您所在的位置:http://www.qk114.net > 论文 > 计算机论文 > 正文

大规模网络环境下僵尸网络检测研究

  摘要:互联网面临安全隐患,而僵尸网络是最严重的隐患之一。介绍了高速网络环境下数据获取与还原,总结了僵尸网络检测的组织架构,在此基础上设计了僵尸网络检测系统,完成了IRC/HTTP Bot程序检测。在阶段性检测算法基础上设计了僵尸程序检测算法。运用该算法捕获并分析了15天内的监测数据,验证了该系统的有效性。 

  关键词:僵尸网络;僵尸网络检测;IRC;HTTP;网络安全
DOIDOI:10.11907/rjdk.171684
中图分类号:TP309
文献标识码:A 文章编号:16727800(2017)010018903
0引言
僵尸程序是在Bot主机中运行的非法恶意程序,凭借融合各种形式的恶意代码形成当前最为复杂的互联网攻击形式之一。平台攻击者通过僵尸网络偷取关键信息,操控不计其数的Bot主机对互联网上任意僵尸主机发起DDoS攻击、钓鱼攻击、窃取用户隐私、发送垃圾邮件,采取恶意欺骗手段获取巨额经济利益。
中国是全球感染僵尸主机数量最多的国家, 2015年全球范围内检测到的23 095起僵尸网络发动的分布式拒绝服务攻击中,中国占37%。2016年,赛门铁克公司共检测到2.5万个僵尸网络袭击行为, 1月垃圾邮件比例为53.5%,比上年全年最低(6月)的49.7%高了將近4%。由此可以看出僵尸网络活动依然很频繁,网络安全人员急需设计出一种切实可行的检测方法来预防僵尸网络的发展。
目前僵尸网络检测系统中,比较全面的有Gu等人完成的BotHunter[3]、BotSniffer[4]和BotMiner[1]。BotHunter系统以证据链关联思想为基础,把恶意Bot程序传播过程理解为一台内网主机和一台或若干台外网主机之间的信息共享链,第一次全面阐述了僵尸程序扩散过程。BotSniffer根据僵尸网络终端活动时间与空间的相似度特征,成功检测了IRC/HTTP僵尸网络。BotMiner系统依据僵尸网络程序具备传播恶意程序这一特征,设计出基于聚类的流分析方法,检测系统中网络终端的恶意行为Aability与相似通信行为Cability。
1僵尸网络检测系统
僵尸网络检测系统包含4个组件:①数据获取还原模块;②规则产生模块;③僵尸程序收集检测模块;④IRC僵尸网络检测模块。
数据获取模块获取内网与外网之间所有通信信息,对IP报文进行重组与TCP数据整合,还原HTTP/IRC协议数据包,传递到僵尸程序收集监测模块进行处理。这里内网指系统正在监控和保护的网络。
规则产生模块中非法僵尸程序的获取以蜜猴和蜜罐为核心,获取恶意僵尸程序检测所特有的活动事件,将其存入规则数据池。在僵尸网络检测系统中,网络活动有命令控制服务器URL/IP查询结果后回溯的payload[6],这两类活动都基于P2P协议中僵尸网络一事一议的特点。
收集检测模块必须依照匹配规则才能进行僵尸程序监视。检测到僵尸网络任何动态,都会及时更新日志,记录日期、数据信息及匹配规则。
IRC僵尸网络检测模块根据IRC僵尸网络终端的动作特点进行检测,一旦组件监听到僵尸频道就会实时更新日志信息,记载该频道的服务器地址及终端IP数据消息。
2数据捕获及还原
2.1数据分流
为了让网络消息处理性能更高效,必须对数据平均分配处理。数据分配计划应做到以下两点:①为了确保每个节点机的负载均衡,就要使数据流平均分配到每个节点机;②为了降低和取消每个节点机之间的信息依赖关系,就要确保每个TCP连接的数据都划分到相同的节点机上。
在TCP/IP协议中,四元组被作为重要的分流控制参数。一方面确保相同源和目的地址的所有连接顺利映射到一个节点机上,另一方面必须确保源参数与目的参数拥有相同的操作等级。满足这个要求最合适的方式是进行异或操作,按照以下公式分配:
XOR (Sip,Dip,Sport,Dport) mod n
n为并行节点个数。
2.2数据捕获
当前网络监控系统大规模使用Libpcap[5]捕包平台。Libpcap的最快处理速度是40kpps,该Libpcap[5]捕包平台应用零拷贝技术可以成功完成数据捕获,从而提高数据捕获效率。在数据发送和数据接收过程中,如果采用零拷贝技术,就可保证数据包在应用程序的用户缓冲区和网络接口间顺利交接,从而规避数据拷贝过程。
首先,采用Linux操作系统的内存映射机制。该内存机制将某一块内核空间对应到虚拟地址空间,用该空间内的虚拟地址访问对应的物理地址空间,从而使内存空间可被用户和内核共同使用。其次,实现内核和网卡协调工作。为了更新一个虚地址到物理地址的映射表,就要在存储空间的缓冲区块建立一个索引,该索引可由虚拟设备组件来承担。在处理地址解析问题时,通过拜访虚拟设备模块获取所需目的地址,实现若干用户登录网络接口和缓冲区,但该保护机制每次对网络接口的修改只能限定为一个进程。最后,在中断上加一个定时器。定时器可在修改驱动程序的过程中固定时间发生一次中断,并且可同时对不同的数据文件进行处理。
2.3多线程并行TCP/IP协议栈
TCP/IP协议栈不同来源的信息流全部从通信线路上输入,利用协议栈逐层解析,最终找到来自应用层的初始数据流,之后再反馈给对应的应用插件进行最终解析。
并行协议栈利用不同数据分发器,将捕包模块获取的数据流量包遵循既定规划,分配到对应线程进行分析,再通过空闲单元探测器结束该线程释放。每个TCP/IP协议栈线程分为一个协议栈状态表与两个信息队列,两个信息队列分别用来存储未处理数据块和已处理数据块。
3僵尸网络检测

 3.1协议解析
僵尸网络检测首先要识别IRC流和HTTP流,之后IRC流分配给IRC检测算法进行分析,HTTP流分配给僵尸网络检测算法进行分析。IRC通信端口分布较广,所以本文采用NICK关键字来区分IRC通信。当客户端成功访问服务器之后,会第一时间发送一条NICK命令用于标记IRC流。由于采用HTTP协议的数量较多,本文会检测某一链接是否为HTTP流,如果无法确认则转到HTTP Pending状态,并进行流量包分析;如果判定为不是HTTP流,则再判定是否为IRC流,如果确认二者都不是,则丢掉该链接。
3.2IRC僵尸网络检测
对已经感染IRC Bot程序的主机,最大的困难在于如何发现该恶意程序。Bot广泛使用IRC协议标准的TCP 6667端口,但这种端口较少使用,很难被发现。大多数情形是Bot很少处于静止状态,会不停地扫描、扩散,与此同时,系统网络负载会大量增加,大量占用系统资源,导致机器反应明显变慢,这和蠕虫感染很相似。所以本文借鉴蠕虫病毒检测方法,采用蜜墙Snort数据控制Bot向外连接阻断,控制本机的Bot僵尸程序。

 
本站主营各类论文发表论文发表职称论文发表论文代写代发表服务!
加盟 加盟陈主编:QQ:22848269 咨询电话 垂询电话:13541216041 邮箱投诉邮箱:[email protected]
QQ客户 客服杨老师:QQ:61771950 咨询电话 垂询热线:02880885761 邮箱 咨询邮箱:[email protected]
QQ咨询 客服邓老师:QQ:61771951 咨询电话 垂询热线:02880885762 邮箱导咨询邮箱[email protected]
联系地址 联系地址: 四川大学望江校区 成都市一环路南一段24号 邮编: 610065
常年法律顾问支持:四川川达律师事务所 信息产业部备案:蜀ICP备08008442号
专业,诚信,快捷,权威的论文发表网