最为常用的控制服务器架设软件是开源的Unreal,其他的还包括ConferenceRoom,ircu, bahamut,hybrid等[8,12].
Barford等人在分析了GT-Bot,Sdbot,Agobot和Spybot这4个主流IRC僵尸程序源码的基础上,提出了一种僵尸程序功能结构的分类方法[15],他们从僵尸网络体系结构(botnet architecture)、僵尸网络控制机制(botnet control mechanism)、僵尸主机控制机制(host control mechanism)、传播机制(propagation mechanisms)、破解和
诸葛建伟等:僵尸网络研究705
攻击机制(exploits and attack mechanisms)、恶意代码样本分发机制(malware delivery mechanisms)、混淆机制(obfuscation mechanisms)和欺骗机制(deception mechanisms)这7个方面来描述和刻画每个僵尸程序所具有的功能特性.但是该分类方法并没有体现出对僵尸程序各功能模块的清晰划分,如将网络传播过程中的远程主机漏洞破解攻击以及利用受控主机发起的分布式拒绝服务攻击都归入了破解和攻击机制,而这两者显然具有不同的功能和实现.
我们在文献[15?17]的基础上,参考文伟平等人对网络蠕虫的功能结构分析[18],进一步通过对目前主流僵尸程序的总结,提出了如图1所示的僵尸程序功能结构.僵尸程序的功能模块可以分为主体功能模块和辅助功能模块,主体功能模块包括了实现僵尸网络定义特性的命令与控制模块和实现网络传播特性的传播模块,而包含辅助功能模块的僵尸程序则具有更强大的攻击功能和更好的生存能力.
Bot
Primary
functions
Auxiliary
functions
Command and control module
Propagation modules
Host control modules
Download and update modules
Evading-Detection and
anti-analysis modules
Information theft modules
Fig.1 Functional structure of bots
图1 僵尸程序的功能结构
主体功能模块中的命令与控制模块作为整个僵尸程序的核心,实现与僵尸网络控制器的交互,接受攻击者的控制命令,进行解析和执行,并将执行结果反馈给僵尸网络控制器.传播模块通过各种不同的方式将僵尸程序传播到新的主机,使其加入僵尸网络接受攻击者的控制,从而扩展僵尸网络的规模.僵尸程序可以按照传播策略分为自动传播型僵尸程序和受控传播型僵尸程序两大类[13],而僵尸程序的传播方式包括通过远程攻击软件漏洞传播、扫描NetBIOS弱密码传播、扫描恶意代码留下的后门进行传播、通过发送邮件病毒传播、通过文件系统共享传播等.此外,最新的僵尸程序也已经开始结合即时通信软件和P2P文件共享软件进行传播.
辅助功能模块是对僵尸程序除主体功能外其他功能的归纳,主要包括信息窃取、僵尸主机控制、下载与更新、躲避检测与对抗分析等功能模块:
①信息窃取模块用于获取受控主机信息(包括系统资源情况、进程列表、开启时间、网络带宽和速度情况等),以及搜索并窃取受控主机上有价值的敏感信息(如软件注册码、电子邮件列表、帐号口令等);
②僵尸主机控制模块是攻击者利用受控的大量僵尸主机完成各种不同攻击目标的模块集合,目前,主流僵尸程序中实现的僵尸主机控制模块包括DDoS攻击模块、架设服务模块、发送垃圾邮件模块以及点击欺诈模块等;
③下载与更新模块为攻击者提供向受控主机注入二次感染代码以及更新僵尸程序的功能,使其能够随时在僵尸网络控制的大量主机上更新和添加僵尸程序以及其他恶意代码,以实现不同攻击目的;
④躲避检测与对抗分析模块,包括对僵尸程序的多态、变形、加密、通过Rootkit方式进行实体隐藏,以及检查debugger的存在、识别虚拟机环境、杀死反病毒进程、阻止反病毒软件升级等功能,其目标是使得僵尸程序能够躲避受控主机的使用者和反病毒软件的检测,并对抗病毒分析师的分析,从而提高僵尸网络的生存能力.
HTTP僵尸网络与IRC僵尸网络的功能结构相似,所不同的仅仅是HTTP僵尸网络控制器是以Web网站方式构建.而相应地,僵尸程序中的命令与控制模块通过HTTP协议向控制器注册并获取控制命令.
由于P2P网络本身具有的对等节点特性,在P2P僵尸网络中也不存在只充当服务器角色的僵尸网络控制
706 Journal of Software 软件学报 V ol.19, No.3, March 2008 器,而是由P2P 僵尸程序同时承担客户端和服务器的双重角色.P2P 僵尸程序与传统僵尸程序的差异在于其核心模块——命令与控制模块的实现机制不同,如Phatbot 僵尸程序是在基于IRC 协议构建命令与控制信道的Agobot 基础上,通过采用AOL 的开源P2P 协议WASTE 重新实现其命令与控制模块,从而可以构建更难跟踪和反制的P2P 僵尸网络.
一些流行和最新出现僵尸程序的功能模块统计情况见表2,其中包括了经典的IRC 僵尸程序如Sdbot, Agobot,GT-Bot 和Rbot 等,近年来流行的HTTP 僵尸程序如Bobax,Rustock [19]和Clickbot [20]等,以及P2P 僵尸网络Phatbot 等.
Table 2 Funcation modules of some popular and latest bots 表2 一些流行和最新出现僵尸程序的功能模块统计情况
Bot Version Command
& control
module
Propagation modules Information theft modules Host control modules Download and update modules Evading detection and anti-analysis modules SDbot v0.5b Lightweight
version
of IRC
N/A ? Sysinfo; cdkeys Udp/Icmp flood;deploy servers; execute command Download update N/A Agobot v4.0 Derivative
of IRC DCOM/ Dameware/ Radmin Bagle/Mydoom/
NetBIOS/
MS-SQL
Sysinfo; network bandwith & speed; host uptime; software keys;email list; Generic DdoS module; PC control; autostart control;send spam ftp.download http.visit http.update http.download Polymorphism encoding strategies; test for debuggers and vmware; killing AV processes and disabling AV auto-updating GT-Bot with-dcom IRC RPC-DCOM Sysinfo
Udp/Syn flood;execute command N/A N/A Rbot Rbot.A IRC NetBIOS/LSASS/WebDav/Dcom/MS-SQL/uPnP/Dameware/WKS/WINS/Beagle/Mydoom... Sysinfo;
software
keys;
sniff
passwords;
Deploy servers;send spam; generic DDoS module Dowload Encrypted with packers; killing AV processes and disabling AV auto-updating Bobax Bobax.A HTTP MS04- 011 LSASS Network
speed
Execute command;send spam; Update N/A Phatbot Phatbot.A WASTE DCOM/DCOM2Mydoom/Beagle Dameware/ NetBIOS/ MS-SQL WebDav/CPanel WKS/UPnP Sysinfo;
software
keys;
email list;
sniff
passwords
Generic DDoS module; deploy servers; PC control; autostart control;send spam; ftp.download http.visit http.update http.download Polymorphism encoding strategies; kill other malware (MSBlast, Welchia, Sobig.F); killing AV processes and disabling AV auto-updating Rustock Rustock.B Encrypted HTTP MS06-042 exploit N/A
Send spam; opens a covert proxy Download Rootkit; multiple levels of obfuscation; use of RC4 encrypted C&C Clickbot Clickbot.A HTTP Trojan horse; distribute using existing botnets N/A Click fraud execute
command Get_Update Implemented as a BHO
1.4 僵尸网络的工作机制
IRC 僵尸网络的工作机制如图2所示[14]:① 攻击者通过各种传播方式使得目标主机感染僵尸程序;② 僵尸程序以特定格式随机产生的用户名和昵称尝试加入指定的IRC 命令与控制服务器;③ 攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到其所控制的多台IRC 服务器上,从而避免由于单一服务器被摧毁后导致整个僵尸网络瘫痪的情况;④ 僵尸程序加入到攻击者私有的IRC 命令与控制信道中;⑤ 加入信道的大量僵尸程序监听控制指令;⑥ 攻击者登陆并加入到IRC 命令与控制信道中,通过认证后,向僵尸网络发出信息窃取、僵尸主机控制和攻击指令;⑦ 僵尸程序接受指令,并调用对应模块执行指令,从而完成攻击者的攻击目标.
? SDbot 源码作者为防止SDbot 被滥用,其开源发布源码包中没有包含网络传播模块,因此不能用于构建真正的僵尸网络,但SDbot 源码的广泛发布仍对僵尸网络的日益泛滥起到了非常大的促进作用.
诸葛建伟 等:僵尸网络研究
707 其他新型僵尸网络的工作机制与IRC 僵尸网络类似,主要差异在于命令与控制机制的不同.
图2 IRC 僵尸网络的工作机制[14]
2 僵尸网络的命令与控制机制
僵尸网络的基本特性是使用一对多的命令与控制机制,因此,理解命令与控制机制的实现是深入了解僵尸网络机理的必要前提.当前主要使用的僵尸网络命令与控制机制包括:基于IRC 协议的命令与控制机制,基于HTTP 协议的命令与控制机制,以及基于P2P 协议的命令与控制机制这3大类.
2.1 基于IRC 协议的命令与控制机制
IRC 协议是因特网早期就广泛使用的实时网络聊天协议,它使得世界各地的因特网使用者能够加入到聊天频道中进行基于文本的实时讨论,根据IRC 协议规范RFC 2810[21]:“IRC 协议基于客户端-服务器模型,用户运行IRC 客户端软件连接到IRC 服务器上,IRC 服务器可以通过互相连接构成庞大的IRC 聊天网络,并将用户的消息通过聊天网络发送到目标用户或用户群”.IRC 网络中最为普遍使用的一种通信方式是群聊方式,即多个IRC 客户端连接到IRC 网络并创建一个聊天信道,每个客户端发送到IRC 服务器的消息将被转发给连接这个信道的全部客户端.此外,IRC 协议也支持两个客户端之间的私聊方式.
由于IRC 协议提供了一种简单、低延迟、匿名的实时通信方式,而且,它也被黑客普遍使用于相互间的远程交流,因此在僵尸网络发展初期,IRC 协议自然成为了构建一对多命令与控制信道的主流协议.
基于IRC 协议,攻击者向受控僵尸程序发布命令的方法有3种:设置频道主题(TOPIC)命令,当僵尸程序登录到频道后立即接收并执行这条频道主题命令;使用频道或单个僵尸程序发送PRIVMSG 消息,这种方法最为常用,即通过IRC 协议的群聊和私聊方式向频道内所有僵尸程序或指定僵尸程序发布命令;通过NOTICE 消息发送命令,这种方法在效果上等同于发送PRIVMSG 消息,但在实际情况中并不常见.
IRC 僵尸网络中发送的命令可以按照僵尸程序对应实现的功能模块分为僵尸网络控制命令、扩散传播命令、信息窃取命令、主机控制命令和下载与更新命令.其中,主机控制命令还可以细分为发动DDoS 攻击、架设Target machine Victim machine C & C server Attacker machine ③ Dynamic IRC server mapping
① Exploit and infect with bot ② #Join
#Join ⑤ Listen &Implement ⑥ Control &Direct ⑦ Information theft
host control
attack
708 Journal of Software软件学报 V ol.19, No.3, March 2008
服务、发送垃圾邮件、点击欺诈等.一条典型的扩散传播命令[8],如“.advscan asn1smb 200 5 0 -r -a -s”,其中,最先出现的点号称为命令前缀,advscan则为命令字,扩散传播命令的参数一般包括远程攻击的漏洞名、使用的线程数量、攻击持续时间、是否报告结果等.
2.2 基于HTTP协议的命令与控制机制
HTTP协议则是近年来除IRC协议外的另一种流行的僵尸网络命令与控制协议,与IRC协议相比,使用HTTP协议构建僵尸网络命令与控制机制的优势包括两方面:首先,由于IRC协议已经是僵尸网络主流控制协议,安全业界更加关注监测IRC通信以检测其中隐藏的僵尸网络活动,使用HTTP协议构建控制信道则可以让僵尸网络控制流量淹没在大量的因特网Web通信中,从而使得基于HTTP协议的僵尸网络活动更难以被检测;另外,大多数组织机构在网关上部署了防火墙,在很多情况下,防火墙过滤掉了非期望端口上的网络通信,IRC协议使用的端口通常也会被过滤,而使用HTTP协议构建控制信道一般都可以绕过防火墙.
目前,已知的采用HTTP协议构建命令与控制机制的僵尸程序有Bobax,Rustock[19],Clickbot[20]等.例如,Bobax僵尸程序,它首先会访问类似“http://hostname/reg?u=ABCDEF01&v=114”的一个URL,向僵尸网络控制器发送注册请求,如果连接成功,则僵尸网络控制器将反馈这一请求,并在返回内容中包含当前攻击者对僵尸网络发出的控制命令,Bobax僵尸程序则从返回内容中解析出命令并进行执行,Bobax僵尸程序接受的命令包括:upd(下载并执行更新程序)、exe(执行指定的程序)、scn(使用MS04-011破解程序扫描并感染主机)、scs(停止扩散扫描)、prj(发送垃圾邮件)、spd(报告网络连接速度)等.
2.3 基于P2P协议的命令与控制机制
基于IRC协议和HTTP协议的命令与控制机制均具有集中控制点,这使得这种基于客户端-服务器架构的僵尸网络容易被跟踪、检测和反制,一旦防御者获得僵尸程序,他们就能很容易地发现僵尸网络控制器的位置,并使用监测和跟踪手段掌握僵尸网络的全局信息,通过关闭这些集中的僵尸网络控制器也能够比较容易地消除僵尸网络所带来的威胁.为了让僵尸网络更具韧性和隐蔽性,一些新出现的僵尸程序开始使用P2P协议构建其命令与控制机制.
Grizzard等人在文献[22]中对P2P僵尸网络的发展历程进行了综述,Slapper,Sinit,Phatbot,SpamThru, Nugache和Peacomm等出现的P2P僵尸网络实现了各种不同的P2P控制机制,并体现出一些先进的设计思想.为了消除容易被防御者用于摧毁僵尸网络的bootstrap过程,第一个构建P2P控制信道的恶意代码Slapper在网络传播过程中对每个受感染主机都建立了一个完整的已感染节点列表[14];Sinit同样也消除了这一过程并使用了公钥加密进行更新过程的验证;Nugache则试图通过实现一个加密混淆的控制信道来躲避检测.但这些已有P2P僵尸程序的控制协议的设计并不成熟[23]:Sinit僵尸程序使用了随机扫描的方法寻找可交互的其他Sinit僵尸程序,这导致构造的P2P僵尸网络连接度非常弱,并且由于大量的扫描流量而容易被检测;Phatbot在其bootstrap过程中利用了Gnutella的缓冲服务器,这也使得构建的僵尸网络容易被关闭.此外,Phatbot所基于的WASTE协议在大规模网络中的扩展性并不好;Nugache的弱点在于其bootstrap过程中对一个包含22个IP地址的种子主机列表的依赖;Slapper并没有实现加密和通信认证机制,使僵尸网络很容易被他人所劫持.另外,Slapper的已感染节点列表中包含了组成僵尸网络所有僵尸程序的信息,这使得防御者从一个捕获的程序中即可获得僵尸网络的全部信息.最后Slapper复杂的通信机制产生了大量网络流量,使其很容易引起网络流分析工具的警觉[14].
Wang等人在文献[23]中提出了一种更加先进的混合型P2P僵尸网络命令与控制机制的设计框架,在此框架中,僵尸程序被分为两类:拥有静态IP地址并从因特网可以访问的僵尸程序称为servent bots,这类僵尸程序承担客户端和服务器的双重角色;其他由于IP地址动态分配、私有IP或防火墙过滤等原因无法从因特网访问的僵尸程序称为client bots,每个节点的邻居节点列表中只包含servent bots.僵尸网络控制者通过认证机制后,可从网络中的任意节点注入其控制命令,当一个节点获取新的控制命令后,通过向其邻居节点转发,从而快速传递到每个servent bot,client bot则从其邻居节点列表中的servent bots获取控制命令.在此设计框架基础上,Wang
诸葛建伟等:僵尸网络研究709
等人还进一步提出了通过命令认证、节点对加密机制、个性化服务端口等机制保证僵尸网络的健壮性和韧性.
Vogt等人[24]则提出了一种层叠化的“super-botnets”僵尸网络群构建方式,即在僵尸网络的传播过程中不断分解以保证对僵尸网络规模的限制,并通过小型僵尸网络间邻居节点关系和基于公钥加密的通信机制构造僵尸网络群.
2.4 各种命令与控制机制的效率和韧性评价
评价僵尸网络命令与控制机制的两个重要指标是效率(efficiency)和韧性(resiliency)[25],僵尸网络命令与控制机制的效率关注僵尸网络控制者能以多快的速度把攻击命令传递到所有受控僵尸程序,从而有效完成其攻击目的.由于命令分发的速度与两个恶意节点间的距离直接相关,因此,僵尸网络的直径可以作为评价其控制机制效率的分析参数.僵尸网络的韧性则关注随机清除若干恶意节点后僵尸网络能够保持的最大连接度.
对于由IRC协议和HTTP协议构建的集中式命令与控制机制,僵尸网络控制点与每个受控僵尸主机均直接连接,因此其最大直径为2,注入控制命令的僵尸网络控制者连接节点与其他主机的距离均为2,因此,集中式僵尸网络的效率非常高.但如果僵尸网络控制点被防御者清除,就会导致僵尸网络被完全分解,因此,集中式僵尸网络的韧性很弱.
Li等人在文献[25]中对随机网络方式构建的僵尸网络(如Sinit等)、小世界模型僵尸网络和类Gnutella僵尸网络(如Phatbot等)的效率和韧性进行了仿真分析.3种不同P2P类型构建僵尸网络中的最大直径和平均直径与网络包含节点数之间的关系严格符合对数函数趋势.在平均节点度为4的情况下,随机网络方式构建的100万节点僵尸网络的最大直径为17,平均直径为11,考虑到因特网上两台主机间的平均延迟和拥塞等因素,僵尸网络控制者可以在少于6分钟的时间内将一个1M字节的攻击代码扩散到全部100万节点上;小世界模型僵尸网络中的最大直径则为90,平均直径为39;类Gnutella僵尸网络中ultrapeer节点间的最大直径为4.8,叶子节点间的最大直径为6.8,而平均直径则为4.这3种不同P2P类型僵尸网络韧性仿真分析结果显示:对于随机网络方式构建的僵尸网络,当节点连接度为2时,随机清除10%的节点后,网络连接度就下降为大约43.3%;一旦节点连接度增大到4,网络连接度就仅下降到99.8%;当节点连接度为10,即使80%的节点被清除,剩余节点的网络连接度还能够达到70%.这说明以随机网络方式构建的僵尸网络的韧性很好;而小世界模型僵尸网络中一旦10%的节点被清除,其网络连接度就开始显著下降;而清除70%~80%节点将完全分割僵尸网络.仿真分析结果显示,类Gnutella僵尸网络的韧性比两者更好,即使清除75%节点后剩余节点还保持完全连接;而清除87.5%节点后网络连接度仍保持大约97%.
从3种不同P2P类型僵尸网络的效率和韧性仿真分析结果的比较可以看出,小世界模型僵尸网络虽然很容易构建,但其效率和韧性都比不上随机网络和类Gnutella类型,因此并不适合作为僵尸网络的命令与控制机制的实现方式;虽然随机网络方式构建的僵尸网络的效率和韧性都处于良好的水平,但类Gnutella方式构建的僵尸网络能够达到更高的效率和更好的韧性.虽然这种方式对于黑客而言较难构建,但已存在的类Gnutella方式的P2P网络为他们构建高效率且高鲁棒性的僵尸网络奠定了基础.
3 僵尸网络的传播模型研究
僵尸网络的传播特性是从网络蠕虫继承而来,但又与传统网络蠕虫的自动传播不同,僵尸网络的传播扩散一般是受控的,同时,在传播扩散目标的选择上遵循同子网地址优先的策略.网络蠕虫的传播模型适合采用传染病模型,已提出的网络蠕虫传播模型包括最基本的SI模型[26],SIR模型[27],以及考虑蠕虫反制机制的双因素模型[28]等.由于僵尸网络传播所具有的受控性和区域性,网络蠕虫的传播模型并不适合用于对僵尸网络发展趋势的刻画和预测,因此,研究者开始研究适应僵尸网络传播特性的模型.
考虑到计算机在夜间关机下线后进入非易感状态的因素以及僵尸网络感染过程中存在的区域性偏好因素,Dagon等人在文献[29]中提出了一个基于时区的僵尸网络传播模型.
首先,考虑在同一时区中的封闭网络,传播模型的微分方程为
710
Journal of Software 软件学报 V ol.19, No.3, March 2008
d ()/d ()()d ()/d ()()()()()()()
()()()d ()/d ()
I t t I t S t R t t S t N t I t R t I t t I t S t t S t R t t I t βααγ′′=???=????′??′=?′?=?= (1) 式(1)中,N (t )表示t 时刻该时区内原始易感主机的总数;I (t )为t 时刻被感染主机数,I ′(t )为t 时刻在线的被感染主机数;α(t )定义为diurnal shaping function ,即t 时刻该时区计算机在线的比率,该比率根据观察统计确定,一般在白天达到峰值,而在深夜中由于大部分计算机的下线达到低谷;S (t )为t 时刻易感主机数,而S ′(t )为在线易感主机数;R (t )为被免疫的主机数;感染率β=η/?[30],其中,η为恶意代码的扫描率,而?为恶意代码扫描的IP 地址空间的大小;γ定义为免疫比率.根据式(1)可以导出僵尸网络每日传播模型微分方程为 2d ()()()[()()()]()()d I t t I t N t I t R t t I t t
βαγα=??? (2) 进一步扩展到多时区模型,最终得到的基于时区的僵尸网络传播模型方程为
1
d ()()(()()())()()()()d K i i i i i ji j j i i i j I t t N t I t R t t I t t I t t αβαγα==????∑ (3) 其中,N i (t ),I i (t ),R i (t )分别为第i 个时区中易感主机总数、已感主机数和免疫主机数;αi (t )为该时区中的上线计算
机比率函数;βji 为从时区j 到时区i 的感染率;γi 为时区i 的免疫率. 通过对实际僵尸网络规模发展数据的观察和统计,如图3所示,基于时区的传播模型较传统SIR 传播模型能够更好地符合因特网上僵尸网络的实际传播规律.但该模型只关注了传统远程攻击漏洞的传播方式,而当前的僵尸网络也融合了邮件病毒、即时通信和P2P 文件共享软件等其他传播方式,对这些新型传播方式进行准确刻画的传播模型还有待进一步研究.此外,基于不同P2P 协议的僵尸网络结构对其传播趋势的影响也是需要深入探讨的问题.
为了能够在实际环境中测试和验证僵尸网络的
工作机制和传播模型,隔离的实验测试环境是必不
可少的.Barford 等人提出了僵尸网络实际测试环境(botnet evaluation environment,简称BEE)的设计方
案[31],通过创建僵尸程序镜像文件库、部署
DHCP,DynDNS,IRC 等支撑服务,实现测试环境安全控制策略,从而构建一个可用于大规模僵尸网络实际测试的隔离的自包含网络环境.
4 僵尸网络的跟踪、检测与防御研究
僵尸网络已成为目前因特网最为严重的安全威胁之一,同时,僵尸网络本身具有的特性也使其成为黑客们用于DDoS 攻击、发送垃圾邮件、窃取敏感信息等各种攻击行为的高效平台.为了应对僵尸网络的安全威胁,研究者已在僵尸网络跟踪、检测与防御等多方面开展了深入的研究工作,下面我们将讨论近年来开展的相关研究工作.
4.1 僵尸网络跟踪研究
充分了解僵尸网络的内部工作机理,是防御者应对僵尸网络安全威胁的前提条件.僵尸网络跟踪(botnet ×104
Botnet data Diurnal model SIR model 3.0
2.5
2.0
1.5
1.0
0.5
0 2000 4000 6000 8000
Time t (minute) Fig.3 Comparison of diurnal and SIR model with botnet traffic [29]
图3 基于时区的传播模型与SIR 模型对实际僵尸
网络传播数据的符合度比较[29]
诸葛建伟等:僵尸网络研究711
tracking)为防御者提供了一套可行的方法,其基本思想是,首先通过各种途径获取因特网上实际存在的僵尸网络命令与控制信道的相关信息,然后模拟成受控的僵尸程序加入僵尸网络中,从而对僵尸网络的内部活动进行观察和跟踪.
最早开展僵尸网络跟踪研究工作的团队是德国蜜网项目组[12,32],Bacher和Holz等人通过部署包含有Windows蜜罐主机的第二代蜜网捕获了因特网上实际传播的大量僵尸程序,然后使用snort_inline分析出僵尸程序所连接的IRC命令与控制信道信息,包括IRC服务器的域名/IP和端口号、连接IRC服务器的密码(可选)、僵尸程序用户标识和昵称的结构、加入的频道名和可选的频道密码,然后使用IRC客户端追踪工具drone根据控制信道信息加入到僵尸网络进行跟踪.他们在大约4个月的时间内对超过100个僵尸网络进行了持续的跟踪观察,向安全业界第一次系统地展示了僵尸网络的内部工作机制.德国蜜网项目组还进一步研究并开发了基于低交互式蜜罐技术的恶意代码捕获器Nepenthes[33],从而支持大规模的僵尸程序样本采集和进一步的僵尸网络跟踪.
Johns Hopkins大学的Rajab等人进一步提出了一个多角度同时跟踪大量实际僵尸网络的方法[13],包括旨在捕获僵尸程序的分布式恶意代码采集体系、对实际僵尸网络行为获取内部观察的IRC跟踪工具以及评估僵尸网络全局传播足迹的DNS缓冲探测技术.在此方法基础上,他们在3个月期间跟踪了192个IRC僵尸网络,并通过对多角度获取数据的关联分析展示了僵尸网络的一些行为和结构特性.
Rajab等人在进一步工作[34]中对“僵尸网络的规模监测和估计”这一重要问题进行了细致的探讨.他们认为,目前研究领域并没有对“僵尸网络规模”给出严格定义,因此导致了一些误解和不一致,而监测并估计“僵尸网络规模”必须阐明所使用的计数方法,给出明确的解释并说明监测过程相关的上下文信息.他们将僵尸网络生命周期内任意时间点上感染的全部僵尸主机数量定义为僵尸网络的全局足迹(footprint),而将特定时间点接受僵尸网络命令与控制信道控制的在线僵尸主机数量定义为僵尸网络的实时规模(live population).根据所使用信息的不同,对僵尸网络的规模估计方法分为通过内部视图信息计数和通过外部信息估计两大类,通过内部视图信息对僵尸程序计数,又包含有内部渗透和控制服务器DNS劫持两种技术手段;通过外部信息只能粗略地估计僵尸网络的全局足迹,可使用的技术手段包括DNS缓冲探测[13]和DNS黑名单探测[35]等.
根据公开资料,国内在僵尸网络跟踪方面的研究工作并不多,主要的工作集中在北京大学计算机研究所和国家计算机网络应急技术处理协调中心(CNCERT/CC).CNCERT/CC在2004年底通过跟踪技术手段破获了国内第一起大规模的僵尸网络案件.诸葛建伟等人在文献[5]中介绍了发现和跟踪大量僵尸网络的方法,并通过大量的僵尸网络发现和跟踪经验给出了控制服务器所属国、僵尸网络规模的分布统计;进一步研究并开发了基于高交互式蜜罐技术的恶意代码自动捕获器HoneyBow,并结合Nepenthes,HoneyBow以及第三代蜜网技术构建了更加全面的恶意代码自动捕获体系以支持大规模的僵尸网络跟踪[7];并对1 961个实际僵尸网络的活动行为记录进行了深入调查和分析,给出了僵尸网络捕获趋势、控制服务器分布、僵尸网络规模与被控主机分布、僵尸网络各种攻击行为的分析结果[8].
僵尸网络跟踪方法的优势在于能够全方位地了解僵尸网络的控制服务器位置、行为特性和结构特性,为防御者进一步检测与处置僵尸网络提供了充分的信息支持.存在的不足包括:①基于蜜罐技术的采集和跟踪方法无法有效地检测出全部活跃的僵尸网络,无法为因特网用户提供直接保护;②僵尸网络控制者在充分认识跟踪方法后,可以采取信息裁减机制、更强的认证机制等方法加大僵尸网络跟踪方法的难度,并减少跟踪所能够获取的信息.此外,各种基于HTTP协议和基于P2P协议的僵尸网络命令与控制机制的使用为僵尸网络跟踪带来了较大困难;③防御者对僵尸网络实施跟踪一旦被发现,就很可能被僵尸网络控制者实施DDoS攻击.
4.2 僵尸网络的检测方法研究
在利用跟踪方法了解僵尸网络内部工作机制的基础上,近两年来,研究者开始探索在业务网络中识别僵尸网络安全威胁的检测方法.
Binkley等人提出了一个基于TCP扫描权重(TCP work weight)的启发式异常检测算法以检测IRC僵尸网络控制通信[36,37].该算法基于IRC僵尸网络中大量僵尸主机连接到同一IRC频道,并接受网络传播命令进行大
712 Journal of Software软件学报 V ol.19, No.3, March 2008
量的TCP SYN扫描这一观察,按照式(4)定义TCP扫描权重这一评价指标,并通过识别TCP扫描权重超出正常
阈值的被感染IP地址及其连接的IRC频道对僵尸网络进行检测.
w=(S s+F s+R r)/T sr (4) 其中,S s为发送的SYN包和SYN|ACK包数量,F s为发送的FIN包数量,R r为接收的RESET包数量,T sr为全部
TCP数据包数量,TCP扫描权重w为TCP控制报文数与总TCP报文数的比重.Binkley等人提出的这种方法只
适用于明文方式传播控制信道命令的IRC僵尸网络.
Strayer等人[38]也提出了通过检查带宽使用、持续时间和数据包时序等网络流属性来识别IRC僵尸网络命
令与控制通信的方法.Livadas等人则应用机器学习方法来对IRC僵尸网络通信流量进行检测[39],他们将任务分
解为两个步骤:首先使用机器学习领域中经典的原始贝叶斯、贝叶斯网络、J48决策树等分类器对IRC流量和
非IRC流量进行区分,实验结果显示,原始贝叶斯分类器取得了最好的效果,误报率为2.49%、漏报率为15.04%
均达到了较低水平;然后再从IRC流量中区分正常IRC通信和僵尸网络控制流量,在这个步骤中,所有的3种分
类器均没有达到理想的效果,最好的贝叶斯网络分类器也仅达到了误报率为10%~20%、漏报率30%~40%间的
平衡.这一研究工作表明,简单地将机器学习方法应用到僵尸网络检测并不能取得良好的效果,必须充分考虑僵
尸网络控制机制的内在特性.
Goebel等人在文献[40]中描述了一种简单而高效的IRC僵尸网络检测方法Rishi,其基本思想是被动监听
网络流量,通过开源的ngrep工具获取其中包含的IRC协议连接信息,然后用n-gram分析方法实现评分函数,通
过对IRC昵称的异常评定,检测出内部网络中被IRC僵尸网络所感染的僵尸主机.利用这种方法,Goebel等人在
德国RWTH Aachen university校园网的10G网关上两周内检测出了82台被感染的僵尸主机.该方法虽然对现
有的IRC僵尸网络检测比较有效,但还存在如下的不足之处:① Rishi方法依赖于正则表达式来检测和评价一
个僵尸程序昵称,但目前存在一些僵尸程序使用与IRC用户类似的昵称命名结构,从而导致Rishi无法有效检
测,僵尸网络控制者也很容易修改僵尸程序昵称命名结构以绕过Rishi所定义的正则表达式;②该方法只能用
于对基于标准IRC协议僵尸网络的检测,无法应对基于HTTP,P2P协议和其他自定义协议的僵尸网络.
AT&T实验室的Karasaridis等人在文献[41]中描述了一种在ISP骨干网层面上检测和刻画僵尸网络行为
的方法,由如下步骤组成:①对AT&T Internet Protect底层传感器触发的事件进行聚合,识别出具有可疑行为的
主机;②基于缺省IRC服务端口、识别到集中服务器的连接以及IRC流量模型特征这3个启发式规则,识别出
可能的僵尸网络命令与控制连接;③分析可能的命令与控制连接,计算出连接同一服务器的可疑僵尸主机数
量,计算出可疑连接与IRC流量模型的相似性距离,并结合两者计算该可疑连接为僵尸网络命令与控制信道的
得分;④通过与其他数据源(如基于蜜罐技术发现的僵尸网络数据)的关联、DNS域名验证和人工验证确认检
测到的僵尸网络.与之前的工作相比,Karasaridis等人的方法具有如下优势:①分析方法完全在传输层以下进
行,没有涉及应用层信息,因此,检测效率将更高,可在骨干网上实施;②基于网络流数据被动监听与分析,不涉
及隐私问题,并可以检测加密通信的IRC僵尸网络;③误报率低,在实验中达到了2%的较好水平,同时可以量化
僵尸网络的规模等信息.
Gu等人采用IDS驱动的会话关联方法实现了能够检测僵尸程序感染的BotHunter系统[42].该系统基于证
据链(evidence trail)关联思想,将僵尸程序感染过程视为一台内网主机与外网一台或多台主机间的信息交互序
列,包括目标扫描、破解攻击、二进制代码注入与执行、命令与控制信道连接和对外扫描等步骤.BotHunter系
统底层采用Snort入侵检测系统的特征检测方法以及两个关注僵尸程序的异常检测插件SLADE和SCADE,
以对僵尸程序感染的各个步骤进行检测:SLADE插件实现了对流入连接的有损性n-gram负载分析方法,通过
对执行协议负载的字节分布异常检测出恶意代码攻击;SCADE插件进行针对恶意代码的平行及垂直端口扫描
分析,可以检测出流入连接和流出连接中的扫描事件.然后,BotHunter关联分析器将底层IDS报告的流入扫描报
警、破解攻击报警和外出控制信道报警、对外扫描报警等事件联系在一起,从而给出一个详细的包含所有相关
事件的僵尸程序感染会话场景.BotHunter系统的优点在于首次提出了一个关联和刻画僵尸程序整个感染过程
的实时分析系统,并通过实际测试35个最近的僵尸程序验证了其有效性.
诸葛建伟等:僵尸网络研究713
由于目前IRC协议仍是僵尸网络的主流控制协议,所以,几乎所有的相关研究工作都是关注IRC僵尸网络控制信道的检测和刻画.基于HTTP协议和基于P2P协议的僵尸网络由于具有较强的个性化差异,目前还无法给出通用化的检测方法,但随着这两类僵尸网络近年来的不断发展,构建对这两类僵尸网络的有效检测方法将是一个重要的研究课题.
4.3 僵尸网络的防御与反制
僵尸网络的防御与反制存在两种不同的方法:由于构建僵尸网络的僵尸程序仍是恶意代码的一种,因此,传统的防御方法是通过加强因特网主机的安全防御等级以防止被僵尸程序感染,并通过及时更新反病毒软件特征库清除主机中的僵尸程序.Overton等人给出了防御僵尸程序感染的方法[43],包括遵循基本的安全策略以及使用防火墙、DNS阻断、补丁管理等技术手段.另一种防御方法是针对僵尸网络具有命令与控制信道这一基本特性,通过摧毁或无效化僵尸网络命令与控制机制,使其无法对因特网造成危害.由于命令与控制信道是僵尸网络得以生存和发挥攻击能力的基础,因此,第2种防御方法比第1种更加有效.
对于集中式僵尸网络而言,在发现僵尸网络控制点的基础上,最直接的反制方法是通过CERT部门协调处理关闭控制点,然而,僵尸网络控制者可以在另外一台主机上重新构建控制服务器,并通过改变动态域名所绑定的控制服务器重建僵尸网络控制信道,所以,防御者还需通过联系域名服务提供商移除僵尸程序所使用的动态域名,从而彻底移除僵尸网络控制服务器.此外,在获取域名服务提供商的许可条件下,防御者还可以使用DNS 劫持技术[29]来获取被僵尸网络感染的僵尸主机IP列表,从而及时通知被感染主机用户进行僵尸程序的移除.通过控制点或者僵尸程序代码追溯僵尸网络控制者是反制的一个重要目标,但更具挑战性.Ianelli等人分析了这一问题的难度[44],并指出需要通过有效的国际协作、恶意代码起源的深入追溯以及对涉及的犯罪资金流进行跟踪等方法尝试完成这一目标.
由于P2P僵尸网络不存在集中的控制点,因此,对P2P僵尸网络的反制将更为困难.如何有效地检测和反制P2P僵尸网络还有待进一步研究.
5 总结
作为一种从传统恶意代码形态进化而来的高级攻击方式,僵尸网络提供了隐匿、灵活且高效的一对多命令与控制机制,从而被攻击者所广泛接受并用于实现窃取敏感信息、发送分布式拒绝服务攻击和发送垃圾邮件等攻击目的.僵尸网络正在步入快速发展期,并已对因特网安全造成了严重威胁,对中国大陆造成的危害尤为严重.
此外,僵尸网络还呈现出如下发展趋势:命令与控制机制从基于IRC协议逐渐转移到基于HTTP协议和各种不同类型的P2P协议,以增强僵尸网络的隐蔽性和鲁棒性;在网络传播方面借鉴并融合了各类传统恶意代码的传播方式,包括最新的通过即时通信软件和P2P文件共享软件进行传播;通过增强认证和信道加密机制,对僵尸程序进行多态化和变形混淆,引入Rootkit隐藏机制使得对僵尸网络的检测、跟踪和分析更加困难.
鉴于僵尸网络所呈现的技术特点及其发展趋势,安全领域研究者必须加强僵尸网络的研究,并协调反病毒业界和应急响应部门进行有效反制,才能有效遏制其快速发展的势头.我们预期,僵尸网络领域在未来一段时间内研究的重点方向包括:①新型的僵尸网络命令与控制机制及其应对策略;②僵尸网络传播模型的进一步研究及在实验测试环境中的验证;③更具准确性和高效性的僵尸网络检测机制,特别是针对新型的僵尸网络命令与控制机制;④具有一定自动化程度的僵尸网络反制辅助平台的研究和实现.
References:
[1] Geer D. Malicious bots threaten network security. IEEE Computer, 2005,38(1):18?20.
[2] Lee WK, Wang C, Dagon D. Botnet Detection: Countering the Largest Security Threat. New York: Springer-Verlag, 2007.
[3] Symantec Inc. Symantec Internet security threat report: Trends for January 06~June 06. Volume X. 2006. https://www.doczj.com/doc/f810300377.html,/
mktginfo/enterprise/white_papers/ent-whitepaper_symantec_internet_security_threat_report_ix.pdf
714 Journal of Software软件学报 V ol.19, No.3, March 2008 [4] Symantec Inc. Symantec Internet security threat report: Trends for July 06~December 06. Volume XI. 2007. http://eval.symantec.
com/mktginfo/enterprise/white_papers/ent-whitepaper_symantec_internet_security_threat_report_x_09_2006.en-us.pdf
[5] Zhuge JW, Han XH, Ye ZY, Zou W. Discover and track botnets. In: Proc. of the Chinese Symp. on Network and Information
Security (NetSec 2005). 2005. 183?189. (in Chinese with English abstract). https://www.doczj.com/doc/f810300377.html,/reports/僵尸网络的发现与跟踪_NetSec2005_.pdf
[6] Zhuge JW, Han XH, Chen Y, Ye ZY, Zou W. Towards high level attack scenario graph through honeynet data correlation analysis.
In: Proc. of the 7th IEEE Workshop on Information Assurance (IAW 2006). 2006. Piscataway: IEEE Computer Society Press. 2006.
215?222.
[7] Zhuge JW, Han XH, Zhou YL, Song CY, Guo JP, Zou W. HoneyBow: An automated malware collection tool based on the
high-interaction honeypot principle. Journal on Communications, 2007,28(12):8?13 (in Chinese with English abstract).
[8] Han XH, Guo JP, Zhou YL, Zhuge JW, Cao DZ, Zou W. An investigation on the botnets activities. Journal on Communications,
2007,28(12):167?172. (in Chinese with English abstract).
[9] Sun YD, Li D. Overview of botnet. Computer Applications, 2006,26(7):1628?1630 (in Chinese with English abstract).
[10] Puri R. Bots & botnet: An overview. SANS White Paper. 2003. https://www.doczj.com/doc/f810300377.html,/reading_room/whitepapers/malicious/1299.php
[11] McCarty B. Botnets: Big and bigger. IEEE Security & Privacy, 2003,1(4):87?90.
[12] Bacher P, Holz T, Kotter M, Wicherski G. Know your enemy: Tracking botnets. 2005. https://www.doczj.com/doc/f810300377.html,/papers/bots
[13] Rajab MA, Zarfoss J, Monrose F, Terzis A. A multifaceted approach to understanding the botnet phenomenon. In: Almeida JM,
Almeida VAF, Barford P, eds. Proc. of the 6th ACM Internet Measurement Conf. (IMC 2006). Rio de Janeriro: ACM Press, 2006.
41?52.
[14] Arce I, Levy E. An analysis of the slapper worm. IEEE Security & Privacy, 2003,1(1):82?87.
[15] Barford P, Yegneswaran V. An inside look at botnets. In: Christodorescu M, Jha S, Maughan D, Song D, Wang C, eds. Advances in
Information Security, Malware Detection, Vol.27. Springer-Verlag, 2007. https://www.doczj.com/doc/f810300377.html,/content/w4576m 3186524245/
[16] Holz T. A short visit to the bot zoo. IEEE Security & Privacy, 2005,3(3):76?79.
[17] Canavan J. The evolution of malicious IRC bots. In: Proc. of the 2005 Virus Bulletin Conf. (VB 2005). 2005. http://www.symantec.
com/avcenter/reference/the.evolution.of.malicious.irc.bots.pdf
[18] Wen WP, Qing SH, Jiang JC, Wang YJ. Research and development of Internet worms. Journal of Software, 2004,15(8):1208?1219
(in Chinese with English abstract). https://www.doczj.com/doc/f810300377.html,/1000-9825/15/1208.htm
[19] Chiang K, Lloyd L. A case study of the rustock rootkit and spam bot. In: Proc. of the 1st Workshop on Hot Topics in
Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323138&coll=GUIDE&dl=GUIDE &CFID=16751383&CFTOKEN=82837820
[20] Daswani N, Stoppelman M, the Google Click Quality and Security Teams. The anatomy of Clickbot.A. In: Proc. of the 1st
Workshop on Hot Topics in Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323139 &coll=GUIDE&dl=GUIDE&CFID=16751383&CFTOKEN=82837820
[21] Kalt C. RFC 2810: Internet relay chat: Architecture. RFC 2810, IETF, 2000.
[22] Grizzard JB, Sharma V, Nunnery C. Peer-to-Peer botnets: Overview and case study. In: Proc. of the 1st Workshop on Hot Topics in
Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323129&coll=GUIDE&dl= GUIDE &CFID=16751383&CFTOKEN=82837820
[23] Wang P, Sparks S, Zou CC. An advanced hybrid peer-to-peer botnet. In: Proc. of the 1st Workshop on Hot Topics in Understanding
Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323130&coll=GUIDE&dl=GUIDE&CFID= 16751383&CFTOKEN=82837820
[24] Vogt R, Aycock J, Jacobson MJ. Army of botnets. In: Proc. of the 14th Annual Network & Distributed System Security Conf.
(NDSS). 2007. https://www.doczj.com/doc/f810300377.html,/isoc/conferences/ndss/07/abstracts/54.shtml
[25] Li J, Ehrenkranz T, Kuenning G, Reiher P. Simulation and analysis on the resiliency and efficiency of malnets. In: Proc. of the
IEEE Symp. on Measurement, Modeling, and Simulation of Malware (MMSM 2005). Monterey: IEEE Computer Society Press, 2005. 262?269.
[26] Zou CC, Gong W, Towsley D. Code red worm propagation modeling and analysis. In: Atluri V, ed. Proc. of the 9th ACM Conf. on
Computer and Communications Security (CCS 2002). New York: ACM Press, 2002. 138?147.
[27] Kim J, Radhakrishnan S, Dhall SK. Measurement and analysis of worm propagation on Internet network topology. In: Proc. of the
IEEE Int’l Conf. on Computer Communications and Networks (ICCCN 2004). 2004. 495?500. https://www.doczj.com/doc/f810300377.html,/xpls/ abs_all.jsp?arnumber=1401716
[28] Zou CC, Gong W, Towsley D. Worm propagation modeling and analysis under dynamic quarantine defense. In: Staniford S, ed.
Proc. of the ACM CCS Workshop on Rapid Malcode (WORM 2003). New York: ACM Press, 2003. 51?60.
[29] Dagon D, Zou CC, Lee W. Modeling botnet propagation using time zones. In: Proc. of the 13th Annual Network and Distributed
System Security Symp. (NDSS 2006). 2006. https://www.doczj.com/doc/f810300377.html,/isoc/conferences/ndss/06/proceedings/papers/modeling_botnet_ propagation.pdf
[30] Zou CC, Towsley D, Gong W. On the performance of Internet worm scanning strategies. Elsevier Journal of Performance
Evaluation, 2005,63(7):700?723.
[31] Barford P, Blodgett M. Toward botnet mesocosms. In: Proc. of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots
2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323134&coll=GUIDE&dl=GUIDE&CFID=16751383&CFTOKEN= 82837820
[32] Freiling F, Holz T, Wicherski G. Botnet tracking: Exploring a root-cause methodology to prevent distributed denial-of-service
attacks. In: Proc. of the 10th European Symp. on Research in Computer Security (ESORICS 2005). LNCS 3679, Milan: Springer-Verlag, 2005. 319?335.
[33] Baecher P, Koetter M, Holz T, Dornseif M, Freiling FC. The nepenthes platform: An efficient approach to collect malware. In:
Vimercati SD, Syverson P, eds. Proc. of the 9th Int’l Symp. on Recent Advances in Intrusion Detection (RAID). LNCS 4219, Springer-Verlag, 2006. 165?184.
诸葛建伟等:僵尸网络研究715 [34] Rajab MA, Zarfoss J, Monrose F, Terzis A. My botnet is bigger than yours (maybe, better than yours): Why size estimates remain
challenging. In: Proc. of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/ citation.cfm?id=1323128.1323133&coll=GUIDE&dl=GUIDE&CFID=16751383&CFTOKEN=82837820
[35] Ramachandran A, Feamster N, Dagon D. Revealing botnet membership using DNSBL counter-intelligence. In: Proc. of the
USENIX Workshop on Steps to Reducing Unwanted Traffic in the Internet (SRUTI 2006), Vol.2. Berkeley: USENIX Association, 2006. 8. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1251304&dl=&coll=
[36] Binkley JR, Singh S. An algorithm for anomaly-based botnet detection. In: Proc. of the USENIX 2nd Workshop on Steps to
Reducing Unwanted Traffic on the Internet (SRUTI 2006). 2006. 43?48. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1251296.
1251303&coll=&dl=
[37] Binkley JR. Anomaly-Based botnet server detection. In: Proc. of the FloCon 2006 Analysis Workshop. 2006. https://www.doczj.com/doc/f810300377.html,/
flocon/2006/presentations/botnet0606.pdf
[38] Strayer T, Walsh R, Livadas C, Lapsley D. Detecting botnets with tight command and control. In: Proc. of the 31st IEEE Conf. on
Local Computer Networks (LCN’06). Tampa: IEEE Computer Society Press, 2006. 195?202.
[39] Livadas C, Walsh B, Lapsley D, Strayer T. Using machine learning techniques to identify botnet traffic. In: Proc. of the 2nd IEEE
LCN Workshop on Network Security. 2006. 967?974.
[40] Goebel J, Holz T. Rishi: Identify bot contaminated hosts by IRC nickname evaluation. In: Proc. of the 1st Workshop on Hot Topics
in Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323136&coll=GUIDE&dl =GUIDE&CFID=16751383&CFTOKEN=82837820
[41] Karasaridis A, Rexroad B, Hoeflin D. Wide-Scale botnet detection and characterization. In: Proc. of the 1st Workshop on Hot
Topics in Understanding Botnets (HotBots 2007). 2007. https://www.doczj.com/doc/f810300377.html,/citation.cfm?id=1323128.1323135&coll=GUIDE &dl=GUIDE&CFID=16751383&CFTOKEN=82837820
[42] Gu G, Porras P, Yegneswaran V, Fong M, Lee W. BotHunter: Detecting malware infection through IDS-driven dialog correlation.
In: Proc. of the 16th USENIX Security Symp. (Security 2007). 2007. https://www.doczj.com/doc/f810300377.html,/events/sec07/tech/gu.html
[43] Overton M. Bots and botnets: Risks, issues and prevention. In: Proc. of the 2005 Virus Bulletin Conf. 2005. https://www.doczj.com/doc/f810300377.html,/
papers/VB2005-Bots_and_Botnets-1.0.2.pdf
[44] Ianelli N, Hackworth A. Botnets as a vehicle for online crime. In: Proc. of the 18th Annual FIRST Conf. 2006. https://www.doczj.com/doc/f810300377.html,/
archive/pdf/Botnets.pdf
附中文参考文献:
[5] 诸葛建伟,韩心慧,叶志远,邹维.僵尸网络的发现与跟踪.见:中国网络与信息安全技术研讨会论文集.2005.183?189.
[7] 诸葛建伟,韩心慧,周勇林,宋程昱,郭晋鹏,邹维.HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器.通信学报,
2007,28(12):8?13.
[8] 韩心慧,郭晋鹏,周勇林,诸葛建伟,曹东志,邹维.僵尸网络活动调查分析. 通信学报, 2007,28(12):167?172.
[9] 孙彦东,李东.僵尸网络综述.计算机应用,2006,26(7):1628?1630.
[18] 文伟平,卿斯汉,蒋建春,王业君.网络蠕虫研究与进展.软件学报,2004,15(8):1208?1219. https://www.doczj.com/doc/f810300377.html,/1000-9825/15/
1208.htm
诸葛建伟(1980-),男,浙江瑞安人,博士,助理研究员,主要研究领域为入侵检测与关联,蜜罐与蜜网技术,网络攻防,恶意代码分析.
叶志远(1963-),男,高级工程师,主要研究领域为网络与信息安全
.
韩心慧(1969-),男,博士生,助理研究员,
主要研究领域为网络与信息安全.
邹维(1964-),男,研究员,主要研究领域为
网络与信息安全.
周勇林(1974-),男,博士生,高级工程师,
主要研究领域为互联网安全监测,应急响
应处理.
广东岭南职业技术学院毕业设计课题:网络入侵与防范 指导教师:徐丙文老师 广东岭南职业技术学院Guangdong Lingnan Institute of Technology 姓名:叶慧娟 专业:电子商务 学号:08601130208
目录 网络入侵与防范 (3) 摘要 (3) 1 计算机的发展概况 (3) 2 计算机网络入侵攻击的特点 (3) 2.1损失巨大 (3) 2.2威胁社会和国家安全 (3) 2.3手段多样,手法隐蔽 (3) 2.4以软件攻击为主 (3) 3 计算机网络中的安全缺陷及产生的原因 (4) 3.1 TCP/IP的脆弱性。 (4) 3.2网络结构的不安全性 (4) 3.3易被窃听 (4) 3.4 缺乏安全意识 (4) 4 网络攻击和入侵的主要途径 (4) 4.1破译口令 (4) 4.2IP欺骗 (5) 4.3DNS欺骗 (5) 5 常见的网络攻击及其防范对策 (5) 5.1 特洛伊木马 (5) 5.2 邮件炸弹 (5) 5.3 过载攻击 (6) 5.4 淹没攻击 (6) 6 防范网络入侵和攻击的主要技术 (6) 6.1 访问控制技术 (6) 6.2 防火墙技术 (7) 6.3 数据加密技术 (7) 6.4 入侵检测技术 (7) 6.5安全扫描 (8) 6.6 安全审计 (8) 6.7 安全管理 (8) 7 结束语 (8)
网络入侵与防范 摘要 随着计算机网络技术的高速发展和普及,信息化已成为人类社会发展的大趋势。但是,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、恶意软件和其它不轨行为的攻击,威胁网络信息的安全,所以信息的安全和保密就成为一个至关重要的问题被信息社会的各个领域所重视。 要保证网络信息的安全,有效防范网络入侵和攻击,就必须熟悉网络入侵和攻击的常用方法,在此基础上才能制定行之有效地防范策略,确保网络安全。 1 计算机的发展概况 计算机网络经过40多年不断发展和完善,现在正以高速的发展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量,因特网将从一个单纯的大型数据中心发展成为一个高智商网络,将成为人与信息之间的高层调节者。带宽的成本将会变得非常低,甚至忽略不计。在不久的将来,无线网络将更加普及,尤其短距无线网络的前景更大。在计算机网络飞速发展的同时,网络安全问题也更加突出,因此各国正不断致力于开发和设计新的加密算法加密机制,加强安全技术的应用也是网络发展的一个重要内容。总之,计算机网络在今后的发展中范围更广、潜力更大,将会融入到社会各个领域。 2 计算机网络入侵攻击的特点 2.1损失巨大 由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。 2.2威胁社会和国家安全 一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 2.3手段多样,手法隐蔽 计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。 2.4以软件攻击为主 几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
网络文化传播方式中群体极化现象的研究 与思考 郑州航空工业管理学院计算机科学与应用系周青 【摘要】网络做为“第四媒体“在文化传播中所起的作用日益增大,网络文化在促使多元文化发展的同时,也出现了诸多的问题。实践研究证明,网络文化传播方式中群体极化现象的极端主义意识尤为突出。网络文化中的极端主义意识成因是多个方面的:网络、网民和网络舆论管理所自有的特点是形成网络群体极化现象的主要成因。及时发现社会现实中存在的突出矛盾,建立有效的信访制度,为弱势群体提供切实有效的权利保障。利用网络文化的传播方式,建立健康向上的网络舆论环境,树立以公意为代表的主流价值观,构建社会主义和谐社会。 关键词:网络热点事件群体极化舆论网络文化极端主义价值观 0引言 近年来网络在为人们带来便利的同时,利用网络作为舆论载体而形成的网络文化也出现了诸多问题,网络文化中的极端主义意识初见端倪,特别是网络文化传播过程中的出现的以“网络狂欢”、“人肉搜索”等为代表的群体极化现象备受争议。网络中群体极化现象的成因到底源在何处,说法不一,关于其成因仍然没有系统的的研究和论证。 研究网络传播过程中的群体极化现象的成因和特点,不仅有利于合理有效的对网络文化进行引导和监督,防止极端主义文化意识的滋生和蔓延,同时也有利于我国构建社会主义和谐社会的核心价值观的实现。1群体极化的原始定义 群体极化(Group Polarization)最早是由James Stoner于1961年发现群体讨论时的现象而提出①。对群体极化狭义的解释为:群体极化是指在群体中进行决策时,人们往往会比个人决策时更倾向于冒险或保守,向某一个极端偏斜,从而背离最佳决策。在阐述论点、进行逻辑论战时,一些成员变得具有防御性。当他们面对挑衅时,态度会变得更为固执甚至走向极端。 2调查研究结果与讨论 网络文化传播方式下产生的群体极华现象的成因是多方面的,在这里我们主要对我们统计、调查取得的结果进行分析、研究,从而找出其中的规律,为有效引导和预防提供参考。 通过统计、调查和分析,我们可以得出以下几个命题: (1)基于WEB2.0下网络文化传播方式中的群内同质、群际异质现象造成的主流价值观的难以形成和不同观点的不可调和是造成网络群体极化现象产生的客观原因。 WEB2.0技术的普及和发展易在网络文化中行形成的现象是群内同质化和群际异质化,在网络和新的传播技术的领域里,志同道合的团体会彼此进行沟通讨论,到最后他们的想法和原先一样,只是形式上变得更极端了。网络文化的宽容度给予了不同声音发表的平台的的同时也给与了极端主义滋生的温床,而WEB2.0技术的群聚效应更加剧了网络群体极化的发生。 (2)网络舆论主体网民中存在的“阶级对立“、道德和责任的缺失与分散,以及网民的低龄化是造成网络群体极化的主观原因。 网络舆论中体中存在的阶级对立问题反映到我国现实中存在的问题其实就是弱势群体的问题(这里的弱势是相对的概念)。网络文化是补偿性文化,互联网是有着巨大吸引力的虚拟空间。人们通过在网上发泄,
外文译文 僵尸网络(节选) 一种网络威胁 摘要 僵尸网络常源于网络攻击,他能对我们的网络资源和组织的财富造成严重威胁。僵尸网络是一系列没有抵抗能力的计算机的集合(肉鸡),他们能够被始发人(控制机)在一个普通的指挥-控制架构下远程控制。在许多种恶意软件中,僵尸网络是现在兴起的最严重的网络安全威胁,因为他提供一种分布式平台让许多非法活动如发射许多分散的拒绝服务攻击特定的目标、病毒扩散、钓鱼和点击欺诈。僵尸网络最重要的特点就是可以使用指挥控制通道,通过这个通道他们可以更新和指挥肉鸡。僵尸网络对用户完整性和资源的攻击目的是多样的,包括青少年证实其组织犯罪的黑客技术,让基础设施瘫痪和给政府和组织造成经济上的损失。本文中,了解系统如何被盯上是很重要的。分类的重要优势在于发现问题和找到具体的防范和回复的方法。这篇文章旨在基于攻击的技术而提供针对主流存在的僵尸网络类型的简明的概述。 一般综述 僵尸网络是一种正在兴起的面向在线生态环境和计算机资源的最重要的危险,恶意的僵尸网络是分散的计算平台,主要用作非法活动,如发动分布式拒绝服务攻击、发送垃圾邮件、含特洛伊木马和钓鱼软件的电子邮件,非法散布盗版媒介和软件,强制分布、盗取信息和计算资源,电子商务勒索、进行点击诈骗和身份盗窃。僵尸网络最重要的价值在于能通过使用多层次的指挥控制架构提供匿名的功能。另外,个别的肉鸡并不比被控制机物理拥有,因而可以散布在世界各地。时间、地点、语言以及法律让跨疆域追踪恶意僵尸网络变得困难。这种特性让僵尸网络成为网络犯罪很有吸引力的一种工具,事实上给网络安全造成了巨大威胁。
关键词僵尸网络肉鸡僵尸网络的检测 介绍 僵尸网络是一个由无反抗力的计算机(称为肉鸡)被远程的一个人为操控端(称为主控机)控制下构成的网络。术语“Bot”来源于单词“机器人”。类似于机器人,僵尸程序被设计来自动地完成一些预定义的动能。换句话说,单个的僵尸程序是运行在宿主机上并允许控制机远程控制主机的行为的软件程序。 僵尸网络是当下基于网络的最危险的网络攻击形式之一,是因为其包含采用大型的、许多组协调运行的主机为强制攻击和狡猾的攻击服务。一组肉鸡,当被一个指挥控制架构控制的时候,就形成所谓的“僵尸网络”。僵尸网络通过提供一定的间接性来掩盖发动攻击的机器,发动进攻的机器被一层肉鸡与被攻击的机器分离出来,而攻击本身又在任意的总时间内和一个僵尸网络群分离开。技术进步同时推动人们的生活走向安逸和麻烦。不断产生的信息技术让人们可以前所未有地轻松接触信息。但另一方面,它恶化了信息安全水平。僵尸网络被证明是信息技术领域最新的和最灾难性的威胁。一个门外汉关于僵尸网络的理解是一个促进恶意攻击用户机器的网络,但理论上讲“僵尸网络是一个计算机集合,软件“bot”,是自动安装无需用户干预并且被指挥与控制服务器远程控制着”。尽管这一事实暗示该网络可既为邪恶的和有益的目的利用,其在犯罪中的广泛使用和毁灭性的目的使标题“僵尸网络”等于恶意软件。一个活跃的僵尸网络首先利用用户电脑的漏洞初始化它的攻击。然后它下载恶意二进制代码并在本地执行。这个程序登录到指挥与控制服务器,并通知它的主人,俗称主控机,这样该计算机就转换为一个肉鸡。现在它可以被用来通过使用相同的步骤感染其他机器。僵尸网络和其他的安全威胁的主要区别是一个主控机定期与肉鸡通过集中或分散的网络通信信道。这些机器人按照从主控机收到的命令执行任何类型的破坏。这些主控机发送命令,控制所有的肉鸡,然后可以作为一个单位攻击受害者。僵尸网络的发展速度非常快使它难以被检测,并恢复他们的损害。然而,它们广泛使用的一些类型可以被划分。本报告主要涉及三大类型的僵尸网络:IRC僵尸网络,点对点和HTTP僵尸网络,提出了一些技术来识别和检测他们。第一部分给出了一个僵尸网络的介绍。第二部分回顾了他们的历史和拓扑结构。第三章是关于他们的生命周期,僵尸网络的指挥与控制、僵尸网络拓扑结构,根据是指挥控制的信道和僵尸网络生命周期。三种主要类型的僵尸网络及其检测方案在3.1.1节,3.1.2节和3.1.3节分别谈到了。第3.2部分所提出的“僵尸网络”检测框架和组件;第四部分提出了该领域未来工作的一些预期的进展。第五部分是致力于对我们的研究的总体结论。
电脑编程技巧与维护 浅议僵尸网络攻击 邹本娜 (中共葫芦岛市委党校,鞍山125000) 摘要:僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一对多控制的网络。僵尸网络,有别于以往简单的安全事件,它是一个具有极大危害的攻击平台。本文主要讲解了僵尸网络的原理、危害以及相应的应对方法。 关键词:僵尸网络;因特网中继聊天;控制服务器 1引言 2007年4月下旬,爱沙尼亚当局开始移除塔林这个繁忙海港城市一个公园的二战苏军士兵铜像,同情俄罗斯的僵尸网络第一次让世人真正地感受到了僵尸网络的可怕,攻击者使用了分布式拒绝服务攻击(DDOS)。利用数据轰炸网站的手段,攻击者不仅能够瘫痪一个国家的服务器,而且也能够让路由器、网关等专门传送网络数据的设备失去作用。为了让这种攻击效果加倍,黑客们利用僵尸软件(bot)侵入了全球的计算机中,这种被侵入的电脑组成了僵尸攻击网络,它们充当了攻击网站的主要进攻武器。爱沙尼亚一方获得的数据是正常流量的几千倍,5月10日,数据负担依然沉重,爱沙尼亚最大的银行被迫关闭自己的网络服务一小时多。这让银行至少损失了1百万美元,这一次攻击极大地引起了各国网监部门的重视。 为了降低僵尸网络的威胁,欧美地区已经开始尝试采用黑名单方式屏蔽僵尸网络控制服务器,我国大陆的大量IP地址面临着被列入黑名单的危险,然而更危险的是,我国大量主机已经在用户毫不知情的情况下被黑客暗中控制,僵尸网络已经成为威胁我国网络与信息安全的最大隐患。目前,中国互联网用户已达1.62亿户,仅次于美国,互联网连接主机数占全世界的13%;根据赛门铁克最近的统计,中国是受僵尸病毒感染的电脑最多的国家,占感染总数的78%,成为拒绝服务攻击最频繁的攻击对象[1]。 2僵尸网络 僵尸网络己经逐渐成为互联网的主要威胁之一,但目前仍然没有统一给出僵尸网络的定义,反病毒领域对僵尸程序也没有明确的定义。2005年网络与信息安全技术研讨会上,国家计算机网络应急技术处理协调中心和北京大学计算机科学技术研究所信息安全工程研究中心的狩猎女神项目组对僵尸网络的定义如下僵尸网络指的是攻击者利用互联网秘密建立的可以集中控制的计算机群。其组成通常包括被植入“僵尸”程序的计算机群、一个或多个控制服务器、控制者的控制终端等。 3Botnet结构和原理以及危害 Bot的种类很多,主要有IRC Botnet、AOL Botnet、PZP Botnet等。其中最广泛的是IRC Bot,它利用IRC协议相互通信[2],同时攻击者利用该协议进行远程控制,在IRC Bot植入被攻击者主机后,它会主动连接IRC服务器,接受攻击者的命令。下面就IRC Rot方式进行分析。 3.1IRC Botnet结构 Botnet的典型结构如图1。被安装在主机中的bot能够自己拷贝到一个安装目录,并能够改变系统配置,以便开机就能够运行。攻击者首先通过介入一个扫描和攻击漏洞程序精心编写一个bot或者修改能够得到的bot来获得将要投放的bot,这些bot能够模拟IRC客户端IRC服务器进行通信,然后利用bot某段网络,一旦发现目标,便对目标进行试探性攻击[3]。 A Discussion of the Botnet Network Attack ZOU Benna (Party School of CPC Huludao Municipal Committee,Anshan125000) Abstract:The Botnet is a kind of net controlled by hacker who spread bot program and control fall victim computers by any way.The Botnet is different from other kind of net,just because it is much more dangerous.This paper includes the princip-ium,harm and anti-step of the Botnet. Key word:Botnet;IRC;Control Server 本文收稿日期:2008年10月21 日图1IRC Botnet结构图 78 --
网络传播的优势分析 我们正常所说的网络传播其实就是指通过计算机网络的人类信息(包括新闻、知识等信息)传播活动。网络传播以计算机通信网络为基础,进行信息传递、交流和利用,从而达到其社会文化传播的目的。网络传播的读者人数巨大,可以通过互联网高速传播。 随着近年来我国网民数量的不断增加,网络市场规模逐渐扩大,网络的各种影响逐渐地深入到了我们的日常生活之中,网络信息传播也是越来越受到人们的重视。 网络传播最明显的优势当然就是传播速度快,时效性强,摆脱了时空限制。现在一般的最新新闻都会最先在网络上出现,在网络上发布一条新闻,也能迅速的被受众接收到,甚至国外的信息我们也能很快的知道。因为与传统的传播媒介相比,网络传播不需要经过一系列的程序,甚至可以第一时间进行现场直播,所以速度会快很多。同时,网络传播的时效性和快捷性使新闻发布摆脱了地域限制,拉近了传播者和受众间的距离。 网络上存储着海量的信息,资源无限。互联网拥有庞大的数据库,因而信息存储几乎没有容量限制,网络编辑充分利用海量的网络信息资源,整理背景资料,让受众及时了解事件的相关信息。在网络上存储的信息手段丰富,增强了传播效果,受众能够更好地接受。网络信息运用了许多的多媒体技术,而且这些信息还涉及到了许多行业。多媒体让网络传播摆脱了传统媒体单一的表现手法,使网络新闻具有了新的活力。这样就可以更好的吸引受众,激起受众的阅读兴趣,让受众能够更加直观的了解信息。 网络传播使传受双方平等的交流成为现实。在网络上,网络信息的传播者不再享有信息特权,与受众一道成为真正意义上的平等交流伙伴;网络用户不仅可以平等地发布信息,还可以平等地开展讨论与争论;舆论监督功能在网络振荡中不断放大,具有无比的威慑力量。网络的发展首先在一定程度上为个人意见的发表提供了平台,现在我们这些普通的网民也可以向网络中传播一些健康的信息,还可以通过网络与其他的网民就某一事件进行沟通与交流。其次网络的发展也在一定程度上消除了民众参政议政、发表个人见解的障碍。通过网络,政府部门可以了解公众对公共服务的要求,对相关政策的看法,对重大事件的态度,从而有利于政府部门提高办事效率,加快信息的处理,更好地为公众服务。现在还有很多的政府已经在其网站上留有一些地方供网友留言、监督。 当然,对于我们这些大学生来说,网络传播的这些优势也同时大大的便利了我们的生活和学习。网络的出现改变了大学生传统的学习模式,过去大学生基本上是教室、寝室、图书馆三点一线的生活。学生要查寻资料,往往只能在图书馆才能实现,而随着高校招生人数猛增,各高校图书馆都感到压力很大,许多学生往往很难借到自己想要的图书,这就让学生们的学习受到了一点阻碍。网络正好解决了这一个难题,在因特网上,大学生不仅可以很方便的查到自己专业知识方面的有关信息,还可以通过网络了解到国际国内形势;通过校园网大学生还可以了解到学校的相关政策,知道学校的重大安排,大家普遍所关心的一些热点和难点问题,这就让大学生们的学习效率大大提高。而在就业方面,过去大学生毕业为找到一份比较称心如意的工作,往往疲于“赶场”,到处参加人才交流会,带有很大的盲目性。而现在他们只要通过上网就可以查阅到不少有用的信息,采取发Email 的方式或者事先与单位取得联系,这样就大大减少了行动
浅谈互联网信息传播模式及特点 [摘要] 互联网已经成为了人们生活中不可或缺的工具。本文通过对目前存在的几种主要的网络信息传播模式进行分析,总结不同模式的特点,并在此基础上发展这些模式。 [关键词] 网络信息传播模式六度传播WAP 一、前言 互联网络已经成为了人们生活中不可或缺的工具,当人们利用网络进行各种各样的信息活动时,同样会面对因各种消极信息传播所带来的非意愿后果的问题。 网络信息传播,是指以多媒体、网络化、数字化技术为核心的国际互联网网络信息传播,是电子传播方式的一种,是现代信息革命的产物。它在促进传统信息传播媒体变革与转型的同时也改变了广大民众获取信息、接收信息、传播信息的方法和渠道,其信息传播模式、传播途径、传播内容等均呈现出新的特点。 若要成功的解决这些问题,就需利用现有的理论,探讨网络与信息传播的相互关系,以及网络环境下信息传播的模式和特点,便于以后对网络信息传播风险进行全面分析和深入探讨,以期得出有效的防对措施。 二、六种网络信息传播模式分析 目前,我国学者研究出来的几种较有代表性的网络信息传播模式,各自都有其强调的重点,本文在研究网络信息传播模式的发展时不是孤立机械地去分解某个模式。下面介绍这几个模式。 1、以网络传播基本网络传播模式 将网络传播的基本要素:传播者、接受者、信息、媒介、噪音等进行概括,得到网络传播的一个基本模式。以网络传播的基本模式是对网络传播过程的一个粗略的概括。 此种模式它虽然不能完全展示出网络传播的纷繁复杂,不能明确反映出各个阶段中不同的外在因素是如何作用于传播过程的,但是它给我们展示了网络中信息是如何流动的,可以帮助理解网络传播的过程。 2、以互联网传输速率区别的网络传播模式 在互联网络中传播的传统模式及社会影响在窄带网络时代,人们上网方式多数通过电话线拨号上网,其一大特点就是速度慢。带宽的加大使网民单位时间内
网络舆情热点话题传播模式研究 在互联网越来越普及的今天,网民的数量持续攀升,这使得任何事件都可能在网络的作用下成为热点话题,产生网络舆论,进而广泛传播,可能产生正面影响,也可能产生负面影响。此种情况下,研究网络舆情热点话题的传播模式就显得尤为必要。以下本文将基于案例,分析热点话题的传播过程,进而研究网络舆情热点话题传播模式。 截止到2016年12月我国网民规模达到7.13亿,其中手机网络规模达到6.95亿,手机已然成为第一大上网终端。在越来越多网民能够随时随地运用网络来自由发表言论,使得网络舆情具有传播速度快、涉及范围广、不可控制的特点,给社会带来很大影响。基于此,相关学者及业界人士对网络舆情予以高度关注与深入研究,尤其是网络舆情的传播规律及传播过程。本文笔者将基于相关学者及业界人士研究成果,对网络舆情热点话题传播模式予以分析,希望对于网络舆情有更为进一步的了解。 一、热点话题传播过程 网络舆情的产生必然是借助某件事情的发生,随着广大网民对事件的关注,此事件将成为社会热点事件,也会随之产生热点话题,网民参与其中,将会出现各种舆论。那么,热点话题是如何传播的呢?为了具体说明这一问题,笔者在此借助案例来具体阐述。 案例:某幼儿园5岁女童十分钟被打几十个耳光的视频出现在网络上,引起广大网民的关注与谴责,使得此事件持续发酵,最终演变成社会热点话题。其实,此次虐童案件引爆,主要是突然上传到网络上的女童被虐打的视频被广泛的传播,很多网民看过视频,对当日16时到16时30分,老师幼师狂闪五岁幼童70多个耳光,还在屁股上踢了两脚的行为很是气愤,很快“人肉”涉事幼儿园及虐童者的一些信息,经过进一步了解,确定此类情况频频发生,而发生的原因仅是孩子犯了一点点小小的错误。这些信息在网络上快速流传开来,加之教育部门的介入调查,使得此事件进入公众视野。 正是因為此事件得到了广泛的关注,与之相关的话题出现在网民的面前。在面临舆论的压力,及事件的恶劣性,当地公安局对涉事人员予以了惩治,对其进行了刑事拘留。相关新闻媒体频道对此做出了一系列的报道。到此,虐童事件应当算是得到了圆满解决,但话题的热度并没有随之消减,因为广大网友对虐童者出发结果展开了热议。对此,教育局领导表态一定要正确对待此次事件,立即进驻该幼儿园,协助管理,维持正常的教育秩序,再加逮捕虐童者行动的实施,才真正让此话题的热度消减下来。 其实,从理论的角度来将,虐童事件作为一个网络热点话题,其传播过程符合热点话题传播规律,即:风暴初成——引爆点——进入公共视野——衍生子议题——司法介入——矛盾激化——出发结果热议——领导参与——实施法律
网络攻击与防范实验报告 姓名:_ ___ 学号:__ 所在班级: 实验名称:缓冲区溢出实验实验日期:2014 年11 月9 日指导老师:张玉清实验评分: 验收评语: 实验目的: 1、掌握缓冲区溢出的原理 2、掌握常用的缓冲区溢出方法 3、理解缓冲区溢出的危害性 4、掌握防范和避免缓冲区溢出攻击的方法 实验环境: 主机系统:Windows8 x64位 虚拟机系统:Windows XP(SP3)(IP:192.168.137.128) 溢出对象:war-ftpd 1.65 调试工具:CDB(Debugging Tools for Windows); 开发环境:Visual Studio 2013 开发语言:C语言 缓冲区溢出原理: 在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞username overflow,也就是在用户使用user username这个指令时,如果username 过长就会发生缓冲区溢出。 计算机在调用函数function(arg1,…,argm)时,函数栈的布局如图1所示,首先将函数的实参从右往左依次压栈,即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP 指向当前函数的基地址,ESP指向栈顶,将此时的EBP压栈,然后ESP的值赋给EBP,这样EBP就指向新的函数栈的基地址。调用函数后,再将局部变量依次压栈,这时ESP始终指向栈顶。 另外还有一个EIP寄存器,EIP中存放的是下一个要执行的指令的地址,程序崩溃时EIP的值就是RET。通过构造特殊的字符串,即两两都不相同的字符串,我们可以根据EIP 的值定位RET的位置。 知道了RET的位置以后,我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmp esp来实现跳转。jmp esp指令在内存中的通用地址是0x7ffa4512,可以通过CDB的U 7ffa4512来确定该地址中存放的是否为jmp esp。 jmp esp将EIP指向了esp指向的位置,我们用定位RET的办法同样定位ESP指向的位置,然后用shellcode替换这块字符串,这样计算机就会执行shellcode,从而实现攻击。 当然,我们还可以用其他的指令,如jmp esi,同样得到jmp esi指令在系统内存中的地址,以及esi指向的内存,我们就可以执行shellcode。也可以使用多次跳转。
Expert's Forum 专家观点https://www.doczj.com/doc/f810300377.html, Expert's Forum 专家观点
互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰盛化、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题,正所谓“道高一尺,魔高一丈”,针对各种网络应用的攻击和破坏方式变得异常频繁,安全防护也在不断发展。 本文对当今信息网络安全应用中的攻防热点问题作了较为深入的分析,首先分析了当前网络环境下的主要威胁趋势,重点阐述了新网络时代下主要的网络安全攻击方式,进而从安全博弈的角度探讨了漏洞挖掘的新发展方向,最后阐述了近期主要的安全技术发展趋势和技术热点问题。 1. 信息网络安全威胁的主要 方式 1.1 信息网络威胁的趋势分析 当今的信息化发展及演变已极大改变了人类的社会生活,伴之信息 化快速发展的信息网络安全形势愈加严峻。信息安全攻击手段向简单化综合化演变,而攻击形式却向多样化复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞被利用并进行攻击的综合成本越来越低,而内部人员的蓄意攻击也防不胜防,以经济利益为目标的黑色产业链已向全球一体化演进。表1总结了国内外主要公司及媒体对2009年信息网络安全威胁的趋势分析。 本文主要基于近期安全威胁的主要发展趋势,探讨当前信息网络时代下主要的安全攻击种类及演进模式,分析了目前影响最为常见木马、僵尸网络、蠕虫等恶意软件,无线智能终端、P2P及数据泄露等内部攻击。 1.2 新时期下的安全攻击方式 1.2.1 恶意软件的演变 随着黑色地下产业链的诞生,木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响,针对Web的攻击 成为这些恶意软件新的热点,新时期下这 些恶意软件攻击方式也有了很多的演进: 木马攻击技术的演进。网页挂马成 为攻击者快速植入木马到用户机器中的最 常用手段,也成为目前对网络安全影响最 大的攻击方式。同时,木马制造者也在不 断发展新的技术,例如增加多线程保护功 能,并通过木马分片及多级切换摆脱杀毒
《网络攻击与防范》教学大纲 一、课程的基本描述 课程名称:网络攻击与防范 课程性质:专业课适用专业:计算机、软件、网络 总学时:85学时理论学时:34学时 实验学时:51学时课程设计:无 学分: 3.0学分开课学期:第五或第六学期 前导课程:计算机网络 后续课程: 二、课程教学目标 本课程主要介绍网络攻击的常规思路、常用方法、常见工具,以及针对攻击的网络防御方面常规的防御思路、防御方法和防御工具。通过该课程教学,学生应当: 能够深入理解当前网络通信协议中存在的缺陷和问题,理解当前系统和应用软件中可能潜在的漏洞和问题。了解当前技术条件下网络攻防的思路方法和相应的攻防工具。 培养现代计算机网络环境下,熟练使用各类常见攻防工具的能力,同时培养出查找问题、分析问题和解决问题的能力。 初步培养网络攻防方面的安全意识和危机意识。 三、知识点与学时分配 第一章网络攻防技术概述 教学要点:本章立足网络空间安全,介绍网络攻防的基本概念和相关技术。 教学时数:6学时 教学内容: 1.1 黑客、红客及红黑对抗 要点:了解黑客起源、发展,以及黑客、红客和红黑对抗的相关概念; 1.2 网络攻击的类型
要点:了解主动攻击、被动攻击的相关概念及方式; 1.3 网络攻击的属性 要点:掌握攻击中权限、转换防范和动作三种属性类型,加深对攻击过程的理解; 1.4 主要攻击方法 要点:了解端口扫描的概念及原理;了解口令攻击的概念及三种攻击方式;了解Hash 函数的相关概念,掌握彩虹表的工作原理;了解漏洞攻击的相关概念,以及产生的原因; 了解缓冲区溢出的概念,掌握缓冲区溢出的原理,以及利用缓冲区溢出攻击的过程;了解电子邮件攻击的概念,以及目标收割攻击的工作原理;了解高级持续威胁的概念、特点以及主要环节;了解社会工程学的概念,以及社会工程学攻击的方式、步骤; 1.5 网络攻击的实施过程 要点:掌握攻击实施的三个过程:包括攻击发起阶段可用于分析、评估的属性;攻击作用阶段的作用点判定原则;攻击结果阶段的具体表现评价方式; 1.6 网络攻击的发展趋势 要点:了解云计算及面临的攻击威胁、移动互联网面临的攻击威胁和大数据应用面临的攻击威胁等新应用产生的新攻击方式;了解网络攻击的演进过程和趋势;了解网络攻击的新特点。 考核要求:熟悉网络攻防的相关概念,能识别网络攻击方式及掌握攻击的评估方法。第二章 Windows操作系统的攻防 教学要点:从Windows操作系统基本结构入手,在了解其安全体系和机制的基础上,掌握相关的安全攻防技术。 教学时数:4学时 教学内容: 2.1 Windows操作系统的安全机制 要点:了解Windows操作系统的层次结构;了解Windows服务器的安全模型; 2.2 针对Windows数据的攻防 要点:掌握EFS、BitLocker两种加密方式的原理、实行步骤以及特点;了解数据存储采用的相关技术;了解数据处理安全的相关技术; 2.3 针对账户的攻防
专家新论 本栏目由网御神州科技有限公司协办 44 赵佐,蔡皖东,田广利 (西北工业大学计算机学院,陕西 西安 710072) 【摘 要】僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。【关键词】僵尸网络;异常行为特征;发现机制;监控规则 【中图分类号】TP391 【文献标识码】A 【文章编号】1009-8054(2007) 09-0044-03 Research on technology for Botnet Detection Based on Abnormal Behavior M onitoring Z H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i (S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i ?a n S h a n x i 710072, C h i n a ) 【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s 基于异常行为监控的 僵尸网络发现技术研究 * 0 引言 僵尸网络(Botnet)是指控制者和大量感染僵尸程序(Bot)主机之间形成一对多控制的网络,是近年来危害互联网的重大安全威胁之一。攻击者利用Botnet远程控制大量僵尸计算机(Zombie)作为攻击平台,实施各种恶意行为。由于Botnet能够实施众多攻击行为并从中获取经济利益,Internet上Botnet的数量和规模急剧膨胀,技术日趋成熟和复杂,逐渐发展成规模庞大、功能多样、不易检测的恶意网络,对互联 网的安全构成了不容忽视的威胁。 本文根据Botnet在工作过程各阶段表现出的异常行为特征,提出基于异常行为检测的Botnet发现思路,详细阐述了系统设计及关键技术的实现。 1 僵尸网络结构及其工作过程分析 1.1 僵尸网络结构 Botnet并不是物理意义上具有拓扑结构的网络,可以认为是一个受控逻辑网络[2]。网络架构依据控制和通信方式分为IRC Botnet、AOL botnet和P2P Botnet三大类,现有大多数Botnet都采用IRC协议。典型IRC Botnet结构采用 了命令与控制体系结构,如图1所示。 1.2 Botnet工作过程分析 Botnet工作过程分为传播、加入、等待和控制四个阶段。(1) 传播阶段:Botnet控制者通过几种手段传播Bot控制一定规模的僵尸主机。研究发现,有些Bot具有自动扫描大规模网段,利用系统漏洞和弱口令等手法查找脆弱主机进行传播,传播方式与蠕虫相类似。
新媒体时代下的新闻传播模式与新格局分析 在新媒体时代的环境背景之下,新闻传播的模式以及格局都受到了一定的转变与影响,对此在实际中必须要基于时代发展的环境,对新闻传播模式进行创新发展,进而保障其与新闻时代的媒介传播形式相吻合,保障新闻传播的模式与格局与人们的新闻接受习惯相吻合,进而在根本上提升新闻的整体质量与效果。对此文章主要对新媒体时代背景之下的新闻传播模式进行了简单的探究分析,对新媒体时代发展之下新闻传播模式以及格局进行了全面的分析。 在现代社会电子信息技术的高速发展中,人们早已步入到新媒体时代,在新媒体时代的影响之下,传播的模式以及受众对新闻的接收模式都产生了一定的变化与影响,其整体的新闻传播模式与格局都产生了一定的变化与影响,对此在实际中必需要对新媒体传播模式以及全新的格局进行分析探究。 1.新媒体时代下的新闻传播模式分析 在新媒体时代新闻传播的模式收到了一定的轉变,其主要就是自媒体传播、对新闻的价值与深度进行充分的挖掘、保障新闻发布的模式与读者的实际需求相吻合,这样才可以在根本上推动整个新媒体传播模式以及格局的创新。其具体表现如下: 1.1自媒体传播新模式 在新媒体时代的发展中,自媒体是一种全新的格局与模式,主要就是基于新闻传播互动性、传播主体多样性等特征决定的,对此在实际中要想顺应时代发展,就要将自媒体与新闻报道进行充分的融合,可以专设自媒体传播板块,通过专人扶着,对于一些具有一定价值以及意义的新闻进行跟踪、核实以及报道,在对应的板块中进行颁布,进而对这些新闻有需求的读者提供平台在对一些新闻进行核实之后要对新闻的发布者进行适当的奖励,进而充分的发掘更多的、具有价值的新闻,在根本上推动自媒体的长足发展。 1.2充分的挖掘新闻的深度与价值 在新媒体的影响之下,新闻内容具有同质化的问题,一些自媒体为了提升对读者的吸引力,会播放一些具有哗众取宠以及内容失真的新闻,着直接影响了新闻行业的发展,对此咋新闻媒体时代要想真正的推动新闻行业的发展,必须要开拓全新的格局以及模式,要充分的发掘具有深度以及价值的新闻,进而让读者可以独立思考,让读者可以通过新闻的现象探究其本质,对此在实际中新闻记者以及编辑必须要提升自己的新闻价值发现能力,要始终报道一些对真实的、对社会的发展以及国家稳定具有积极影响的新闻,要避免通过播放各种具有哗众取宠的新闻刺激公众的好奇心,同时在新闻报道过程中必须要充分的彰显其整体的深度,要让人们通过对新闻的分析,及时了解新闻的事实、依据以及背后的原因,对各种新闻事实进行及时的监督以及报道,进而凸显新闻的监督管理职能,为社
网络传播案例分析 一【案情简介】王菲与天涯网名誉权、隐私权纠纷案 王菲与死者姜岩系夫妻关系,双方于2006年2月22日登记结婚。2007年12月29日,姜岩从自己居所的24层楼高处跳楼自杀。姜岩生前在网络上注册了博客,在自杀前2个月,姜岩关闭了自己的博客,但一直没有中断博客的写作并以日记形式记载了自杀前两个月的心路历程,将王菲与案外女性东某的合影照片贴在博客中,认为二人有不正当两性关系,自己的婚姻很失败。姜岩的日记显示出了丈夫王菲的姓名、工作单位地址等信息。姜岩在第一次自杀前将自己博客的密码告诉一名网友,并委托该网友在12小时后打开博客。在姜岩第二次自杀死亡后,姜岩的网友将博客密码告诉了姜岩的姐姐姜红,姜红将姜岩的博客打开。 姜岩的博客日记被一名网民阅读后转发在天涯网中,后又不断被不同网民转发至其他网站上。2008年1月10日,天涯网上刊出《大家好,我是姜岩的姐姐》一贴帖,该帖讲述了姜岩死亡事件的发展经过。王菲认为该帖中如下言辞构成了诽谤:“王菲正与死者的亲人争夺死者遗产”、“是王菲全家把她逼死的,东方恩纳一直住姜岩婆婆家……当时,王菲的父亲和王菲打完电话,她就跳了”。王菲认为网民的如下回复帖子构成了侮辱:“姜岩还被那畜生一家这样刺激过!”,“这种家庭别在找事显眼了,找个洞自己了了吧”、“看那两个鸟男女能否还好下去”、“妈的,跟这种人住的近简直是侮辱了这片土地……从这里滚出去!”;“他们配不上‘人’这个词吧”;“这男的一家都是人渣”;“强烈建议人肉搜索出王菲!王蕾!和他那老王八爹”等。而后王菲对相关网站的帖子进行了保全,花费公证费2050元,也因此事丢掉了工作。天涯网则于2008年3 月15日(王菲起诉前)已及时将《大家好,我是姜岩的姐姐》及相关回复帖子删除。 但王菲诉称:天涯网中出现的《大家好,我是姜岩的姐姐》一帖,捏造事实,对我进行诽谤。其行为给我和家人的生活、工作、名誉造成极为恶劣而严重的影响,因此请求判令天涯公司立即停止侵害、删除天涯网上有关侵权信息,并在天涯网为我恢复名誉,消除影响,赔礼道歉,赔偿精神损害抚慰金2万元,赔偿工资损失4万元,承担公证费用2050元的三分之一。 天涯公司辩称:我公司天涯网上的信息全部是由上网用户发布,并非我公司发布,我公司不应成为本案被告。我公司在王菲起诉前及时删除了天涯网上《大家好,我是姜岩的姐姐》一帖及相关回复,已经履行了监管义务,不存在任何过错,不应承担侵权法律责任。根据《互联网电子公告管理规定》、《互联网信息服务管理办法》及《信息网络传播保护条例》的规定,网站发现有侵权内容存在后及时删除的,不应承担共同侵权责任。根据《互联网电子公告管理规定》,网站应对注册用户提示网站上发布信息需要承担的法律责任。天涯网在用户发帖或回复时都有相应的字体提示以及用户在注册时应当阅读并同意的《天涯社区基本法》及其它相关社区规则。因用户言论导致的侵权责任,应由其自己承担责任,我公司尽到了法定义务,不应承担任何侵权责任。因此不同意王菲的诉讼请求。
学 毕业设计(论文)文献综述 院(系): 专业: 姓名: 学号: 完成日期:
关于网络入侵防范技术研究的文献综述 文献[1]:文献通过大量的实例,以实际应用为基础,全面系统地介绍了Windows操作系统的管理、基于不同操作系统的网络安全管理和网络设备管理等网络管理技术和实现方法。它的主要内容包括网络管理基础、文件和磁盘管理、活动目录及组策略的管理、Windows 2000/2003服务器的日常管理、网络打印机的管理、DHCP服务器的管理、Windows Server 2003证书的应用和管理、网络防病毒系统的部署和管理、SUS和WSUS补丁管理系统的应用、交换机和路由器的基本管理、交换机VLAN的管理、交换机生成树的管理、访问控制列表(ACL)的应用和管理、网络地址转换(NAT)的应用和管理。文献1、2为我们很好的理解网络及它可能存在的漏洞打下基础,并明白由此而衍生的入侵与防范机理。 文献[2]:该文献首先从常用网络接入技术入手,说明了网络的基本概念,对ISO的OSI分层模型和Internet的分层模型进行了比较;然后,按照从低层到高层的顺序,分别说明各层的功能,并对这些层中的应用情况做了详细介绍;最后,对局域网设计的过程和网络安全进行详细说明。 文献[3]:文献从网络安全所涉及的攻击防御正反两个方面入手,在深入剖析各处黑客攻击手段的基础上,对相应的防御对策进行了系统的阐述。无论是攻击还是防御技术,除了介绍必要的基础知识并深入分析其原理外,还介绍了典型工具及操作实例,让我们在攻防技术的实际运用中建立起对网络安全深刻的认识。 文献[4]:文献向读者介绍了有关网络安全技术方面的内容,为了了解黑客在攻击网络时常用的方法,必须要熟悉网络编程技术。它分为两个部分,第一部分主要是网络基础知识和Visual C++网络编程技术,第二部分是本书的核心内容,给我们分析了网络攻击的原理、典型的技术手段,并给出了相应的防范措施和工具。此外,改文献还介绍了网络系统安全漏洞问题、信息加密技术等内容。 文献[5]:文献全面详细地介绍了信息、信息安全、计算机犯罪、计算机病毒、信息保障体系及信息战的基本概念;阐述了计算机病毒的宏观防范策略与病毒寄生环境;着重剖析了典型的计算机病毒机理、病毒的传染机制及触发机制;论述了计算机病毒的检测技术、清除技术和预防机制;穿插介绍了计算机病毒技术和反病毒技术的新动向与发展趋势。通过文献[3],我们可以很清晰的了解到各种病毒的攻击原理及其发展历程。 文献[6]:文献全面、系统地讲述了C语言的各个特性及程序设计的基本方法,包括基本概念、类型和表达式、控制流、函数与程序结构、指针与数组、结构、文件、位运算、标准库等内容。这两本文献让我们对C语言功能之强大,应用之广泛有了深刻的认识。 文献[7]:文献从基本概念、基本技术、技术细节和疑难问题4个角度,分C语言、变量和数据存储、排序与查找、编译预处理等21个专题,收集了有关C程序设计的308个常见的问题。每一问题的解答都配有简明而有说服力的例子程序,相关的问题之间还配有详尽的交叉索引,通过该文献可以迅速完善自己的知识体系,并有效地提高自己的编程水