浅析僵尸网络.doc

浅析僵尸网络
研究背景
僵尸网络出现至今使全世界数以百万的电脑受到感染,从而造成不同程度的各种损害。现在对僵尸网络研究主要包括三个领域:了解僵尸网络、侦查和跟踪僵尸网络、防护僵尸网络。尽管僵尸网络影响范围越来越大,但是对它展开的研究、应对它的方法还处于初级阶段。
基本介绍
僵尸网络程序是一种软件机器人或bot程序的集合,可以在一定条件下自主地运行。这种程序可以由一些攻击者远程控制,在一些僵尸电脑上运行。一个典型的僵尸程序从创建到保持包含四个阶段:初步感染(电脑主机通过不同途径如主机漏洞间隙、网页链接、电子邮件链接、usb方式被感染)、程序植入(被感染的主机下载和运行bot代码,下载形式有ftp、http、p2p等)、恶意活动(攻击者通过远程遥控程序进行传播垃圾邮件、DDOS攻击等)、bot程序完善和升级。
对僵尸网络的研究
现在对僵尸网络的研究主要集中在bot程序分析、宽领域研究、僵尸网络模拟和预测。
1、Bot研究
主要是对一些特定的bot案例进行综合分析和研究,主要研究其网络行为。Bot研究针对不同种类的bot有不同的研究方法:
(1)IRC bot。主要分析Agobot,、SDBot,、SpyBot、GT bot四种类型的基于IRC的bot程序代码。现在对大的问题是大部分Bot程序不提供现成的代码供人研究。(2)HTTP bot。主要研究基于HTTP的垃圾邮件的代码。(3)P2P Bot。主要应用蜜网技术和黑盒法研究木马程序。(4)快速流网络。主要对僵尸程序的控制命令、控制网络进行研究。
2、宽领域研究
宽领域研究基于一种蜜网技术,对整个因特网上的僵尸网络程序进行横向对比研究,研究主要包含三个部分:恶意程序收集、灰盒测试和僵尸程序追溯。在程序收集阶段,建立一个平台以来收集恶意软件,为了完善这个平台,通常也是利用蜜网技术在windows xp这个特定环境下运行这些软件。论文中指出的发现成果有:僵尸程序在因特网上具有高扩散性、大部分僵尸网络行为都被攻击者很好地操控、90%的bot在在线聊天系统中停留不超过50分钟、超过80的程序可以被反病毒软件检测到、小的僵尸网络通常受到指令控制而比较大的具有DDoS功能。一些论文现在该领域的研究集中在发现僵尸网络的特性、估计其大小和足迹等。现阶段估计僵尸网络大小依然还存在问题,如果加入一些因素如暂时性的bot隐藏和bot克隆,对僵尸网络大小的估计变的更为复杂。
3、僵尸网络模拟和预测
这类研究主要集中在僵尸网络模拟。主要挑战有:在bot程序移走的情路况下如何构建一个健壮的僵尸网络、在bot被检测到的情况下如何避免网络拓扑暴露、僵尸主机如何更容易得到僵尸机的信息、如何避免防护者通过通信模式检测到bot。
侦查、追