宋元章，何俊婷，張波，王俊杰，王安邦

(1.中國(guó)科學(xué)院 長(zhǎng)春光學(xué)精密機(jī)械與物理研究所，吉林 長(zhǎng)春 130033；2.中國(guó)第一汽車(chē)股份有限公司 技術(shù)中心汽車(chē)電子部電控產(chǎn)品設(shè)計(jì)室，吉林 長(zhǎng)春 130011)

1 引言

僵尸網(wǎng)絡(luò)（botnet）是攻擊者(botmaster)通過(guò)bot程序控制的惡意計(jì)算機(jī)群。它是從傳統(tǒng)惡意代碼形態(tài)進(jìn)化而來(lái)的目前對(duì)Internet最有效的攻擊方式。攻擊者可以通過(guò)改變botnet的負(fù)載方便地發(fā)起DDoS攻擊、發(fā)送垃圾郵件(spamming)等。非集中控制的分散式網(wǎng)絡(luò)結(jié)構(gòu)將是botnet未來(lái)的發(fā)展趨勢(shì)。2007年出現(xiàn)的Storm botnet是新型P2P botnet的代表，它使用基于P2P的Overnet/eDonkey網(wǎng)絡(luò)維持C&C(command and control)[1]。

新型分散式botnet將P2P網(wǎng)絡(luò)的分散式拓?fù)浣Y(jié)構(gòu)引入到botnet的C&C機(jī)制中，在整個(gè)botnet中沒(méi)有控制中心，即使一部分bot節(jié)點(diǎn)被剔除，剩余的bot節(jié)點(diǎn)仍能構(gòu)成有效的攻擊網(wǎng)絡(luò)，因此針對(duì)傳統(tǒng)的集中式botnet的單個(gè)控制中心的檢測(cè)和防御方法已經(jīng)失效。新型P2P botnet的檢測(cè)已成為當(dāng)前網(wǎng)絡(luò)安全研究的重大問(wèn)題。

在詳細(xì)分析Storm botnet行為與特征的基礎(chǔ)上，本文提出了一種新型的基于流角色的實(shí)時(shí)檢測(cè)P2P botnet模型—RF。流角色是指基于網(wǎng)絡(luò)流自身的特性所決定的其在檢測(cè)P2P botnet時(shí)所起的作用，假設(shè)P2P botnet發(fā)動(dòng)攻擊時(shí)會(huì)導(dǎo)致某種網(wǎng)絡(luò)流的異常，那么就可通過(guò)檢測(cè)該網(wǎng)絡(luò)流的特征來(lái)檢測(cè)P2P botnet導(dǎo)致的“攻擊異?！?，這就可以看作是該網(wǎng)絡(luò)流在檢測(cè)P2P botnet時(shí)的角色。本文提出的RF模型從流本身的特性出發(fā)，使其在檢測(cè)P2P botnet時(shí)處于不同的角色，以發(fā)現(xiàn)P2P botnet的本質(zhì)異常和攻擊異常：通過(guò)對(duì)UDP流和ICMP流的處理發(fā)現(xiàn)botnet的固有特征導(dǎo)致的“本質(zhì)異?！?，因?yàn)閁DP流和ICMP流與botnet的C&C機(jī)制直接相關(guān)；通過(guò)對(duì)SMTP流的處理發(fā)現(xiàn)是botnet的攻擊流導(dǎo)致的異常，因?yàn)镻2P botnet經(jīng)常用來(lái)發(fā)動(dòng)垃圾郵件攻擊，從而導(dǎo)致SMTP流的異常；考慮到網(wǎng)絡(luò)應(yīng)用程序?qū)z測(cè)的影響，利用TCP流的特征來(lái)區(qū)分流量異常是由網(wǎng)絡(luò)應(yīng)用程序引起的還是因?yàn)楸l(fā)P2P botnet引起的。為了進(jìn)一步降低檢測(cè)的誤報(bào)率和漏報(bào)率，本文提出了一種基于滑動(dòng)窗口的實(shí)時(shí)估算Hurst指數(shù)的方法，并且采用Kaufman算法來(lái)動(dòng)態(tài)調(diào)整閾值。實(shí)驗(yàn)表明，該模型能夠有效檢測(cè)新型P2P botnet，適應(yīng)更復(fù)雜的網(wǎng)絡(luò)環(huán)境。

2 相關(guān)研究

目前，對(duì)新型分散式P2P botnet的分析和檢測(cè)研究剛剛展開(kāi)。

Grizzard J B等人[2]對(duì)P2P botnet的特征進(jìn)行了詳細(xì)分析，以Storm botnet為例對(duì)其感染、傳播和通信機(jī)制進(jìn)行了深入研究和闡述，對(duì)以后的研究工作有很大的啟發(fā)意義。

Sarat S等人[3]和Holz T等人[4]使用類(lèi)似的方法分析Storm botnet。前者的研究結(jié)果表明Storm的Peer ID非常不規(guī)律，有很多不可達(dá)的IP地址，為檢測(cè)和防御提供了一定的基礎(chǔ)。后者通過(guò)發(fā)布偽造的key來(lái)混淆bot主機(jī)間的通信以抑制botnet規(guī)模。

STEGGINK M等人[5]通過(guò)對(duì)比Storm與其他軟件的流量情況，提出了基于網(wǎng)絡(luò)特征（例如Storm分組特定長(zhǎng)度）的檢測(cè)方法。

Phillip Porras等人[6]通過(guò)分析Storm會(huì)話特征，提出通過(guò)使用BotHunter對(duì)會(huì)話和交互過(guò)程進(jìn)行模式匹配以檢測(cè)P2P botnet的方法。

王海龍等人[7]提出了一種botnet檢測(cè)層次協(xié)同模型，它能夠在信息、特性以及決策3個(gè)級(jí)別上進(jìn)行協(xié)同。

王勁松等人[8]提出了一種基于組特征過(guò)濾器的檢測(cè)botnet的方法，使用多個(gè)成員特征對(duì)內(nèi)網(wǎng)主機(jī)數(shù)據(jù)分組進(jìn)行過(guò)濾，可以在不需要開(kāi)發(fā)新的模式匹配算法的前提下實(shí)現(xiàn)對(duì)bot主機(jī)間的通信數(shù)據(jù)的識(shí)別以檢測(cè)bot主機(jī)。

考慮到僵尸網(wǎng)絡(luò)的遷移問(wèn)題，臧天寧[9]等人關(guān)注的是不同的僵尸群之間的關(guān)系，利用云模型對(duì)僵尸群的通信特征進(jìn)行分析，從而判斷它們是否屬于同一個(gè)僵尸網(wǎng)絡(luò)。

諸葛建偉等人[10,11]分析和總結(jié)了botnet的演化過(guò)程，國(guó)內(nèi)外目前跟蹤、檢測(cè)和防御botnet的方法，并對(duì)botnet的發(fā)展趨勢(shì)和進(jìn)一步的研究方向進(jìn)行了探討。

綜上所述，當(dāng)前P2P botnet分析和檢測(cè)研究仍處于初期階段，主要存在以下問(wèn)題。

1) 對(duì)于網(wǎng)絡(luò)流采取類(lèi)似的處理方法，忽視了網(wǎng)絡(luò)流本身的特性，使得它們?cè)赑2P botnet檢測(cè)中的充當(dāng)相同的角色：UDP流異常是botnet的C&C過(guò)程導(dǎo)致的，這是botnet本質(zhì)的流量異常；ICMP流異常是bot主機(jī)固有的bootstrap過(guò)程導(dǎo)致的，這也是botnet本質(zhì)的流量異常；SMTP流異常是攻擊者利用botnet發(fā)送大量垃圾郵件導(dǎo)致的，這是botnet的攻擊流導(dǎo)致的異常，所以不同種類(lèi)的流在檢測(cè)P2P botnet時(shí)應(yīng)處于不同的角色。

2) 沒(méi)有考慮到網(wǎng)絡(luò)應(yīng)用程序，尤其是P2P應(yīng)用對(duì)P2P botnet檢測(cè)的影響。從本質(zhì)上看，P2P botnet是一個(gè)可以發(fā)動(dòng)網(wǎng)絡(luò)攻擊的P2P網(wǎng)絡(luò)，所以?xún)烧哂休^強(qiáng)的相似性，因此正常P2P應(yīng)用對(duì)P2P botnet的檢測(cè)會(huì)產(chǎn)生很大的誤差影響。

3 Storm botnet分析

Storm botnet是P2P botnet的典型代表，其生命周期如下。

1) 侵染受害主機(jī)。

① 通過(guò)傳播bot程序侵染網(wǎng)絡(luò)中易感主機(jī)。

② bootstrap過(guò)程：主機(jī)感染bot程序后，會(huì)周期性通過(guò)連接相應(yīng)bot節(jié)點(diǎn)嘗試加入P2P botnet。

③ 二次注入過(guò)程：bot主機(jī)通過(guò)P2P網(wǎng)絡(luò)查詢(xún)事先約定的key以下載攻擊負(fù)載、更新自身代碼和更新P2P節(jié)點(diǎn)列表等。

④ keep alive：bot主機(jī)通過(guò)定期與其他bot主機(jī)通信來(lái)保證其一直處于P2P botnet中。

2) 攻擊者發(fā)送攻擊命令，以催動(dòng)botnet中的bot主機(jī)執(zhí)行攻擊負(fù)載向攻擊目標(biāo)發(fā)動(dòng)攻擊。

這些過(guò)程中有幾個(gè)流量方面的特征。

1) UDP流主要用來(lái)C&C：在botnet中keep alive、發(fā)現(xiàn)其他bot節(jié)點(diǎn)等，這會(huì)導(dǎo)致UDP流大量增加，由于botnet固有的特性C&C過(guò)程導(dǎo)致的UDP流異常是botnet的本質(zhì)異常。

2) 在bootstrap過(guò)程中，bot主機(jī)會(huì)隨機(jī)連接某些bot節(jié)點(diǎn)，這時(shí)會(huì)發(fā)生較多的連接失敗，導(dǎo)致ICMP流異常，這是botnet固有的特性（bot主機(jī)的bootstrap過(guò)程）導(dǎo)致的本質(zhì)異常。

3) bot主機(jī)發(fā)送大量垃圾郵件會(huì)大量使用SMTP協(xié)議[5]進(jìn)而導(dǎo)致SMTP流異常，這是botnet發(fā)動(dòng)的攻擊流導(dǎo)致的異常。

因此，對(duì)于網(wǎng)絡(luò)流應(yīng)從流本身的特性出發(fā)，使其在檢測(cè)P2P botnet時(shí)處于不同的角色，不應(yīng)不做區(qū)分就做相似的處理。在第4章將從流本身的特性出發(fā)，使其在檢測(cè)P2P botnet時(shí)處于不同的角色，分別檢測(cè)P2P botnet的本質(zhì)異常和攻擊異常，并用一定的手段消除正常P2P應(yīng)用對(duì)P2P botnet的檢測(cè)產(chǎn)生的誤差影響。

4 RF模型

4.1 發(fā)現(xiàn)P2P botnet的本質(zhì)異常

4.1.1 C&C機(jī)制導(dǎo)致的異常

由第3節(jié)知，C&C過(guò)程是botnet的根本，而UDP流是botnet進(jìn)行C&C過(guò)程的主要手段，盡管實(shí)現(xiàn)C&C過(guò)程的P2P協(xié)議和botnet發(fā)動(dòng)的攻擊多種多樣，但是從UDP流的角度來(lái)看是類(lèi)似的，所以UDP流異常是最能反映botnet流量特征的本質(zhì)異常。在RF模型中，通過(guò)檢測(cè)UDP流的異常來(lái)發(fā)現(xiàn)botnet的本質(zhì)異常，首先采用反映網(wǎng)絡(luò)自相似性的Hurst指數(shù)來(lái)獲取UDP流的情況以發(fā)現(xiàn)其異常，再將處理后的數(shù)據(jù)輸入到Multi-chart CUSUM中以提高檢測(cè)的靈敏度。

4.1.1.1 網(wǎng)絡(luò)自相似性

近年來(lái)，許多研究發(fā)現(xiàn)，相比于傳統(tǒng)短時(shí)相關(guān)模型，網(wǎng)絡(luò)流量自相似性過(guò)程能更好地描述網(wǎng)絡(luò)流量的特征[12,13]。特別地，KIM J S 等人[14]研究發(fā)現(xiàn)UDP流有明顯的自相似性，這是UDP流自身所固有的特征。

自相似性指的是總體結(jié)構(gòu)和局部結(jié)構(gòu)在某種程度上有一致性。網(wǎng)絡(luò)流量可以看作是在時(shí)間維度上具有自相似性的時(shí)間序列。

若對(duì)所有的a＞0，一個(gè)連續(xù)時(shí)間隨機(jī)過(guò)程X(t)都有

式(1)中的等號(hào)代表統(tǒng)計(jì)意義上的相等，則X(t)具有自相似性。式(1)中的參數(shù)H(0.5≤H＜1)稱(chēng)為Hurst指數(shù)，反映自相似的程度。自相似程度越低，H值越接近0.5。

假設(shè)當(dāng)前時(shí)刻為k，定義

由第3節(jié)知，Storm會(huì)導(dǎo)致UDP分組增多，而且bot主機(jī)在bootstrap、keep alive時(shí)，會(huì)周期性地與某些bot節(jié)點(diǎn)聯(lián)系，這會(huì)導(dǎo)致UDP流自相似性的減弱，進(jìn)而引起Hurst值減小，HPk增大，故可通過(guò)檢測(cè)參數(shù)HPk來(lái)發(fā)現(xiàn)這些異常：首先對(duì)UDP流量采樣，然后計(jì)算其Hurst值，再計(jì)算參數(shù)HPk，當(dāng)HPk增大時(shí)表示UDP流發(fā)生了異常。計(jì)算Hurst指數(shù)的方法詳見(jiàn)4.1.1.2節(jié)。為了提高檢測(cè)的靈敏度，將HPk輸入到Multi-chart CUSUM中以放大異常，詳見(jiàn)4.1.2節(jié)。

4.1.1.2 一種基于滑動(dòng)窗口的實(shí)時(shí)估算Hurst指數(shù)的方法

Karagiannis等人[15,16]對(duì)估算Hurst指數(shù)的方法研究發(fā)現(xiàn)，相比于小波分析法(abry-veitch method)和周期圖法(periodogram method), R/S法(rescaled range method)受噪聲等因素的影響更小，具有更好的穩(wěn)定性，因此本文使用R/S法。為了進(jìn)一步提高估算的精度，保證實(shí)時(shí)性，本文對(duì)R/S方法進(jìn)行了改進(jìn)，提出了一種基于滑動(dòng)窗口的實(shí)時(shí)估算Hurst指數(shù)的方法，如圖1所示。

圖1 滑動(dòng)窗口示意

假設(shè)滑動(dòng)窗口的長(zhǎng)度為L(zhǎng)，每使用R/S法估算一次Hurst指數(shù)需要一個(gè)滑動(dòng)窗口大小的時(shí)間序列，每估算完一次Hurst指數(shù)后向前滑動(dòng)步長(zhǎng)step,即：使用原先的L-step長(zhǎng)度的數(shù)據(jù)和新采樣的step長(zhǎng)度的數(shù)據(jù)計(jì)算下一個(gè)Hurst指數(shù)。

假設(shè)長(zhǎng)度L的時(shí)間序列為{X1,…,XL}，利用R/S法估算Hurst值的過(guò)程具體如下：將該時(shí)間序列劃分成長(zhǎng)度為n的子序列，那么得到子序列的個(gè)數(shù)d=L/n。對(duì)于每一個(gè)子序列m=1,…,d。

1) 求其期望Em：

2) 求其標(biāo)準(zhǔn)差Sm：

3) 求其極差Rm：

Yj,m代表第m個(gè)子序列第j個(gè)元素的值。Zi,m代表第m個(gè)子序列前i個(gè)元素與Em偏差的累計(jì)。

4) 求各子序列的Rm/Sm(m=1,…,d)的期望

研究表明，(R/S)n與子序列長(zhǎng)度n的關(guān)系可表示為

C為常數(shù)，H為Hurst值(式(8)中的等號(hào)代表統(tǒng)計(jì)意義上的相等)。

式(8)兩邊取對(duì)數(shù)得

對(duì)于一個(gè)給定的n值，可得一個(gè)(R/S)n。對(duì)于不同的n值，若以logn為橫坐標(biāo)，log(R/S)n為縱坐標(biāo)，則在直角坐標(biāo)系中可得到許多點(diǎn)，那么Hurst指數(shù)的估算值就是進(jìn)行直線擬合后所得直線的斜率。

4.1.2 Bootstrap過(guò)程導(dǎo)致的異常

在bootstrap過(guò)程中，bot主機(jī)會(huì)隨機(jī)連接某些bot節(jié)點(diǎn)，這時(shí)會(huì)發(fā)生較多的連接失敗，導(dǎo)致ICMP流異常，這是botnet固有的特性導(dǎo)致的本質(zhì)異常。在RF模型中，通過(guò)利用Multi-chart CUSUM來(lái)檢測(cè)ICMP流的異常以檢測(cè)該botnet本質(zhì)異常。

一維非參數(shù)CUSUM算法已經(jīng)在異常檢測(cè)和改變點(diǎn)檢測(cè)方面有廣泛的應(yīng)用，本文將其擴(kuò)展為Multi-chart CUSUM[17]，它可以同時(shí)考慮網(wǎng)絡(luò)流量多種特征，放大流量異常，以提高檢測(cè)的靈敏度。

對(duì)于隨機(jī)序列{X1,…,Xn}，令Pki代表第i(i=1,…,n)個(gè)觀測(cè)序列在k時(shí)刻檢測(cè)到異常，P∞代表未檢測(cè)到異常。代表ikP的累計(jì)評(píng)價(jià)，第i個(gè)觀測(cè)序列的累計(jì)評(píng)價(jià)和Sn(i)為

為使用CUSUM算法，需要對(duì)gi,s(Xi(n))做如下變換，使得正常情況下觀測(cè)序列的均值為負(fù)數(shù)，在變化發(fā)生后其均值為正數(shù)：

式(11)中，μi=E∞Xi(n)代表在正常情況下觀測(cè)序列的均值?？蓪⑹剑?0）遞歸表示如下：

定義判定函數(shù)

當(dāng)Sn(i)大于閾值時(shí)，表示發(fā)生異常。為了提高檢測(cè)精度，使用Kaufman算法[18]動(dòng)態(tài)調(diào)整M。

當(dāng)上述的隨機(jī)序列{X1,…,Xn}是ICMP流的比例值CICMP和UDP流在第一階段處理后的結(jié)果HPk時(shí)，Multi-chart CUSUM可以及時(shí)檢測(cè)到ICMP流和UDP流的異常。

4.2 發(fā)現(xiàn)攻擊流導(dǎo)致的異常

Bot主機(jī)在發(fā)送大量垃圾郵件時(shí)會(huì)大量使用SMTP協(xié)議進(jìn)而導(dǎo)致SMTP流異常，這是botnet發(fā)動(dòng)的攻擊流導(dǎo)致的異常。在RF模型中，通過(guò)檢測(cè)SMTP流的異常來(lái)發(fā)現(xiàn)botnet的攻擊異常，對(duì)于SMTP流采用與ICMP流相同的處理方式，詳見(jiàn)4.1.2節(jié)。

4.3 區(qū)分異常產(chǎn)生的原因

從本質(zhì)上看，P2P botnet是一個(gè)可以發(fā)動(dòng)網(wǎng)絡(luò)攻擊的P2P網(wǎng)絡(luò)，所以P2P botnet和P2P應(yīng)用程序有較強(qiáng)的相似性，應(yīng)采用一定的手段消除正常P2P應(yīng)用對(duì)P2P botnet的檢測(cè)產(chǎn)生的誤差影響。

正常P2P應(yīng)用大多用來(lái)進(jìn)行文件的傳輸和共享，通常利用超過(guò)1 300byte的TCP長(zhǎng)分組傳輸數(shù)據(jù)。而botnet大多數(shù)的數(shù)據(jù)傳輸是二次注入時(shí)下載負(fù)載利用HTTP協(xié)議進(jìn)行的，數(shù)據(jù)量不大。因此，可利用時(shí)間Δt內(nèi)剔除與正常網(wǎng)絡(luò)應(yīng)用程序相關(guān)的TCP分組后的TCP長(zhǎng)分組的比例PTCP來(lái)區(qū)分導(dǎo)致第3節(jié)中流量異常出現(xiàn)的原因，TCP長(zhǎng)分組的比例越小，異常是P2P botnet爆發(fā)引起的概率越大。

假設(shè)當(dāng)前要處理的TCP分組記為Pi，TCP分組的數(shù)目為N，TCP長(zhǎng)分組的數(shù)目為NTCP，具體處理過(guò)程如圖2所示。

定義判定函數(shù)

fTCP值為1，說(shuō)明第3節(jié)中流量異常是P2P botnet爆發(fā)引起的概率較大。閾值MTCP可通過(guò)Kaufman算法[18]進(jìn)行動(dòng)態(tài)修改。

4.4 RF模型的流程

假設(shè)當(dāng)前時(shí)刻為k，RF模型處理流程如圖3所示。

1) 獲取ICMP流的比例值CICMP、SMTP流的比例值CSMTP和UDP流的比例值CUDP，同時(shí)計(jì)算得出TCP流的fTCP值，以消除網(wǎng)絡(luò)應(yīng)用對(duì)P2P botnet檢測(cè)產(chǎn)生的誤差影響。

圖2 處理TCP流的流程

圖3 RF模型示意

2) 從流本身的特性出發(fā)，使其在檢測(cè)P2P botnet時(shí)處于不同的角色，發(fā)現(xiàn)botnet導(dǎo)致不同的流量異常。

① 利用基于滑動(dòng)窗口的實(shí)時(shí)估算Hurst指數(shù)的方法得到HPk；

② 將CICMP、CSMTP和HPk輸入到Multi-chart CUSUM中計(jì)算出d(Si(ICMP))、d(Si(SMTP))和d(Si(HPk))。

3) 最終判定：

T是判定P2P botnet是否存在的閾值，當(dāng)D≤T時(shí)表示網(wǎng)絡(luò)狀態(tài)正常，否則表示P2P botnet存在。

5 實(shí)驗(yàn)

5.1 網(wǎng)絡(luò)流量實(shí)驗(yàn)

該實(shí)驗(yàn)主要是監(jiān)測(cè)網(wǎng)絡(luò)流量：每10s采集一次網(wǎng)絡(luò)數(shù)據(jù)分組，在一段時(shí)間后注入Storm bot程序。

分析圖4可得，當(dāng)bot主機(jī)開(kāi)始通信時(shí)，UDP分組數(shù)目比一般情況下增多了20倍左右，主要因?yàn)閎otnet的C&C機(jī)制通過(guò)UDP流進(jìn)行。ICMP分組數(shù)目從100增加到900，主要因?yàn)閎ot主機(jī)在bootstrap過(guò)程連接某些bot節(jié)點(diǎn)時(shí)發(fā)生了較多的連接失敗。因?yàn)閎otnet在Spamming時(shí)發(fā)送垃圾郵件的延遲，該實(shí)驗(yàn)幾乎未發(fā)現(xiàn)SMTP流，所以接下來(lái)的實(shí)驗(yàn)暫不考慮SMTP流。

圖4 網(wǎng)絡(luò)流量數(shù)據(jù)

5.2 參數(shù)HP實(shí)驗(yàn)

該實(shí)驗(yàn)主要觀測(cè)UDP流自相似性程度的變化。一般情況下UDP流自相似性程度非常明顯，Hurst指數(shù)保持在[0.65, 0.85]，參數(shù)HP保持在[0.15, 0.35]，同時(shí)會(huì)有一定的波動(dòng)。

分析圖5可得，在一段時(shí)間注入Storm bot程序后，參數(shù)HP在420s增大到了0.45，在460s甚至增大到了最高點(diǎn)0.59，這充分說(shuō)明UDP流已經(jīng)喪失了自相似性，出現(xiàn)了異常。因?yàn)閎ot主機(jī)數(shù)目的逐步增大，P2P botnet規(guī)模的逐步擴(kuò)大，原先UDP流表現(xiàn)出的與一般情況不同的異常特征卻變成了它的一種新的自相似性行為，進(jìn)而導(dǎo)致參數(shù)HP下降。

5.3 RF模型實(shí)時(shí)性實(shí)驗(yàn)

將實(shí)驗(yàn)1中UDP流、ICMP流輸入到RF模型中的處理結(jié)果如圖6所示。與實(shí)驗(yàn)1相比，圖6中檢測(cè)到UDP分組和ICMP分組增加的時(shí)刻均有一定的延遲，基本在[25s,50s]區(qū)間內(nèi)。因此，RF模型具有較小的檢測(cè)延遲，可以滿(mǎn)足實(shí)時(shí)檢測(cè)P2P botnet的要求。

圖6 基于UDP流和ICMP流的RF的輸出

5.4 漏報(bào)率和誤報(bào)率實(shí)驗(yàn)

為檢驗(yàn)本文提出的RF模型在不同情況下的檢測(cè)能力，該實(shí)驗(yàn)選擇了4組數(shù)據(jù)，分別使用不同的檢測(cè)方法檢測(cè)botnet：前2組未注入bot程序，僅僅改變了各種數(shù)據(jù)分組的流量比，其中第2組數(shù)據(jù)中有大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組；后2組注入了bot程序，其中第4組數(shù)據(jù)有大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組。實(shí)驗(yàn)結(jié)果如表1所示。

表1 漏報(bào)率和誤報(bào)率對(duì)比

在第1組和第3組數(shù)據(jù)中RF模型的檢測(cè)結(jié)果非常理想，接近真實(shí)情況。第2組數(shù)據(jù)和第4組數(shù)據(jù)分別是在正常和存在bot程序的網(wǎng)絡(luò)環(huán)境中注入了大量網(wǎng)絡(luò)應(yīng)用程序和P2P應(yīng)用程序的數(shù)據(jù)分組，此時(shí)所有的檢測(cè)方法都出現(xiàn)了一定的漏報(bào)和誤報(bào)，但是RF模型的漏報(bào)率和誤報(bào)率較低，因?yàn)镽F模型充分考慮到了網(wǎng)絡(luò)中正在運(yùn)行的應(yīng)用程序?qū)2P botnet檢測(cè)的影響。特別地，表中的“113:77”表示RF模型在第4組數(shù)據(jù)中檢測(cè)到了113次攻擊，但是其中有77次是真正的攻擊。

綜上所述，利用RF模型檢測(cè)P2P botnet，其表現(xiàn)出較低的漏報(bào)率和誤報(bào)率，具有較小的檢測(cè)延遲。

6 結(jié)束語(yǔ)

本文在詳細(xì)分析Storm botnet行為與特征的基礎(chǔ)上，提出了一種新型的基于流角色的實(shí)時(shí)檢測(cè)P2P botnet模型—RF，該模型從流本身的特性出發(fā)，使其在檢測(cè)P2P botnet時(shí)處于不同的角色，同時(shí)考慮到了網(wǎng)絡(luò)應(yīng)用程序?qū)z測(cè)的影響。為了進(jìn)一步減小檢測(cè)的漏報(bào)率和誤報(bào)率，本文提出了一種基于滑動(dòng)窗口的實(shí)時(shí)估算Hurst指數(shù)的方法，并且采用Kaufman算法來(lái)動(dòng)態(tài)調(diào)整閾值。實(shí)驗(yàn)表明，該模型能夠有效檢測(cè)新型P2P botnet，檢測(cè)的誤報(bào)率和漏報(bào)率較低，適應(yīng)更復(fù)雜的網(wǎng)絡(luò)環(huán)境。

下一步的研究重點(diǎn)，更詳細(xì)地研究P2P應(yīng)用與P2P botnet流量特征的差異，進(jìn)一步提高檢測(cè)的精度和實(shí)時(shí)性。

[1] JOE STEWART. Storm Worm DDOS Attack[R]. SecureWorks, Inc,Atlanta GA, 2007.

[2] GRIZZARD J B, SHARMA V, NUNNERY C. Peer-to-peer botnets:overview and case study[A]. HotBots ’07 conference[C]. 2007.

[3] SARAT S, TERZIS A. Measuring the Storm Worm Network[R]. Technical Report 01-10-2007, HiNRG Johns Hopkins University, 2007.

[4] HOLZ T, STEINER M, DAHL F. Measurements and mitigation of peer-to-peer-based botnets: a case study on storm worm[A]. 1st USENIX Workshop on Large-Scale Exploits and Emergent Threats[C].San Francisco, 2008.

[5] STEGGINK M, IDZIEJCZAK I. Detection of Peer-to-Peer Botnets[R].University of Amsterdam, Netherlands, 2007.

[6] PORRAS P, SAIDI H, YEGNESWARAN V. A multi-perspective analysis of the storm (peacomm)worm[A]. Computer Science Laboratory, SRI International[C]. CA, 2007.

[7] 王海龍, 胡寧, 龔正虎. Bot_CODA:僵尸網(wǎng)絡(luò)協(xié)同檢測(cè)體系結(jié)構(gòu)[J].通信學(xué)報(bào), 2009, 30(10A): 15-22.WANG H L, HU N, GONG Z H. Bot_CODA: botnet collaborative detection architecture[J]. Journal on Communications, 2009, 30(10A):15-22.

[8] 王勁松，劉帆，張健. 基于組特征過(guò)濾器的僵尸主機(jī)檢測(cè)方法的研究[J]. 通信學(xué)報(bào), 2010, 31(2): 29-35.WANG J S, LIU F, ZHANG J. Botnet detecting method based on group-signature filter[J]. Journal on Communications, 2010, 31(2):29-35.

[9] 臧天寧, 云曉春, 張永錚. 僵尸網(wǎng)絡(luò)關(guān)系云模型分析算法[J]. 武漢大學(xué)學(xué)報(bào)(信息科學(xué)版), 2012, 37(2): 247-251.ZANG T N, WANG X CCC, ZHANG Y Z. A botnet relationship analyzer based on cloud model[J]. Geomatics and Information Science of Wuhan University, 2012, 37(2): 247-251.

[10] 諸葛建偉, 韓心慧, 周勇林. 僵尸網(wǎng)絡(luò)研究[J]. 軟件學(xué)報(bào), 2008,19(3): 702-715.ZHUGE J W, HAN X H, ZHOU Y L. Research and development of botnets[J]. Journal of Software, 2008, 19(3): 702-715.

[11] 江健, 諸葛建偉, 段海新. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J].軟件學(xué)報(bào),2012, 23(1): 82-96.JIANG J, ZHUGE J W, DUAN H X. Research on botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96.

[12] LELAND W E, TAQQU M S, WILLINGER W. On the self-similar nature of Ethernet traffic(extended version)[J]. IEEE/ACM Trans on Networking, 1994, 2(1): 1-15.

[13] BERAN J, SHERMAN R, TRAQQU M S. Long range dependence in variable bit rate video traffic[A]. IEEE Trans on Communication[C].1995, 43(234): 1566-1579.

[14] KIM J S, KAHNG B, KIM D. Self-similarity in fractal and non-fractal networks[J]. Journal of the Korean Physical Society, 2008, 52:350-356.

[15] KARAGIANNIS T, MOLLE M, FALOUTSOS M. Understanding the Limitations of Estimation Methods for Long-range Dependence[R].University of Califomia,Tech ReP:TRUCR-CS-2006-10245,2006.

[16] KARAGIANNIS T, MOLLE M, FALOUTSOS M. Long-range dependence: Ten years of Internet traffic modeling[J]. IEEE Intenet Computing, 2004,8(5):57-64.

[17] TARTAKOVSKY A G, ROZOVSKII B, SHAH K. A Nonparametric Multichart CUSUM test for rapid intrusion detection[A]. Proceedings of Joint Statistical Meetings[C]. 2005.

[18] KASERA S, PINHEIRO J, LOADER C. Fast and robust signaling overload control[A]. Proceedings of Ninth International Conference on Network Protocols[C]. 2001. 323-331.

[19] SEN S, SPATSCHECK O, WANG D M. Accurate, scalable in-network identification of P2P traffic using application signatures[A]. Proceedings of the 13th international conference on World Wide Web[C]. New York, 2004.512-521.