当前位置:文档之家 › 僵尸网络传播模型分析

僵尸网络传播模型分析

  • 格式:pdf
  • 大小:397.79 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

僵尸网络传播模型研究

僵尸网络传播模型研究
图 1 僵尸程序 的功能模块
常将僵尸程序和蠕虫捆绑 , 利用蠕虫来传播僵尸 程序 , 因此这类僵尸网络继承网络蠕虫的传播特
性 。从 图 1 尸 程 序 的功 能 模 块 中 可 以看 出 , 僵 僵
在受控的前提下僵尸网络 的传播和 网络蠕虫 的传播是相似的。通常 的蠕虫代码都包含三个功 能模块 : 扫描模块、 攻击模块和复制模块 。蠕虫的
n t r fo e o ma y c n r l eai n h p W i h e eo me t fn t o k tc n lg t e s r a fb t es i au e o n - n o t lt s i . t t e d v l p n ew r e h o o y, p e d o o n t s 4 o r o h o h as v li g S u yn h r p g t n c a a t r t s o o n t p e d n n sei g i i t g al y h lo e o vn . t d i g t e p o a ai h r ce si fb t es s r a i g a d ma tr t n e r y a e t e o i c n l p e e u s e o k n o n e - a u e . n u n a c rt r p g t n mo e si e s n i1 T i p p rs mma r r q ii f a i g c u trme s r s a d t sa c u ae p o a a i d l s s e t . hs a e u t t h o a — r e e e i i g b t e r p g t n mo e sa d a ay e h i d a tg sa d d s d a tg s S st r vd e- i s h x s n on t o a a i d l n n lz st era v n a e n i v n a e O a op o i e r f z t t p o a

僵尸程序网络行为分析及检测方法研究

僵尸程序网络行为分析及检测方法研究

华中科技大学硕士学位论文僵尸程序网络行为分析及检测方法研究姓名:冉俊秀申请学位级别:硕士专业:信息安全指导教师:李汉菊20090526华中科技大学硕士学位论文摘要僵尸网络是由多个被植入僵尸程序的主机构成,它往往被用以发起大规模的网络攻击,同时被植入僵尸程序的主机,其信息也面临被泄露的威胁。

无论是网络运行安全还是用户数据安全,僵尸网络都是巨大的安全隐患!因此,有效的检测僵尸程序已经成为当前网络管理亟待解决的问题。

目前僵尸程序的检测主要有基于行为特征的检测技术和基于流量特征的检测技术。

基于行为特征的检测技术能够比较精确的检测僵尸程序的活动,但是处理数据的能力有限;而基于流量特征的检测技术能够处理较大规模的数据量,但是存在较大的误报。

基于网络僵尸程序检测方法能够较好的结合这两种检测技术的优点,有效地检测在较大背景流量中活动的僵尸程序。

由于目前在僵尸程序代码的设计上存在结构化的特性,同一个僵尸网络内的僵尸主机行为和消息在时间和空间上都表现出了极大的关联性和相似性。

分析了僵尸程序的流特征,根据实验结果,设计出了基于轻量级有效载荷协议匹配算法。

然后利用序列假设检验算法对僵尸程序的网络活动进行动态的判定。

基于以上分析,设计并实现了一个原型系统,系统主要包含了三个模块:网络流预处理模块、基于轻量级有效载荷协议匹配模块、序列假设检验分析模块。

为了检测网络中的僵尸活动,首先,网络流预处理模块对网络流量进行监控分析,通过白名单技术过滤掉正常网络流量;然后,使用基于轻量级有效载荷的识别方法检测出疑似僵尸程序通讯的数据包;最后,通过序列假设检验分析模块识别僵尸程序的活动。

为了进行验证,在局域网环境部署了多台有僵尸程序活动的主机,然后利用原型系统对获取的网络流量进行分析处理,分析结果表明能够对局域网内的僵尸活动进行有效检测。

关键词:僵尸程序,网络行为,基于轻量级有效载荷协议匹配算法,序贯概率比检验算法华中科技大学硕士学位论文AbstractBotnets are constituted by many hosts which are infected by bots. Botnets are always used for launching large scale network attack. Meanwhile, the infected hosts encounter the thread of information revelation. Botnets are serious hidden danger for both network running security and user data security. Thus, detecting botnets effectively is urgent for nowadays network management.Currently, research of botnet detecting is mainly focus on behavioral characteristics and flow characteristics. Behavioral characteristics based detecting technology can detect bots accurately, but its data processing ability is limited. Flow characteristics based detecting technology can process large scale data, but its false alarm rate is a little high. The method discussed in this paper combine the advantages of these two methods and can effectively detect botnet activities in large background trafic.Analyzing flow characteristics of Botnet, within the same botnet will likely demonstrate patial-temporal correlation and similarity because of the structured nature of Botnet. Design a protocol matching algorithm based on light-weight payload according to the experimental results. And then determine network behavior of bots using the sequential probability ratio test algorithm.Due to above research, A prototype system is designed and implemented, which contains three main modules: network flow preprocessing module, protocol matching module based on light-weight payload, and analysis module based on sequence probability ratio test algorithm. First of all, filter out known flow which can not be botnets flow through whitelist technology; Secondly, identify suspicious botnets C&C flow in the remaining flow by using the light-weight payload technology; Finally, identify bots activities by using sequential probability ration testing algorithms.In order to test and verify the method discussed in this paper, arrange several hosts containing bot activities, then analysis and process the captured network flow by using the prototype system. The result shows that the method can detect bot activities in LAN effectively.Keywords: bots, network behavior, protocol matching algothrim based on light weightpayload, sequential probability ratio tesing algorithm独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。

僵尸网络的威胁与解决策略

僵尸网络的威胁与解决策略

僵尸网络的威胁与解决策略1引言僵尸网络是2005年国际网络安全领域的重点研究对象,其英文也叫botnet,bot是rebot(机器人)的缩写,botnet意为受控制的,可以自动发起攻击的网络,其中的bot就是僵尸程序,只有种植了bot的计算机才可以叫做僵尸计算机;因此,僵尸网络可以描述为由众多被同一攻击者通过互联网秘密植入控制程序的可以被集中控制的计算机群。

僵尸网络是黑客攻击手段和病毒、恶意代码等发展到一定程度,必然会出现的一种结合了各种技术特点的新攻击方式。

它具有DDOS攻击的网络结构,同时具有木马的可控性和蠕虫病毒的大面积传播性。

2僵尸网络的结构与安全威胁2.1僵尸网络的结构Bot程序很早就存在,且是作为网络管理员辅助程序出现的,这种程序可以自动完成一些固定的操作,oicq自动回复聊天的程序模块,也可以叫做聊天bot。

但后来人们发现,把这种思想和木马结合起来,就成为“主动联网的可远程控制他人”的程序,这就直接导致了botnet的出现。

最早是采用IRC协议和b0t技术结合,利用IRC聊天服务器来控制僵尸计算机构成僵尸网络,现在也逐渐出现了AOLbot和P2Pbot,使得僵尸网络越来越隐蔽,潜在的危害也越来越大。

图2-1基于IRC协议的僵尸网络结构可以看出僵尸网络由三部分构成:被植入bot程序的计算机群,也叫僵尸计算机(客户端),会主动联系IRC服务器;一个或者多个控制服务器,多是互联网中的公共服务器,如IRC聊天室服务器,通过它们控制者的命令可以被迅速下达;攻击者的控制终端,用来向整个僵尸网络发出指令。

2.2僵尸网络的形成目前最常见的僵尸网络都是基于IRC协议的,这个应用层协议给人们提供了一个IRC的服务器和聊天频道进行相互的实时对话。

IRC协议采用C/S模式,用户可以通过客户端连接到IRC服务器,并建立、选择并加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。

基于加权网络的僵尸网络传播模型研究

基于加权网络的僵尸网络传播模型研究
的主机 , 导致僵尸 网络 的规模迅 速扩 张。相 比传 统 网络 安全威
胁, 僵尸 网络更 显复杂 和严 重。据( 2 0 1 1年我 国互 联 网网络安 全 态势综述 》 报告 , 2 0 1 1年 , C N C E R T全年共 发现 近 8 9 0万余个
境 内主机 I P地址感染 了木 马或僵 尸程 序 , 较2 0 1 0年大 幅增 加 7 8 . 5 %。自1 9 9 3年 , 第 一个 良性僵尸程序 E g g d r o p 的出现 , 到
际的僵尸 网络传播情形 。 为准确地描述现实中的各种 网络 , 从开始的随机图模型 、 规 则 网络到小世界网络 , 再从无标度网络模型到加权网络模型 , 网 络理论的发展是基于实际网络的拓扑特征进行 的。小世界 网络 概念的提 出, 弥补 了规则 网络演化过程 中具有 长平均 和随机 网
t e r i s t j c s 0 f a b o t ne t i n a c t ua 】ne t wo r k s.
Ke y wo r d s
We i g h t e d n e t w o r k s Bo t n e t T o p o l o g i e s t r u c t u r e P r o p a g a t i o n c h a r a c t e r i s t i c s
Ca o Xi a o l i Ni u Zh i l i ng
( D e p a r t m e n t o f h  ̄ o n n a t i o u E n g i n e e r i n g, He n a n P o l y t e c h n i c , Z h e n g z h o u 4 5 0 0 4 6, H e n a n ,C h i n a)

无尺度网络下具有免疫特征的僵尸网络传播模型

无尺度网络下具有免疫特征的僵尸网络传播模型

( . e aoaoyo i u nV u l o p t g& Vr a el) C lg o p t , i unN r l nvrt, hnd 10 8 C ia r K yL brtr c a i a m ui 1 fS h s C n iu l a#, oeefC m ue Sc a oma i sy C eg u6 06 , hn t R , l o r h U ei 2Istt o o p t gTcnl y hnsAcdm 厂 c ne, eig10 8 ,C ia .ntuefC m ui ehoo ,C i e a e yD Si c B in 0 0 0 hn ) i n g e e s j
关键 词 :无尺度 网络 ;僵尸 网络 ;僵 尸程 序 ;易感染 主机 ;传播模 型 ;免 疫特征 中图分类 号 :T 3 3 P 9 文献标 志码 :A 文章 编号 :10 —6 5 2 1 ) 3 12 —4 0 1 3 9 ( 0 2 0 -0 8 0
d i1 .9 9 ji n 1 0 -6 5 2 1 .3 0 2 o:0 3 6 /.s .0 13 9 .0 2 0 . 6 s
量僵 尸 主 机 , 通 过一 对 多 的命 令 和 控 制信 道 所组 成 的 网 并
0 引言
无尺度 网络 中各个节 点的度分 布服从 幂律分布 。在 无尺
络 。在僵 尸网络 初 步建立 以后 , 击者 就可 以控 制受 害 主 攻 机在接收其命令 的情况 下继续传播 僵尸程 序。当受 害主机 的
第2 9卷 第 3期
21 0 2年 3月
计 算 机 应 用 研 究
Ap l a in Re e r h o o u es p i t s a c f C mp tr c o

僵尸网络综述

僵尸网络综述

纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集・哈尔滨2006尸)14】,IRCBot就会自动连接到指定的IRC频道等候命令,这样由许多已被攻陷的,可在一个IRC频道被远程控制的主机组成的网络结构,叫作IRCBotnet(僵尸网络)。

虽然IRC协议作为实现Botnet的协议不是最好的,但由于lRC服务器可以免费获得并且容易搭建,许多攻击者又有几年的IRC通讯经验,IRC协议是目前最流行的Bomet通信协议。

2Botnet结构、形成及功能2.1Bomet结构由IRCBot组成的IRCBotnct(以下称Botnet)的结构如图2.1【5l:图2.1Botnet结构其中IRCBot模拟IRC客户端,使用IRC协议与IRC服务器进行通信,IRCBot至少要模拟以下命令12]:(1)NICK和USER:用于标志用户和用户所属主机,相当于一个ID。

(2)PASS:设置和发送口令。

(3)JOIN#Channel:加入频道。

(4)MODE:修改频道模式。

(5)P1NG和PONG:维护与服务器的连接,当用户空闲时,服务器端向用户发送PING,用户回应PONG,表示客户端存活。

(6)PRIVMSG:向频道或者用户发送消息。

(7)DCCSEND:发送文件。

2.2Bo仃let的形成及控制攻击者首先通过编写新的Bot或者修改现有的Bot得到将要投放的Bot,然后攻击者扫描某段网络,如C段网,一旦发现目标,攻击者就对目标进行探测和攻击,通常扫描的端口集中在以下几个端口,如表2.1161:表2.1端口服务对照表端口相关服务TCP/80HttpTCP/139CIFSTCP/445CIFSUDP/137NctBl0SUDP/1434MSSQLServer攻击者利用被扫描主机的漏洞,通常这个过程利用某种蠕虫进行攻击。

获得管理员权限。

如果成功攻陷主机,攻击者把编写好的Bot工具利用TFTP、FTP、HTTP或者Csend(IRC用来给其他用户发送文件的一个扩展,可比于DCCSEND)上传到主机。

僵尸网络 (最终版)

僵尸网络 (最终版)
自动连接检测的判断规则为: if Tpi<Tt∧S=true∧F=yes,then pi ∈Puser,or pi ∈Pauto
DNS 反应行为分析
进程的 DNS 反应行为: 指的是进程进行DNS 查询活动以及对查询结果的反应事件构 成的事件序列,其中反应事件指的是使用 DNS查询中涉及的 IP地址尝试建立连接的行为及结果。
召集与保护
召集:僵尸网络客户端首次发起与僵尸命令与控制(Command and Control,
C&C)服务器联系。主要目的是让傀儡牧人知道其已经加入僵尸网络。
通信:不同的僵尸网络采用不同的网络协议来构建C&C信道
协议
➢ IRCP (Internet Relay Chat Protocol,因特网中继聊天); ➢ HTTP(HyperText Transfer Protocol,超文本传输协议); ➢ P2P(peer-to-peer)。
僵尸网络的保护措施:
对抗反病毒模块:保护新僵尸机以防被删除。
例子:半分布式P2P僵尸网络
从半分布式 P2P 僵尸程序(bot 程序)植入受控主机,到组建成完整的半分布式 P2P Botnet,共经过了以下几个阶段:
僵尸网络命令与控制机制
自身安全性
• 隐蔽性和匿名性 • 加密机制 • 认证机制 • 网络发现机制
记录时间间隔T内待检测 进程的DNS反应行为
提取特征值H(Sd)和rate
用训练得到的分类器 进行检测
判断是否为僵尸进程
检测过程
图 DNS反应检测流程图
僵尸程序检测算法
僵尸程序数据收集
序号 Bot1 Bot2 Bot3 Bot4 Bot5 Bot6 Bot7 Bot8

僵尸网络研究1

僵尸网络研究1
僵尸网络研究
民硕四班:刘倩
一、引言
1.1、僵尸网络的发现
僵尸网络是近年来兴起的危害互联网网络安全 重大安全威胁之一。据CNCERT/CC统计,中国内 地被控僵尸网络数量全球排名第一,2005年发现 的规模超过5000台的僵尸网络达143个,2006年 上半年发现的规模超过5000台的僵尸网络数量达 188个。这些僵尸网络的控制服务器很多位于国 外,对我公共互联网的安全造成了严重的威胁。
2) AOL botnet。 与IRC bot类似,AOL为美国在线提供的一种即时通信服 务,这类botnet是依托这种即时通服务形成的网络而建 立的,被感染主机登录到固定的服务器上接收控制命令。 3) P2P botnet。 该类botnet中使用的bot程序本身包含了P2P的客户端, 可以连入采用了Gnutella技术(一种开放源码的文件共 享技术)的服务器,利用WASTE文件共享协议进行相互 通信。由于这种协议分布式地进行连接,就使得每一个 僵尸主机可以很方便地找到其他的僵尸主机并进行通 信,而当有一些bot被查杀时,并不会影响到botnet的生 存,所以这类的botnet具有不存在单点失效但实现相对 复杂的特点。Agobot和Phatbot采用了P2P的方式。
3.2Botnet的跟踪
3.3Botnet的检测方法
3.3.1 行为特征统计分析的检测方法
僵尸网络有其自身无法避免的弱点,就其产生的异常行为 也具有一定的规律性。可供统计的bot-net一些异常行为规律 性包括: IRC服务器隐藏信息、长时间发呆(平均回话时长3. 5 小时),昵称的规律性,扫描,频繁发送大量数据包(每个客户端每 秒至少发生5~10个包),大量陌生的DNS查询,发送攻击流量,发 送垃圾邮件,同时打开大量端口,传输层流特征, 特定的端口号 (6667, 6668,6669, 7000, 7514)等。通过对上述特征的归纳 总结,形成了可以用来判断基于IRC协议的botnet的服务器端 的规则。利用该规则,就可以针对僵尸网络异常行为特征直接 确定出botnet的位置及其规模、分布等性质,为下一步采取应 对措施提供有力的定位支持。 AT&T实验室的AnestisKarasaridis等人提出一种针对僵尸 网络异常行为特征在ISP骨干网层面上检测和刻画僵尸网络 行为的方法。

僵尸网络

僵尸网络
[2] Hongling Jiang. Dw dependency in C&C traffic. Springer Science+Business Media, LLC 2012
[3] Jiang J, Zhuge JW, Duan HX, Wu JP. Research on botnet mechanisms and defenses. Journal of Software, 2012,23(1): 82-96.
(1)预先指定IP地址 (2)动态DNS域名 (3)P2P (4)Fast-Flux网络
通信协议
• 通信协议是BOT与C&C服务器通信的方 式
(1) HTTP (2) IM (Instant Messaging 即时通讯协议) (3) IRC (4) P2P
僵尸网络检测技术
1 包检查
僵尸网络 检测技术
PrettyPark,第一个恶意的使用IRC 作为控制协 议的Bot。
僵尸网络的演化历程
僵尸网络的危害
• 几乎所有的DDoS攻击 • 80%到95%垃圾邮件 • 直至2011年初,Rustock僵尸网络已感染130多万个
IP地址,每天发送超过300亿封垃圾邮件。
工作流程
•漏洞攻击 •邮件携带 •即时消息 •网站挂马 •网络共享
实验结论
(1) 僵尸网络的流间具有关联关系。 (2) 僵尸网络的流间关联关系的置信度较高。 (3) 僵尸主机相同节点的比例P越大, 检测率越高。 (4) 利用层次聚类能判断被测网络中是否具有僵尸网络。
参考文献
[1] Junjie Zhang.Detecting Stealthy P2P Botnets Using Statistical Traffic Fingerprints. Dependable Systems & Networks (DSN), 2011 IEEE/IFIP 41st International Conference

基于无尺度网络的僵尸网络传播模型

基于无尺度网络的僵尸网络传播模型
第3 8卷 第 5期
、0 . 8 ,13






21 0 2年 3月
M ac 0 2 rh 2 1 m utrEn i e rng
安全技术 ・
文 缩号 1 0- 2( 1o o2 _ 文 标 码: 章 } 0 _3 8 o ) — l . 3 0_4 2 2 5 6 0 献 识 A
[ sr c| h isem rp g t nmo es a o x c ydsr e o teb tsra nIt n tT le ipo lm, e rp gt n Abtat T e nt a po aai d lcnn t at eci w os pedo e e. os v s rbe an wpo a a o ma r o e l bh h nr o t h i
中 分 号: P 3 圈 类 T3 9
基 于无 尺度 网络 的僵 尸 网络 传 播 模 型
欧阳晨基 ,谭 良 ,朱 贵琼
(. 1 四川 师范 大学计 算机 学院可视 化计算与虚拟现实四川省重点实验室,成 都 60 6 ;2 中国科学院计算技术研究所 ,北京 10 9 ) 10 8 . 0 10
Chn d 10 8Chn ; .ntueo o uigTc n lg , hn s a e f cecsBe ig10 9 , hn) eg u6 0 6 , ia 2 Istt f mp t eh oo y C iee i C n Acdmyo in e, in 0 10 C ia S j
律和感染特性 。
关羹 词 :无尺度 网络 ;僵尸 网络 ;僵尸程序 ;传播模型
Pr p g to o e f t e s d 0 c l ・r eNe wo k o a a in M d l n t 0 Bo Ba e n S a e f e t r

5 具有网络流量阻塞特征的僵尸网络传播模型

5 具有网络流量阻塞特征的僵尸网络传播模型

美国,成为最大的僵尸网络受害国。国家计算机 网络应急技术处理协调中心(CNCERT)2008 年 上半年抽样监测[2], 发现我国大陆约有 2 百多万 个 IP 地址的主机被植入僵尸程序,2009 年上半 年抽样监测数据统计[3],我国境内被僵尸网络控 制的主机 IP 共 83.7 万余个。 僵尸网络给攻击者带 来的巨大经济利益吸引着更多的网络黑客,其对 网络安全的威胁日益加重。 僵尸网络的发现、监测和预防成为国内外研 究者所共同关注的热点。 经过 CNCERT 组织通信 行业持续开展僵尸网络专项打击行动以及常态化 治理活动,2010 年上半年数据显示[4],中国大陆 地区有 233335 个 IP 地址被僵尸程序所控制与去 年上半年相比下降 47%。而僵尸网络传播模型是 发现、监测以及预防僵尸网络的基础。因此,对 僵尸网络传播模型的研究具有重要意义。文献[7] 根据半分布式 P2P botnet 的构造原理结合经典的 蠕虫传播 SEM 模型提出了半分布式 P2P botnet 的 增长模型;文献[8]考虑到计算机关机后就进入非 易感染状态和僵尸网络在僵尸主机的感染过程中 存在的区域性趋向两个因素,提出了一个基于时 区的僵尸网络传播模型。但是这些模型没有考虑 到网络流量阻塞因素。由于僵尸程序在传播、感 染和攻击的过程中将造成大量的通信流量,这些 流量会对真正的网络造成流量阻塞以及路由器的 死机或重启【9】 。这将对僵尸网络的传播和感染 的速度以及主机能否成功加入僵尸网络都有相当 大的影响。而目前这些僵尸网络传播模型并不能 反应这一特征。 本文将结合考虑已有的影响因素的前提下, 提出一种考虑网络流量阻塞的新型僵尸网络传播 模型, 该模型基于 Internet 的实际情况, 重点考虑 了僵尸程序在传播过程中的网络流量阻塞因素。 本文在第二部分将介绍目前存在的僵尸网络的传 播模型以及其缺点;第三部分详细分析新的传播 模型,并进行了仿真实验。第四部分对新的僵尸

僵尸病毒网络研究报告

僵尸病毒网络研究报告

僵尸病毒网络研究报告一、僵尸病毒网络概念简介僵尸病毒网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

如图1表示:在Botnet的概念中有这样几个关键词。

“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)协议进行控制的Botnet 中,就是指提供IRC聊天服务的服务器。

僵尸网络是一种由引擎驱动的恶意因特网行为:DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。

DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。

DDoS 攻击并不是新鲜事物。

在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。

僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

二、僵尸病毒网络特点1.是一个可控制的网络,但并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

僵尸病毒被人放到计算机时机器会滴滴的响上2秒。

2.这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。

如图:2-1表示3.Botnet的最主要的特点,是可以一对多地执行相同的恶意行为。

在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。

解读“僵尸网络”

解读“僵尸网络”

解读“僵尸网络”Botnet(僵尸网络),是20世纪90年代末兴起的危害互联网的产物,近年来已形成重大安全威胁之一。

首先介绍了僵尸网络的概念,使得读者了解什么是僵尸网络。

从概念出发,分析了僵尸网络的工作过程以及分类及危害。

从而涉及到如何防御僵尸网络。

综合以上几点,得出结论,如今的僵尸网络日益隐蔽,并可成为扩大犯罪组织的一个平台,它通过大量的恶意软件在其中协调。

随着新安全技术的兴起,IT管理人员可从新一代的防御体系中获益。

标签:僵尸网路;DDoS攻击;防御Botnet(僵尸网络),是20世纪90年代末兴起的危害互联网的产物,近年来已形成重大安全威胁之一。

指的是由一批受恶意软件感染的计算机组成的网络,它允许网络罪犯在用户不知情的情况下,远程控制这些受感染机器。

被感染的计算机受控于僵尸网络的控制中心,而控制中心一般通过IRC(因特网中继聊天)频道、网页连接或者其他一切可用的联网方式与受控计算机连接。

僵尸网络制造者通过僵尸网络实施DDoS攻击、窃取机密信息、发送垃圾邮件、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件等方式以达到盈利的目的。

僵尸网络,首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。

最后一点,也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。

认识僵尸网络攻击和防范僵尸攻击

认识僵尸网络攻击和防范僵尸攻击

认识僵尸网络攻击和防范僵尸攻击我们在应对僵尸网络攻击的时候,首先套做的就是了解什么是所谓的僵尸网络。

僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段,将僵尸程序感染给大量主机,从而在控制者和被感染主机之间形成的一个可一对多控制的网络。

这些被感染主机深陷其中的时候,又将成为散播病毒和非法侵害的重要途径。

如果僵尸网络深入到公司网络或者非法访问机密数据,它们也将对企业造成最严重的危害。

一、僵尸网络的准确定义僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。

根据最近的一份调查,网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。

感染之后,这些主机就无法摆脱bot所有者的控制。

僵尸网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵尸网络的成熟度。

通常,一个大型僵尸网络拥有1万个独立主机,而被感染主机的主人通常也不知道自己的电脑通过IRC(Internet Relay Chat)被遥控指挥。

二、新型僵尸网络的特点2009年,一些主要的僵尸网络在互联网上都变得更加令人难以琢磨,以更加不可预测的新特点来威胁网络安全。

僵尸网络操纵地点也比以前分布更广。

它们采用新技术提高僵尸网络的的运行效率和灵活机动性。

很多合法网站被僵尸网络侵害,从而影响到一些企业的核心竞争力。

最新型的僵尸网络攻击往往采用hypervisor技术。

hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。

hypervisor可以分别控制不同主机上的处理器和系统资源。

而每个操作系统都会显示主机的处理器和系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。

僵尸网络攻击所采用的另外一种技术就是Fast Flux domains。

这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。

僵尸网络的发展历程及研究现状

僵尸网络的发展历程及研究现状

僵尸网络的发展历程及研究现状随着僵尸网络快速发展,成为国内乃至全世界的网络安全领域最为关注的危害之一。

对于僵尸网络的研究人员也越来越多。

在本篇文章中,叶子将讲述僵尸网络的发展历程,以及国内外对僵尸网络的研究现状。

在早期的IRC聊天网络中,管理员为了防止频道被滥用,更好地管理权限、记录频道事件等一系列功能,编写了智能程序来完成这一系列的服务。

于是在1993 年,在IRC 聊天网络中出现了Bot 工具——Eggdrop,这是第一个bot程序,能够帮助用户方便地使用IRC 聊天网络。

这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot 工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。

Botnet是随着自动智能程序的应用而逐渐发展起来的。

20世纪90年代末,随着分布式拒绝服务攻击概念的成熟,出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo,攻击者利用这些工具控制大量的被感染主机,发动分布式拒绝服务攻击。

而这些被控主机从一定意义上来说已经具有了Botnet的雏形。

1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道,也成为第一个真正意义上的bot程序。

随后基于IRC协议的bot 程序的大量出现,如GTBot、Sdbot 等,使得基于IRC协议的Botnet成为主流。

2003 年之后,随着蠕虫技术的不断成熟,bot的传播开始使用蠕虫的主动传播技术,从而能够快速构建大规模的Botnet。

著名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。

同年出现的Phatbot 则在Agobot 的基础上,开始**使用P2P 结构构建控制信道。

至于目前网络上流传的bot,更是各种情况传播手段的混合体,如结合病毒、木马、蠕虫、间谍软件、搜索引擎等传播手段。

僵尸网络传播模型分析-计算机工程与应用

僵尸网络传播模型分析-计算机工程与应用

2013,49(1)1引言最简单的访问和使用范围广泛的互联网络,使其成为恶意代码攻击的一个主要目标,其中随着僵尸网络的快速盛行,互联网正面临着日益增加的威胁,并且中国已经成为受僵尸网络危害最大的国家。

僵尸网络是由传统的网络攻击方式进化而来的,与传统的网攻击方式相比,其最大的特点是可以通过一台BotMaster 作为服务器,控制构建好的整个僵尸网络中的主机来实施网络攻击并获取利益,使僵尸网络的控制者以极低的代价控制大量的网络资源为其服务;僵尸客户端在黑客很少或不插手的情况下协同合作,共同完成一个任务[1]。

2002年以前的僵尸程序中的僵尸客户端都不具备直接自我传播的能力,而是利用社会工程学手段实施攻击。

俄罗斯程序员Sd.编写的易于修改和维护的SDbot 诞生并公开源代码是僵尸网络发展史上最重要的一步,SDbot 不再只是利用社会工程学的手段来进行攻击,而是利用服务器的漏洞来使用远程控制后门攻击。

随着僵尸网络的发展其传播途径呈现出多样化(电子邮件携带的有毒附件、有毒的网址链接、即时通信中的垃圾邮件攻击、网络钓鱼隐藏的下载等等),其功能也日益强大:关闭反病毒程序和监控程序,躲避防火墙的过滤,扫描特定的漏洞,隐藏自身进程等,造成的网络危害也多样化(阻止用户访问系列网址、信息窃取、垃圾邮件、网络钓鱼、分布式拒绝服务、恶意广告等等),给社会带来的经济损失更是难以计算。

2010年12月1日公安部在人民日报的《正常主机变身僵尸网络服务器曝中国十大黑客案例》[2]一文中公布了一批破坏的打击黑客攻击破坏活动的典型案例及其造成的危害。

僵尸网络传播模型分析成淑萍1,谭良1,2,黄彪1,欧阳晨星1CHENG Shuping 1,TAN Liang 1,2,HUANG Biao 1,OUYANG Chenxing 11.四川师范大学计算机学院四川省可视化计算与虚拟现实重点实验室,成都6100682.中国科学院计算技术研究所,北京1000801.Key Lab of Visualization in Scientific Computing and Virtual Reality of Sichuan,College of Computer,Sichuan Normal University,Chengdu 610068,China2.Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100080,ChinaCHENG Shuping,TAN Liang,HUANG Biao,et al.Botnet propagation modeling and puter Engineering and Applications,2013,49(1):107-111.Abstract :In order to make the Botnet propagation modeling is more in line with the spread of the Botnet Internet characteristics.This paper analyzes the propagation characteristics of Botnet based on the SIR mode,considers the network traffic congestion and existing immune host in the process of the spread of bots,puts forward a new propagation modeling of Botnet,and conducts simula-tion experiment.The results of the software simulation show that the new Botnet propagation modeling is more accord with Internet network characteristics,and makes for the analysis of the Botnet communication behavior and forecasting the trend of spread.Key words :network security;Botnet;propagation model;network traffic congestion;immunity摘要:为了让僵尸网络传播模型是更符合Internet 中的僵尸网络的传播特性,基于简单病毒传播模型深入分析僵尸程序的传播特性,考虑了僵尸程序在传播过程中存在的网络流量阻塞、提前免疫主机和感染后免疫主机等因素,提出了一个新的僵尸网络传播模型,并进行了仿真实验。

基于无尺度网络的僵尸网络传播模型

基于无尺度网络的僵尸网络传播模型

基于无尺度网络的僵尸网络传播模型欧阳晨星;谭良;朱贵琼【摘要】The mainstream propagation models can not exactly describe how the bots spread on Internet. To solve this problem, a new propagation model of Botnet on scale-free network is proposed, which considers carefully about the real situation of Internet, especially two key factors including growth and preferential attachment, so it can reflect the scale-free feature of actual Internet. Simulation result indicates that propagation model of Botnet on scale-free network more exactly confirm with the propagation principle and the inflection feature of Bot on actual Internet.%主流传播模型不能准确反映僵尸程序在Internet中的传播特性.针对该问题,提出一种基于无尺度网络结构的僵尸网络传播模型.该模型考虑了Internet网络的增长特性和择优连接特性,能够反映实际网络中的无尺度特性,更符合真实Internet网络中僵尸程序的传播规律和感染特性.【期刊名称】《计算机工程》【年(卷),期】2012(038)005【总页数】4页(P126-128,132)【关键词】无尺度网络;僵尸网络;僵尸程序;传播模型【作者】欧阳晨星;谭良;朱贵琼【作者单位】四川师范大学计算机学院可视化计算与虚拟现实四川省重点实验室,成都610068;四川师范大学计算机学院可视化计算与虚拟现实四川省重点实验室,成都610068;中国科学院计算技术研究所,北京100190;四川师范大学计算机学院可视化计算与虚拟现实四川省重点实验室,成都610068【正文语种】中文【中图分类】TP3931 概述僵尸网络是攻击者出于恶意的目的,通过各种手段传播僵尸程序,控制被感染的主机,并建立命令和控制信道的网络[1]。

僵尸网络介绍

僵尸网络介绍

感染阶段 : 一旦安装到系统,这个恶意软件负载就使用各种 技术感染机器和隐藏自己。僵尸电脑感染能力的 进步包括隐藏感染的技术和通过攻击杀毒工具和 安全服务延长感染寿命的技术等。杀毒工具和安 全服务一般能够发现和清除这种感染。僵尸网络 使用当前病毒使用的许多标准的恶意软件技术 一般都是通过蠕虫做为负载进行感染.
Phatbot
匿名
2004
Rbot/rxbot
Nils Ra cerX9 0等
SDbot的后代,
2004
Gaobot
匿名
第一类Bot,使用多种手段传 播 使用HTTP 协议做命令和控制 机制。
2004.5
Bobax
匿名
• 4.更好的伪装和隐藏方式 为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注 重病毒的隐藏方式。 • 5.技术更加先进 一些蠕虫病毒与网页的脚本相结合,利用VB Script、Java、 ActiveX等技术隐藏在HTML页面里。当用户上网浏览含有 病毒代码的网页时,病毒会自动驻留内存并伺机触发。还 有一些蠕虫病毒与后门程序或木马程序相结合,比较典型 的是"红色代码病毒",它会在被感染计算机Web目录下的 \scripts下将生成一个root.exe后门程序,病毒的传播者可 以通过这个程序远程控制该计算机。这类与黑客技术相结 合的蠕虫病毒具有更大的潜在威胁。
IRC协议
IRC为因特网在线聊天协议. IRC 协议基本利用 TCP/IP 网络协议系统开发,然 而它并没有要求 TCP/IP 是其唯一的运行环境。 IRC 是一种文本协议,它仅要求用户有一个简单 端口程序能与服务器连接。
IRC的简单理解
假设, A 与 B 要交谈. 如果不采用中转, 那么 A 直 接建立一条到达 B 的通信隧道, 二者通过这条通 信隧道进行信息交流, 信息流的方向为: A→B 和 B→A; 如果采用中转, 则需要有一个第三方来担任 中转角色, 设为 C, A 建立一条到达 C 的通信隧道, B 也建立一条到达C 的通信隧道, 然后 A 与 B 通 过 C 来间接进行通信, 信息流的方向为:A→C→B 和 B→C→A . C 就起着 A 与 B 间的中转站的作用. 中转有什么优点呢? 中转的最大优点是使"群聊"能 够方便地进行. 恰当地说, 中转模式为信息广播提 供了方便.

僵尸网络样本

僵尸网络样本

僵尸网络样本随着互联网的快速发展,网络安全问题也日益严峻。

其中,僵尸网络作为一种隐蔽性较强的网络攻击方式,给人们的生活与工作带来了巨大的危害。

因此,对僵尸网络样本的研究与分析变得尤为重要。

本文将围绕僵尸网络样本展开讨论,介绍其定义、特征及对策。

一、僵尸网络样本的定义僵尸网络样本是指通过特定的手段,将一台或多台计算机感染并操控,形成一个网络的恶意软件样本。

这些感染的计算机被控制后,会在未经用户授权的情况下执行各种网络攻击活动,如传播恶意软件、发起DDoS攻击等。

通过阅读样本的源码或进行恶意软件分析,可以从中找出僵尸网络的痕迹。

二、僵尸网络样本的特征1.潜伏性高:僵尸网络样本通常具有较高的潜伏性,可以隐藏在被感染计算机的系统文件中,不易被发现和清除。

2.多样性:僵尸网络样本的形式多种多样,可以是病毒、蠕虫、木马等各种恶意软件形式。

3.远程控制:僵尸网络样本通过特定的控制服务器与黑客进行通信,接受指令并执行相应的恶意操作。

4.扩散性强:一旦一台计算机感染了僵尸网络样本,它可以通过网络传播自身,感染更多的计算机,形成庞大的僵尸网络。

5.隐蔽性高:僵尸网络样本具有自我隐藏和自我保护的能力,能够规避常见的安全防护机制,如杀毒软件和防火墙。

三、对僵尸网络样本的应对策略1.杀毒软件升级:定期更新杀毒软件的病毒库,并进行全盘扫描,及时清除感染的僵尸网络样本。

2.系统补丁更新:定期安装操作系统和应用软件的补丁程序,以修复已知漏洞,降低被僵尸网络攻击的风险。

3.增强用户安全意识:提高用户对网络安全的关注度,加强密码管理,避免点击可疑链接或下载不明文件。

4.网络监测与入侵检测系统:部署网络监测系统和入侵检测系统,及时捕获僵尸网络样本的传播活动,并采取相应的措施进行阻断。

5.加强跨机构合作:建立跨机构的信息共享平台,加强僵尸网络样本的信息共享与分析,形成联防联控的工作机制。

综上所述,僵尸网络样本作为一种具有潜伏性高、远程控制、扩散性强的恶意软件,给网络安全带来了巨大的威胁。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。