摘要：近年來隨著計算機網絡技術的發(fā)展，網絡攻擊事件層出不窮，而僵尸網絡攻擊以其強大的破壞性占據(jù)了目前網絡攻擊手段的領軍位置，成為了目前計算機網絡安全面臨的最大的安全威脅之一。本文闡述了僵尸網絡及其網絡行為過程和發(fā)展趨勢，對傳統(tǒng)的IRC僵尸網絡和新型的P2P僵尸網絡的特點、檢測方法和防御策略進行了研究與分析。

關鍵詞：僵尸網絡；網絡安全；檢測方法；防御策略

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 引言

隨著互聯(lián)網的廣泛應用，針對互聯(lián)網的攻擊手段也越來越多，近年來，互聯(lián)網出現(xiàn)了一種新的攻擊方式，我們將這種攻擊方式統(tǒng)稱為僵尸網絡攻擊。賽門鐵克公司2004年報告顯示，在2004年上半年每天監(jiān)測到的感染僵尸程序的計算機數(shù)量從2000臺上升至30000多臺；CipherTrust公司2005年數(shù)據(jù)顯示，每天大約有16萬左右的新僵尸程序出現(xiàn)；2010年，我國共有3萬5千多家網站被黑客纂改，國家互聯(lián)網應急中心檢測發(fā)現(xiàn)48萬多個木馬控制端IP；共發(fā)現(xiàn)13000多僵尸網絡控制端IP。種種數(shù)據(jù)顯示僵尸程序的數(shù)量、僵尸網絡的規(guī)模和危害程度呈逐年上升的趨勢，僵尸網絡已成為目前互聯(lián)網最為嚴重的安全威脅之一。面對僵尸網絡的威脅，如何制定針對性的防御及反制策略已成為人們研究的重點。

2 僵尸網絡的特點、結構

僵尸網絡是指被BOT程序感染的一群計算機，這群被植入惡意控制功能程序的計算機被通稱為僵尸計算機。通過信道控制（CC）和命令的這群僵尸計算機組成的網絡稱為僵尸網絡。僵尸網絡的結構主要可以分為基于P2P協(xié)議的分布式結構和基于IRC協(xié)議或者HTTP協(xié)議的集中式結構兩種。僵尸網絡具有分布廣泛、具有感染性和集中控制等特點，最主要的特點是可以一對多執(zhí)行相同的惡意行為。正是由于具有一對多控制關系，使得可以用非常低的代價高效的控制海量的資源為攻擊者服務，使得僵尸網絡攻擊模式受到廣大黑客們的青睞。通常被黑客們用做大規(guī)模的網絡攻擊，如發(fā)送大量垃圾郵件或者進行DDOS（分布式拒絕服務攻擊）、網絡釣魚、竊取私密信息等。和木馬病毒、蠕蟲等不受攻擊者控制的安全威脅不同，僵尸網絡可以提供一個極度受控制的平臺，攻擊者可以通過這個平臺有目的的進行攻擊。由于僵尸網絡的高度受控性，各種僵尸程序的數(shù)量呈連續(xù)增長趨勢，僵尸網絡攻擊活動也越來越頻繁。。

僵尸網絡是攻擊者通過僵尸程序控制大量計算機，并通過一定的控制命令信道所組成的網絡。目前僵尸網絡的拓撲結構主要有星型、多服務器、分層和網狀結構。這幾種結構相對來說星型結構攻擊效率高易摧毀；多服務器結構前期構建時間長抗毀性比星型強；分層結構抗毀性比多服務器強攻擊效率低、網狀結構具有最高的抗毀性但是規(guī)模容易被發(fā)現(xiàn)控制指令信息傳輸時延大。

3 僵尸網絡的檢測方法

近年來，通過對Koobface、Zeus、Mega-D、Waledac等一系列新型僵尸網絡的研究發(fā)現(xiàn)，僵尸網絡的活動主要分為感染、控制命令、發(fā)起攻擊3個階段。僵尸網絡主要是通過遠程漏洞攻擊、弱口令掃描入侵、郵件附件、惡意文檔、文件共享等方式植入僵尸程序感染計算機的。以前的基于IRC協(xié)議集中式結果的僵尸網絡主要是以主動掃描和遠程漏洞攻擊感染計算機，這種類蠕蟲方式攻擊的主要缺點是不夠隱蔽，容易被檢測到。近年來，僵尸網絡的攻擊感染方式逐漸以隱蔽的網頁掛馬為主。針對僵尸網絡的攻擊特點，現(xiàn)今僵尸網絡檢測大體上可以分為流量分析檢測、蜜罐技術監(jiān)控、增值網絡攻擊檢測這三種方法。

3.1 流量分析檢測

由于僵尸網絡攻擊時會出現(xiàn)海量僵尸程序在收發(fā)控制命令和攻擊時會表現(xiàn)出同一時間窗內進行內容相似的通信，網絡流量分析一般與網絡安全事件檢測聯(lián)合來篩選可疑流并對流進行聚類分析。流量分析具體可以分為：基于特征簽名、基于異常、基于DNS等方式?；谔卣骱灻牧髁糠治鍪抢媒┦绦虻奶卣骱灻托袨樘攸c來檢測網絡中是否存在僵尸網絡，當出現(xiàn)新的未被發(fā)現(xiàn)過的僵尸網絡此方法就會失效；基于異常的流量分析主要是根據(jù)網絡流量、網絡時延、異常端口活動及異常系統(tǒng)活動等來檢測僵尸網絡，如果僵尸網絡處于未活動期間此方法就會失效；基于DNS的流量分析的原理是因為僵尸程序是通過發(fā)出DNS查詢和命令和信道控制服務器連接的，所以如果監(jiān)控到DNS流量出現(xiàn)異常的情況就可以發(fā)現(xiàn)僵尸網絡的蹤跡，不過僵尸網絡通常也可以發(fā)出虛假的DNS查詢來欺騙此檢測方式。

3.2 蜜罐技術監(jiān)控

蜜罐技術主要是通過撒誘餌的方式誤導僵尸網絡攻擊一些事先布置好的計算機、網絡服務點以及信息來達到減輕實際系統(tǒng)被攻擊強度。隨著僵尸網絡的攻擊方式和感染手段的多樣化，蜜罐的思想技術也隨之得到了很大的發(fā)展，現(xiàn)如今蜜罐技術已經擴展成為通過多個蜜罐、多種工具組成的一個具有高度可控性的誘捕黑客的蜜網。最早的蜜網主要是用來監(jiān)測集中式結構的僵尸網絡，現(xiàn)如今蜜網也能有效監(jiān)測分布式結構的僵尸網絡。

3.3 增值網絡攻擊檢測

通過仔細分析，我們發(fā)現(xiàn)僵尸網絡的主要用途在于發(fā)起增值網絡攻擊，2009年賽門鐵克的年度安全報告顯示，85%左右的垃圾郵件源自僵尸網絡。僵尸網絡發(fā)出的郵件一般具有內容相似、同IP短時間內注冊大量賬號等特點。通過檢測垃圾郵件、定位垃圾郵件源頭可以發(fā)現(xiàn)僵尸程序，這也是目前所常用的辦法。

4 僵尸網絡的防御策略

由于僵尸網絡的巨大危害性，如何防御僵尸網絡攻擊，如何降低僵尸網絡的危害成為大家研究的重點。通過對僵尸網絡的形成機理分析，我們可以通過幾個層面來防御僵尸網絡攻擊：

4.1 網絡層面

僵尸網絡通信的實現(xiàn)必須通過各個網絡端口，我們可以將大與1024號的所有端口設置為禁止程序進入，就算偶爾有特殊程序要用到某個端口，我們也可以在某個時間點暫時性的打開此端口的控制。通過端口控制來防御僵尸網絡攻擊。

4.2 計算機層面

增加安全意識，選擇適合自己網絡的殺毒軟件和防火墻、定期安裝軟件和系統(tǒng)補丁、修復系統(tǒng)和軟件漏洞、不隨意打開陌生電子郵件和網絡文件、關閉共享功能。

5 結束語

目前僵尸網絡的檢測或防御系統(tǒng)對是以針對集中式結構的僵尸網絡為主，新型的分布式結構的僵尸網絡的檢測和防御手段還比較缺乏。如何有效檢測和防御新型分布式結構的僵尸網絡將成為未來一個重要的研究課題。

參考文獻：

[1] OWASP. The Ten Most Critical Web Application Security Risks[EB/OL].（2010-10-14）[2010-1022].http：//www.owasp. org/index.php/ Top_10_2010.

[2]沈利香.僵尸網絡傳播模式分析和防治對策[J].常州工學院學報，2008，（06）.

[3]安德智.僵尸網絡的攻擊原理及其對策[J].計算機安全，2007，（05）.

[4] Dean T， Marc F， Eric J， et al. Symantec global Internet security threat report： Trends for July-December 07（Volume ⅩⅢ ）[R]. Cupertino， CA， USA： Symantec Inc.， 2008.

[5]王威，方濱興，崔翔.基于終端行為特征的IRC僵尸網絡檢測[J].計算機學報，2009，32（10）.

[作者簡介]鄧嬋（1986.02-），女，漢族，籍貫湖南，長沙師范學校，工程師，研究方向：計算機應用技術、教育技術。