僵尸网络(Botnet)检测技术探究

□王 丽

Botnet是随着自动智能程序的应用而逐渐发展起来的。恶意Bot程序在聊天频道中从不发言，表现得像个僵尸，因此被称为僵尸程序，僵尸网络也由此得名。近年来，DDoS事件逐渐频繁，攻击规模也急剧增加。攻击动机从炫耀技术能力转向获得经济利益。从僵尸程序编写到恶意传播，从公开兜售受控主机到网上支付雇佣费用，已经形成了一个地下经济利益链条。一般认为Botnet的危害主要是DDoS攻击和垃圾邮件。除了被直接攻击的目标以外，DDoS攻击还会引起次生危害，而且次生危害的影响范围有时要远远大于被直接攻击的目标。此外，垃圾邮件也大量消耗着网络带宽和服务器资源。

一、僵尸网络检测的目标和原理

僵尸网络的整个生命周期包括了传播、感染、加入、受控、攻击等几个环节。检测工作可以针对僵尸程序在不同环节的行为特征进行检测。僵尸程序的行为分为网络行为和系统行为。对系统行为的检测属于主机入侵防护(HIPS)技术范畴，是对僵尸程序的检测。

僵尸网络的检测就是定位僵尸网络的受控节点和控制节点。但是在现实中，僵尸网络的控制者会采用很多方法(如利用FAST-FLUX技术)隐藏控制节点，实际上很难定位到真正的控制节点。因此僵尸网络检测的基本目标就是定位僵尸网络的受控节点，即找出僵尸主机的IP地址并根据接入用户的身份信息，进一步确定感染僵尸程序的主机。

二、僵尸网络(Botnet)检测技术

(一)基于P2P协议的僵尸网络检测。Christ Nunnery and Brent ByungHoon Kang提出了通过检测与异常HASH值相关的网络活动来定位僵尸主机和控制主机的方法。首先通过某种方法得知异常HASH值，然后监测与这些HASH值相关的网络活动，例如新近加入Botnet的主机会主动搜索异常HASH值。Reinier Schoof＆Ralph Koning还指出了P2P僵尸网络的另外一些特征，如只监听某些特殊的端口，由于P2P主机存活稳定度很低，因此P2P僵尸网络存在大量的失败连接，由此会引发大量的属性为目标不可达的ICMP消息

(二)基于DNS日志和DNS黑名单技术的僵尸网络检测。僵尸网络生命周期中各个环节都存在大量的DNS通讯活动。例如僵尸控制者在发起攻击之前，会发起大量的DNS查询请求，确认僵尸主机存活和有效。僵尸主机控制者还会采用FAST-FLUX技术保证控制主机的高可用性并逃避追查。对DNS日志、通讯流量进行统计分析，可以定位到僵尸主机甚至控制主机。

(三)基于诱骗及通讯监听技术的僵尸网络检测技术。已有技术研究工作中，大部分只针对某一类僵尸网络有效，适用范围较窄。以往的采用诱骗技术僵尸网络检测方案，只单独采用了蜜罐或蜜网系统，效果不甚理想。原因是这类攻击诱骗系统是被动检测系统，在没有僵尸程序攻击的情况下，很难捕捉到僵尸主机的行为。

鉴于这些检测技术的局限性，笔者设计了一种新的检测方案，将诱骗系统与流量监测系统结合在一起，很好地解决了以往检测技术通用性不强，应用范围窄的问题。诱骗系统的技术特点是观察口径小，但准确率高。而部署在网络边界的流量监测系统的观察口径大，但存在一定的误报率。两者结合发挥各自的长处，形成优势互补。

(四)基于诱骗系统和流量检测系统的僵尸网络检测方案。一是蜜罐首先发现内网主机A正在设法感染自己，或者蜜罐设备自身已经被安装仿真的僵尸程序。二是蜜罐主机会主动与控制主机进行通讯，若蜜罐为基于P2P协议的僵尸主机，则会利用P2P协议主动联系其它僵尸主机，加入僵尸主机组成的僵尸网络。由于蜜罐主机是完全受控的设备，其通讯行为特征、通讯内容完全被网络管理人员所掌握。三是蜜罐主机可以向部署在网络边界的流量分析系统或IDS通报控制主机的相关信息，主要是控制主机的IP地址。四是流量分析系统则重点监控控制主机与内网主机的通讯。监测结果表明，外网的控制主机正在与内网主机B、C、D进行通讯，且通讯行为特征与僵尸主机的行为特征相似。五是至此，可以断定，内网的B、C、D主机以及主机A皆为僵尸网络的成员。在这个技术方案中，蜜罐主机充当一个打入到僵尸网络的卧底，可以将僵尸网络的活动情况真实准确地报告出来。而部署在网络边界的流量检测设备或IDS设备，则起到了“盯梢”的作用。

(五)基于聚合分析的僵尸网络追踪技术。前面讲的技术方案，基本上是一个实时的检测系统。下面介绍一个基于分析历史流量日志的事后检测方法。僵尸网络在发动大规模的DDoS攻击时，会引发网络流量的激增，因此在被攻击目标的网络出口可以检测到大量的攻击流量的记录。对这些流量记录进行聚合分析，而攻击发生时，攻击流量的特征相似，其它正常流量符合一定的统计分布，因此攻击流量记录必定被聚合到一个总量很大的结果中。而这个聚合结果中源地址集合和目标地址集合必定有一个是相对较小的。再经过进一步分析，就可以分别得到僵尸主机和控制主机的地址。基于聚合分析的僵尸网络追踪检测技术的详细流程体现在以下几方面:一是选取攻击时段的流量记录，通常为Netflow或与之兼容或类似的数据源。二是指定流量记录中的某些字段作为聚合算法的维度。三是通过多维聚合算法对流量记录进行聚合运算。四是在众多聚合结果中，找出攻击流量的那个聚合结果。五是因为聚合过程是自动完成的，每个聚合结果的特征(即各维度的取值)是可以确定的。根据攻击结果的特征，原始流量记录中找出符合特征的所有流量记录。六是从被攻击者所在网络这一侧来看，这些流量记录中的外网IP地址即为高度疑似的参与攻击的IP地址。七是将与这些IP地址的相关的所有流量记录找出来，可以找到这些疑似攻击IP地址通讯对端IP地址。这些对端IP中，出现频率较高的IP地址即高度疑似为控制主机IP地址。除非这个高度疑似的控制主机IP地址为某个面向公众的大型网站的地址，否则，这个疑似控制主机的IP地址基本可以被认定为真正的控制主机。

三、结语

现有的检测技术都只做到了确定僵尸主机的公网IP地址。由于网络上有相当多的主机使用经过NAT转换过的私有地址或是动态获取的IP地址，因此为了真正定位僵尸主机还需要匹配用户的登录信息和接入网关处对终端主机的上网记录。这一步工作虽然没有技术难度，却也是整个僵尸网络检测过程中不可或缺的一环。由于僵尸网络在发展演变过程中不断采用新的技术伪装自己，因此僵尸网络检测是一个极其复杂的问题，需要用到多种综合的检测技术才能取得良好的效果。同时还要不断跟踪僵尸网络的技术变化，对检测技术作出相应的调整，如近年来，僵尸网络采用的FASTFLUX技术，既使僵尸网络检测跟踪面临更高的难度，也为检测技术提供了新的突破点。

［1］诸葛建伟，韩心慧，周永林，叶志远，邹维．僵尸网络研究［J］．软件学报，2008，19:702～705

［2］Tushar Ranka，Trend Micro Inc．Taxonomy of Botnet Threats

［3］Christ Nunnery and Brent ByungHoon Kang．Locating Zombie Nodes and Botmasters in Decentralized Peer-to-Peer Botnets

［4］Peer-to-Peer Botnets:Overview and Case Study

［5］The Honeynet Project．Know Your Enemy:Fast-Flux Service Networks