僵尸网络及检测技术探索

格式：docx
大小：11.40 KB
文档页数：7

下载文档原格式

/ 7

网络安全中的僵尸网络解析

网络安全中的僵尸网络解析随着互联网的普及和发展，网络安全问题日益凸显。

其中，僵尸网络作为一种常见的网络安全威胁，给用户和企业带来了巨大的风险和损失。

本文将对僵尸网络进行解析，探讨其特点、形成原因以及防范措施，以期为广大用户提供更全面的网络安全知识。

一、僵尸网络的特点僵尸网络，又称为僵尸网络病毒、僵尸网络木马等，是指一种通过感染大量计算机并控制其行为的网络威胁。

其特点主要体现在以下几个方面：1. 隐蔽性：僵尸网络采用了多种手段进行感染，如电子邮件附件、恶意链接、软件漏洞等。

感染后，僵尸主机会在用户不知情的情况下悄然运行，难以被发现。

2. 控制性：僵尸网络的攻击者可以通过控制僵尸主机来实施各种恶意行为，如发送垃圾邮件、发起分布式拒绝服务攻击、窃取用户敏感信息等。

攻击者通过控制大量僵尸主机，形成庞大的攻击能力。

3. 蔓延性：僵尸网络采用自动化传播方式，感染一台主机后，会通过网络自动搜索和感染其他易受攻击的主机，形成传播链。

这种蔓延性使得僵尸网络的规模不断扩大，威胁范围越来越广。

二、僵尸网络的形成原因僵尸网络的形成与以下几个因素密切相关：1. 操作系统和软件漏洞：操作系统和软件的漏洞是僵尸网络感染的主要途径。

攻击者利用这些漏洞，将恶意代码注入到用户计算机中，从而实现对计算机的控制。

2. 用户安全意识薄弱：用户在使用互联网时，经常存在安全意识不强的问题。

对于电子邮件附件、来路不明的链接等潜在风险，用户缺乏警惕性，从而成为僵尸网络的感染源。

3. 缺乏有效的安全防护措施：许多用户在使用计算机时缺乏有效的安全防护措施，如不及时更新操作系统和软件补丁、缺乏杀毒软件和防火墙等。

这些安全漏洞为僵尸网络的传播提供了条件。

三、防范僵尸网络的措施为了有效防范僵尸网络，用户和企业可以采取以下措施：1. 加强安全意识培训：用户应加强对网络安全的学习和培训，提高对潜在风险的警惕性。

避免点击来路不明的链接、打开可疑的邮件附件等行为，确保个人信息和计算机的安全。

一种新型的P2P僵尸网络检测模型

一种新型的P2P僵尸网络检测模型摘要：僵尸网络已经给当前的计算机网络安全带来严重的安全威胁，特别是僵尸网络在融合对等网络作为通信技术之后，僵尸网络大大提高了其生存能力，为有效降低采用P2P技术的僵尸网络带来的安全威胁，如何有效检测出基于P2P技术的僵尸网络成为一个热点。

针对这种现状提出了一种基于P2P技术的Botnet检测模型。

关键词：僵尸网络；检测模型；对等网络；模糊逻辑0引言僵尸网络是一个由大量被感染了僵尸程序的主机所构成的重叠网络。

攻击者借助各种手段使得主机感染僵尸程序，比如缓冲区溢出攻击、电子邮件、钓鱼网站等。

感染了僵尸程序的主机通过各种组网协议构成僵尸网络。

根据僵尸网络的组网协议分类，僵尸网络可分为集中控制的僵尸网络，基于P2P技术的僵尸网络。

其中前者又分IRC 僵尸网络和HTTP僵尸网络，相应的有Rbot、Zeus等。

而基于P2P 技术的僵尸网络又分为非结构化的僵尸网络、结构化僵尸网络、层次化的僵尸网络，相应的有Sinit、Phatbot、Storm等。

本文主要讨论后者即基于P2P技术的僵尸网络检测，当前常见的检测方法有两大类：一种是基于流量分析的方法，一种基于异常行为的检测方法。

1僵尸网络的特征僵尸网络的组网以及攻击时都会有大量特征存在。

特征一：文献指出僵尸网络会产生大量异常报文。

首先在僵尸主机通过引导结点加入网络时，由于引导结点的动态波动性，造成部分引导结点的IP失效，所以网络中会出现大量的ARP报文，其次如果目的节点最终不可到达还会有ICMP报文大量出现，最后僵尸主机在加入网络进行攻击时，会发送大量的恶意邮件，会造成大量SMTP报文的出现；特征二：感染的结点具有相似的特征。

加入网络的僵尸主机接受的是相同的任务命令，在攻击时也会表现出一些共同的特征，因此，也会造成通信数据具有相同的特点。

2僵尸网络的检测模型僵尸网络的特征为检测僵尸网络带来部分依据，然而这些特征很难精确地去检测，因此，结合模糊逻辑的相关理论，提出了一种新型的僵尸网络检测模型RLDB。

名词解释-僵尸网络

僵尸网络僵尸网络Botnet僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

在Botnet的概念中有这样几个关键词。

“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。

Botnet首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。

其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。

最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。

在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。

因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。

僵尸网络 (最终版)

自动连接检测的判断规则为： if Tpi<Tt∧S=true∧F=yes，then pi ∈Puser,or pi ∈Pauto
DNS 反应行为分析
进程的 DNS 反应行为：指的是进程进行DNS 查询活动以及对查询结果的反应事件构成的事件序列，其中反应事件指的是使用 DNS查询中涉及的 IP地址尝试建立连接的行为及结果。
召集与保护
召集：僵尸网络客户端首次发起与僵尸命令与控制（Command and Control,
C&C）服务器联系。主要目的是让傀儡牧人知道其已经加入僵尸网络。
通信：不同的僵尸网络采用不同的网络协议来构建C&C信道
协议
➢ IRCP (Internet Relay Chat Protocol，因特网中继聊天)； ➢ HTTP(HyperText Transfer Protocol,超文本传输协议)； ➢ P2P(peer-to-peer)。
僵尸网络的保护措施：
对抗反病毒模块：保护新僵尸机以防被删除。
例子：半分布式P2P僵尸网络
从半分布式 P2P 僵尸程序（bot 程序）植入受控主机，到组建成完整的半分布式 P2P Botnet，共经过了以下几个阶段：
僵尸网络命令与控制机制
自身安全性
• 隐蔽性和匿名性 • 加密机制 • 认证机制 • 网络发现机制
记录时间间隔T内待检测进程的DNS反应行为
提取特征值H（Sd）和rate
用训练得到的分类器进行检测
判断是否为僵尸进程
检测过程
图 DNS反应检测流程图
僵尸程序检测算法
僵尸程序数据收集
序号 Bot1 Bot2 Bot3 Bot4 Bot5 Bot6 Bot7 Bot8

基于异常行为特征的僵尸网络检测方法研究

该模型分类提取ＩＣ频道的主机响应信息，结合检测算法分析得出结论。实验结果验证了该模型的有效性。Ｒ
关键词僵尸网络；僵尸频道；响应集群Ｔ３３Ｐ９文献标识码Ａ文章编号１０７２２１）１０ｏ０７— ８０（００１ —１９一４
网络非常重要。比较有特点的有美国哈佛大学Ｍａｎｌａ等人提出的基于对端的快速检测算法和英国诺丁汉
主机对控制命令的响应信息，进而分析一个频道是否
为僵尸频道，该方法的优点是不需要先验知识。
１基于异常行为特征的僵尸频道检测模型
口
强
２Ｕ年弟ｚｊ罨弟ＵＪ
期
ＥｅｔｎｃＳｉ＆Ｔｃ．ｏ．５．２１ｌｃｒｉｃ．ｏｅｈ／Ｎｖ１００
基于异常行为特征的僵尸网络检测方法研究
杨
摘要
奇，何聚厚
（陕西师范大学计算机科学学院，陕西西安７０６）１０２基于僵尸网络通信及网络流量的异常行为，可以有效检测出僵尸频道。介绍了通过对主机响应信息的异常分析，进而判断出当前ＩＣ频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型，Ｒ
现有的僵尸网络检测算法主要针对ＩＣ协议，且Ｒ绝大多数是根据网络流量的相关属性分析判断，这样存在较大的局限性。
络检测方法，该方法基于网络流检测，提取ＩＣ终端Ｒ
件。但由于被控制计算机的覆盖面广、类型复杂多

网络异常流量检测技术与方法

网络异常流量检测技术与方法随着互联网的迅猛发展，网络异常流量也逐渐成为了一个重要的研究领域。

网络异常流量指的是网络中与正常通信行为不符的数据流，可能是由于网络攻击、网络故障或其他非正常情况引起。

为保障网络的安全和有效性，发展网络异常流量检测技术及方法成为了一项紧迫的任务。

一、背景介绍网络异常流量是一种对网络通信效果造成负面影响的现象，可能导致网络服务的不稳定、用户体验的下降，甚至引发安全事故。

故而，及早发现并处理这些异常流量成为了互联网运营和网络服务提供商的重要职责之一。

二、常见网络异常流量类型及特征网络异常流量主要包括以下几种类型：1. DDoS 攻击分布式拒绝服务（DDoS）攻击是最常见的一种网络异常流量类型，攻击者通过利用大量机器同时向目标服务器发起请求，以压倒性的流量使服务器无法正常对外提供服务。

2. 网络蠕虫网络蠕虫是一种利用自我复制和传播机制的恶意软件，它可以在网络中迅速传播，并占用大量带宽资源。

这种异常流量通常具有特定的传播特征，如源地址持续变化、异常的连接频率等。

3. 僵尸网络僵尸网络是一种被黑客远程控制的大规模攻击工具，攻击者利用已感染的大量计算机节点发起攻击。

僵尸网络通常具有频繁且异常的连接活动、带宽利用率居高不下的特点。

4. 入侵行为网络入侵行为包括端口扫描、漏洞利用、恶意文件传输等，这类流量通常伪装成正常流量，具有特定的行为特征，如特定的访问路径、异常的请求参数等。

三、网络异常流量检测技术与方法为了准确、高效地检测网络异常流量，研究者们提出了许多技术与方法，下面介绍几种常见的检测技术：1. 基于统计的方法基于统计的异常流量检测方法通过对网络流量数据进行分析，构建统计模型来判断是否存在异常流量。

这些方法主要基于统计学的概率模型或机器学习算法，通过与正常流量进行比对来判断是否存在异常。

2. 基于行为分析的方法基于行为分析的异常流量检测方法通过对网络流量中的行为特征进行挖掘和建模，来判断是否存在异常流量。

基于异常行为监控的僵尸网络发现技术研究

专家新论本栏目由网御神州科技有限公司协办４４赵佐，蔡皖东，田广利（西北工业大学计算机学院，陕西　西安　７１００７２）【摘要】僵尸网络作为近年来危害互联网的重大安全威胁之一，引起了研究者的广泛关注。

论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征，提出了基于异常行为监控的僵尸网络发现技术，详细阐述了僵尸网络发现系统的原理及系统框架结构，并对其关键技术进行了设计实现。

【关键词】僵尸网络；异常行为特征；发现机制；监控规则【中图分类号】ＴＰ３９１【文献标识码】Ａ【文章编号】１００９－８０５４（２００７）　０９－００４４－０３Research on technology for Botnet Detection Based on Abnormal Behavior M onitoringZ H A O Z u o , C A I W a n -d o n g , T I A N G u a n g -l i(S c h o o l o f C o m p u t e r S c i e n c e , N o r t h w e s t e r n P o l y t e c h n i c a l U n i v e r s i t y , X i Õa n S h a n x i 710072, C h i n a )【Abstract 】I n r e c e n t y e a r s , B o t n e t h a s b e e n o n e o f t h e e m e rg i n g s e r i o u s th r e a t s t o t h e I n t e r n e t a n d a t t r a c t e d w i d e a t t e n -t i o n f r o m r e s e a r c h e r s . B y a n a l y z i n g t h e c h a r a c t e r i s t i c s o f a b n o r m a l b e h a v i o r s h o w n b y B o t n e t a t i t s d i f f e r e n t s t a g e s , t h e p a p e r p r o p o s e s a B o t n e t -d e t e c t i n g m e t h o d b a s e d o n a b n o r m a l -b e h a v i o r -m o n i t o r i n g , d e s c r i b e s t h e p r i n c i p l e a n d t h e s t r u c -t u r a l f r a m e w o r k o f t h e s y s t e m , i n c l u d i n g t h e d e s i g n a n d i m p l e m e n t a t i o n o f i t s k e y t e c h n o l o g y .【Keywords 】b o t n e t ; a b n o r m a l b e h a v i o r ; d e t e c t i n g m e t h o d ; m o n i t o r i n g r u l e s基于异常行为监控的僵尸网络发现技术研究＊０引言僵尸网络（Ｂｏｔｎｅｔ）是指控制者和大量感染僵尸程序（Ｂｏｔ）主机之间形成一对多控制的网络，是近年来危害互联网的重大安全威胁之一。

重庆移动僵木蠕检测系统方案

重庆移动僵木蠕检测方案书目录1.总体描述 (3)1.1背景概述 (3)1.2项目来源 (3)1.3建设目标 (4)1.3.1系统现有功能： (4)1.3.2 2015年建设新增需求： (4)1.3.3 本方案增值功能 (5)1.4质量目标 (5)2.框架设计 (6)2.1总体架构设计 (7)2.2本地架构设计 (7)2.3云端架构设计 (8)2.3.1 CNCERT云联动 (8)2.3.2僵木蠕检测云联动 (8)2.3.3未知威胁检测云联动 (9)3.方案投入 (10)4.相关设备技术说明 (10)4.1僵木蠕检测设备 (10)4.1.1僵木蠕检测设备硬件 (10)4.1.2僵木蠕检测设备软件功能 (11)4.2光选汇聚分流器技术说明 (13)1.总体描述1.1背景概述网络恶意代码（包括僵尸网络、木马、病毒、蠕虫）给网络系统带来了极大的危害，尤其是僵尸网络、木马和蠕虫。

僵尸网络会对安全中心的通信服务质量产生影响，是DDOS攻击发生的主要原因；木马攻击不仅会造成重要文件和信息的泄漏，而且还会被黑客利用成为远程操控的工具；早期的蠕虫仅仅是恶意代码的传播手段，但新型的蠕虫（如飞客蠕虫等）已经具备了攻击特征，成为网络系统的安全隐患。

传统的恶意代码可以通过杀毒软件、防火墙、IPS等传统安全产品进行防护，但对于变种木马、免杀木马、新型蠕虫等恶意代码，传统安全产品的防护能力有限。

近段时间国内发生了多起针对国家重点行业的黑客攻击，包括中国电信、东风集团、中国银行、中石化、中石油以及国家电网。

其中导致中国电信被窃取了超过900个管理员的帐号和密码。

这些渗透攻击手段都是通过存在漏洞的互联网访问、垃圾邮件等手段在用户内部植入的僵尸网络、木马程序以及蠕虫病毒所造成。

所以，充分考虑网络恶意代码的防护并将其纳入到建设范围，变的十分迫切和必要。

1.2项目来源今年工信部对各运营商实行考核，要求按照《木马僵尸网络监测与处里机制》(工信部保〔2009〕157号）及《工业和信息化部关于印发<基础电信企业信息安全责任管理办法（试行）的通知>》（工信部保[2009]713）、《关于做好2013年基础电信企业安全责任考核有关工作的通知》（工信保函[2013]467号）的要求，建立本企业内部的监测和处置机制。

Mirai僵尸网络

Miraibotnet的演进
• 如何检测Mirai变种？ • - 基于配置信息检测变种 • 关于Mirai的配置信息 • 这里的配置信息包括: • - C2/report servers • - 扫描和攻击参数 • - 其它运行时参数 • Mirai配置信息做了加密处理，只有用到时才解密 • 密文的初始化在一个名为table_init的函数中完成
• 2) Mirai：用于实施攻击的程序，分为bot（被控制端，使用C语言编写）和cnc（控制端，使用Go语言编写）两部分
• 被控制端具有以下模块：模块文件名模块作用
attack.c
checksum.c killer.c main.c
用于攻击的模块，所调用的攻击子模块在其他 attack_xxx.c 中定义
Miraibotnet的演进
• 如何检测Mirai变种？ • -基于扫描行为检测变种 • Mirai的扫描模块 • Mirai使用了自定义的算法来生成扫描的SYN包 • 缺省扫描23/2323端口 • 同时安装一批用户名和口令用于后续的telnet暴力破解 • 缺省安装了62对用户名和口令 • 上述工作在一个名为scanner_init的函数中完成 • 由一个fork()出来的进程单独执行 • The scanner_initfunction • 扫描端口硬编码 • 左图中为0x17 • 用户名和口令调用add_auth_entry初始化到内存中 • 反复调用 • 变种2：扫描7547端口
vizxv
system 123456
IOT 僵尸网络严重威胁网络基础设施安全
• DVR，网络摄像头，智能路由器产品中部分存在弱密码的品牌
IOT 僵尸网络严重威胁网络基础设施安全
• Mirai源码目录结构分析

网络安全攻防技术的研究与实践

网络安全攻防技术的研究与实践随着互联网的发展，网络安全愈发成为人们关注的焦点。

在信息化时代，网络安全漏洞是一个难以回避的问题，而网络安全攻防技术的研究和实践显得尤为重要。

本文将从研究和实践两方面探讨网络安全攻防技术的重要性，以及如何加强网络安全。

一、网络安全攻防技术的研究网络安全攻防技术的研究是一项复杂而紧迫的任务。

攻击者可以利用多种手段来攻击网络，比如黑客攻击、病毒、木马、僵尸网络等。

因此，对网络安全攻防技术进行研究，才能有效地预防和打击网络攻击，保护网络安全。

1.渗透测试渗透测试是一种通过模拟黑客攻击以检测网络安全漏洞的方法。

所谓渗透测试，就是模拟攻击者的攻击手段和技术，从而发现网络的安全漏洞。

这种测试方法可以检测出网络中的漏洞，对网络安全做出有效的评估。

对于企业和政府来说，渗透测试是不可或缺的一项工作。

2.入侵检测入侵检测是指对网络进行实时监控，并检测是否有黑客入侵的技术。

从技术上讲，入侵检测可以分为主动和被动两种类型。

主动入侵检测是指监视网络以预防恶意活动的发生，而被动入侵检测则是在其发生后进行检测和分析。

通过入侵检测，可以及时发现入侵行为，保护网络不受损失。

3.网络监管技术网络监管技术是一种通过对互联网的监控、过滤和控制来保护网络资源的技术。

它可以监视网络流量、阻止网络攻击和非法入侵，防止恶意软件的传播等。

网络监管技术主要用于保护政府和企业的核心机密信息以及重要的网络设施。

二、网络安全攻防技术的实践除了研究外，网络安全攻防技术的实践也非常重要。

只有通过实践，才能深入了解网络的安全问题，找出漏洞并加以解决。

1.防火墙和安全软件的使用防火墙是一种网络安全设备，用于阻止攻击者突破网络安全，保护网络设备和数据安全。

安全软件则是通过察看和检测电子邮件、文件和网络数据流量进行拦截和控制的程序。

包括杀毒软件、反间谍软件、防黑客工具等。

两者的结合能够有效地保护网络安全。

2.密码和凭证管理密码和凭证管理是指在网络环境中使用密码和凭证来保护信息。

基于流量图的僵尸网络检测技术分析

击（ＤＤｏＳ）、发送垃圾邮件（ｓｐａｍ）、网络钓鱼（ｐｈｉｓｈｉｎｇ）、窃取机密信息（ｉｎｆｏｒｍａｔｉｏｎｔｈｅｆｔ）和传播其他
恶意软件等．
Ｊｕｌｙ２０１３
研究简报
基于流量图的僵尸网络检测技术分析
何毓锟，李强，嵇跃德，郭东
（吉林大学计算机科学与技术学院，符号计算与知识工程教育部重点实验室，长春１３００１２）
ｓｏｍｅｒｅｃｅｎｔｒｅｓｅａｒｃｈｅｓｏｆＢｏｔｎｅｔｄｅｔｅｃｔｉｏｎｍｅｔｈｏｄｓｂａｓｅｄｏｎｔｒａｆｆｉｃｇｒａｐｈ．Ｗｅｆｕｒｔｈｅｒｍａｄｅａ
中图分类号：ＴＰ３９３
文献标志码：Βιβλιοθήκη Ａ文章编号：１６７１ — ５４８９（２０１３）０４ — ０６８１ — ０８
ＡｎａｌｙｓｉｓｏｆＢｏｔｎｅｔＤｅｔｅｃｔｉｏｎＴｅｃｈｎｉｑｕｅＢａｓｅｄｏｎＴｒａｆｆｉｃＧｒａｐｈ
Ａｂｓｔｒａｃｔ：ＷｅｐｒｅｓｅｎｔｅｄｔｈｅｓｔｒｕｃｔｕｒｅｓａｎｄｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆＢｏｔｎｅｔｃｏｍｍｕｎｉｃａｔｉｏｎｇｒａｐｈｓｉｎｓｅｖｅｒａｌｃｏｍｍｏｎｐｒｏｔｏｃｏｌｓ．Ｗｅｃｏｍｐａｒｅｄａｎｄａｎａｌｙｚｅｄｔｈｅｉｒｆｕｎｃｔｉｏｎｓａｎｄｍｅｃｈａｎｉｓｍｓａｎｄｔｈｅｎｓｕｍｍａｒｉｚｅｄ

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

僵尸网络及检测技术探索
摘要：通过综述僵尸网络的相关知识，提出基于行为与域关联的检测方法。

对僵尸网络的行为流和域名查询流进行类聚，建立一种聚类联动的检测模型，以期突破基于特征的监测的局限性。

本文分析了僵尸网络的相关知识和工作原理，重点分析基于Behavior-domain 模型的僵尸网络检测方法。

关键词：僵尸网络；域名特征；检测中图分类号：TP393 文献标识码：A
Abstract ：Review of relevant knowledge botnet ，we proposed detection method based on the behavior associated with the domain.Cluster the flow behavior of botnets and domain query stream ，build a linkage clustering model to detect in order to break through the limitations of feature-based monitoring.This paper analyzes the related knowledge and working principle of botnets ，key analyzes the botnet detection method focuses on Behavior-domain Model.
Keywords：botnet ；domain feature ；detection
1引言( Introduction )
僵尸网络是在Worm、Trojan Horse、Backdoor tool 等一
般恶意代码形态的基础上发展、结合进而产生的一种攻击方式，一般指集中受攻击者控制、用来发起大规模的网络攻击的一群计算机[1] 。

僵尸程序未必像蠕虫病毒一定可以扩散，它与蠕虫的显著区别在于：僵尸程序一定是被黑客控制。

有别于一般的特洛伊木马(Trojan Horse),僵尸程序能够发起主动性对外连接，可以预置指令，通过各种途径进行扩散，被感染的主机均受黑客控制[2] 。

间谍软件与僵尸程序的不同之处在于后者的数据一般只流向黑客，黑客并不控制被植入间谍软件的计算机。

2僵尸网络的工作原理( The working principle of
botnet )
2.1僵尸网络的功能结构
可以将僵尸网络的功能结构分为两个模块。

首先是主要功能模块，它由两大模块组成：传播模块，用于实现网络传播；命令与控制模块，定义僵尸网络特性。

其次是辅助功能模块，作为对僵尸程序主要功能模块的补充，增强僵尸程序的攻击性和存活率，该模块由信息窃取、僵尸主机控制等功能组成。

( 1)命令与控制模块作为僵尸程序的重中之重，这个模块能够实现与僵尸网络控制器的互动并且执行黑客的控制命令。

另
外，命令与控
制模块还能够将执行结果返回僵尸网络控制器。

（2）传播模块
该模块负责将僵尸程序扩散到其他主机，使它们也受黑客控制，实现僵尸网络的扩张，其传播途径包括：
a.及时通信软件
b.文件系统共享
c.远程攻击软件漏洞
d.扫描恶意代码开的后门
e.发送邮件病毒
f.扫描NetBIOS弱密码
（3）信息窃取模块信息窃取模块用于获取主机信息和其他有敏感的信息，
例如进程列表、网络带宽和速度、账号和对应的密码、注册码等。

（4）攻击模块攻击模块是黑客用于通过受感染主机（俗称
“肉鸡” ）
完成各类攻击的模块（例如：发送邮件模块、架设服务模块、点击欺诈模块、分布式拒绝服务攻击）。

（5）更新和下载模块为更好的控制僵尸主机，僵尸程序也需要下载与更新。

该模块使黑客能随时根据不同目标，在受感染主机上增加或更新各类恶意代码以及僵尸程序。

( 6)躲避检测与对抗分析模块对僵尸程序的检测和分析一直是网络安全的一个热点，因此该模块是为了绕过检测与和与各类病毒分析相抗衡，以便提高僵尸网络的存活率，其功能包括：
a.通过Rootkit方式进行实体隐藏
b.清除反病毒的进程
c.检查调试器的存在
d .对僵尸程序加密或变形
e.识别虚拟机环境
f.对升级反病毒软件的活动进行拦截
2.2僵尸网络的工作机制
僵尸网络是把在网络上的感染了僵尸程序的计算机通过某个应用层协议连成网络，通过控制这个网络，黑客能够进行攻击、窃取等行动。

这个僵尸网络，由僵尸控制者
(Botmaster)通过僵尸网络的命令与控制( C&C)信道来控制，能够以向网络上的所有或部分僵尸发出指令，从而实现分布式拒绝服务攻击、信息窃取等，甚至可以命令僵尸主机自动更新。

僵尸网络的工作流程如图2 所示。

3基于域名特征的僵尸网络检测( Botnet detection
feature-based domain )
过去，一般使用基于特征的检测方法，这种方法实时性强且比较准确，但是这种方法仅仅着眼于僵尸网络表面特性，
对僵尸网络的本质把握得不是很理想，而且需要用已经验证
的结果进行匹配，所以只能检测已经被发现过的僵尸网络。

一旦僵尸网络使用的协议规则发生改变，进而生成新的结构，则会使这些检测方法则会失去作用。

目前僵尸网络大部分都采用IRC协议、P2P协议，或者
HTTP协议构成，但僵尸程序最本质的行为是经由域名系统查询相应的C&C僵尸网络地址，并连接进行通信，这与采取何种协议结构关联
性不高。

因此，如何有效检测僵尸网络一直是研究热点。

3.1 问题
的解决思路
同一个僵尸网络中的各个僵尸主机是受僵尸服务器的控制，因而在空间、时间的行为具有高度的相似性和相关性。

例如：在同样的时间区间内对大量其他计算机进行非法扫描从而得到漏洞，或在特定时间区间内同时向域名服务器请求某个服务器的物理地址以便能与该服务器通信并执行命令，或向其他主机群发垃圾邮件等，这些行为特征都不是正常的网络行为所具有的。

现设想一种动态聚类技术，可以将实体数据进行数据聚类关联，能够实现对域名访问查询流和僵尸网络的隐蔽和非连续的行为的高效联动聚类。

经过以上操作的结果可以帮助我们找到僵尸网络，弥补基于特征的检测模型的不足。

3.2Behavior-Domain 模型的系统结构
Behavior-Domain 监测模型从网络流量入手，联动检测僵尸
程序的活动以及对域名的请求和应答查询流量，由此生成相关日志。

在对实体的数据进行了聚类后，再对检测日志进行聚类，经关联分析进行评估，从而识别出僵尸网络。

监测模型系统结构如图7 所示。

Behavior-Domain 的运行过程如下：
（1）基于同一信道的不同僵尸程序对域名服务器的行为和同
一僵尸网络控制命令的回应在时间上的相关性比较显著，所以将相关模块设置在流量的出、入口处，以便采集和实时检测。

行为检测模块负责捕获、解析僵尸网络命令控制信道内的行为流量（例如：二进制下载、非法扫描、繁殖/攻击、探测并利用网络漏洞、C&C 通信等），将结果存入行为日志中。

（2）作为Behavior-domain 模型的重点模块，聚类模块负责定时到指定日志中提取特定信息，利用聚类算法分别对第一步中提取的两类Log 日志中的数据进行聚类并将聚类结果导入关联模块进行关联分析。

（3）可疑度的计算由关联分析模块负责，将预设的阀值与计算结果相比较，即可锁定可疑主机；而相似度的计算可以帮助判定同一个流类簇集合中的两台僵尸主机是否属于同一个僵尸网络。

3.3监视行为和域名请求、查询
（1）行为监视模块行为检测模块的主要任务是分析被监视网络数据流和数据包，检测网内主机是否有恶意行为（例如：缓冲区溢出、C&C异常通信，以及繁殖/攻击、扫描漏洞等）,最终形成Log 日志。

（2）域名请求、查询监视模块该模块的主要任务是针对域名系统发起的各类请求进行分析，同时判断查询数据包内容的合法性，最终形成包含原始数据的Log 日志[3]。

3.4关联分析该模块将行为和域名查询聚类分析相结合，经关联分析后判定目标主机是否属于同一个僵尸网络。

3.5僵尸服务器的定位根据关联分析判定僵尸主机类簇之后，就能通过检测这些主机的组群行为特征区分恶意域名查询和非恶意域名查询，从而进一步对僵尸网络中的僵尸服务器进行精准定位。

4结论（Conclusion）本文对僵尸网络进行了介绍并探讨了基于域名特征的僵尸网络检测技术的实施框架，希望对更快的检测僵尸网络，及时控制其蔓延危害网络有一定的完善和促进作用。

参考文献( References)
[1]Nasiri N ，et al.Microstructure and tensile
properties of castAl-15%Mg2Si composite：Effects of phosphorous additionand heat treatment[J].Materials Science and Engineering：A，2012，556：446-453.
[2]秦庆东.Mg2Si/Al 高危险僵尸网络攻击模式全解析[D]. 计算机与网络，2011.
[3]李青山，陈钟.Domain-flux僵尸网络域名检测[J]•计算
机工程与设计，2012（08）：2915-2919.。