李大偉

(南京工程學院 計算機工程學院,南京 211167)

0 概述

作為當前網(wǎng)絡空間中廣泛存在的一種安全威脅,僵尸網(wǎng)絡已成為信息安全領域研究者關注的熱點。在僵尸網(wǎng)絡中,攻擊者通過一對多的命令與控制(C&C)信道控制大量傀儡主機組成攻擊網(wǎng)絡。受控主機搭載不同的惡意程序可迅速形成分布式攻擊平臺,給網(wǎng)絡空間安全帶來極大威脅[1-3]。

現(xiàn)有對僵尸網(wǎng)絡的研究主要包括特征分析和逆向工程2種方式,在研究過程中都需要互聯(lián)網(wǎng)作為支撐環(huán)境[4-6]。例如,德國蜜網(wǎng)項目通過部署第二代蜜網(wǎng)來捕獲互聯(lián)網(wǎng)中的僵尸程序[7]。但是,環(huán)境的不可控性使研究結(jié)果產(chǎn)生隨機誤差,從而無法對實驗現(xiàn)象進行重現(xiàn)和驗證,即難以進行有針對性的僵尸網(wǎng)絡研究。因此,構(gòu)建真實可控的僵尸網(wǎng)絡實驗平臺具有重要意義。

近年來,僵尸網(wǎng)絡借助移動通信技術、社交網(wǎng)絡、云計算、信息加密等先進技術,在形態(tài)、協(xié)議、攻擊原理等方面都發(fā)生了變化,出現(xiàn)了如P2P僵尸網(wǎng)絡、移動僵尸網(wǎng)絡、云計算僵尸網(wǎng)絡、工業(yè)控制僵尸網(wǎng)絡、IoT僵尸網(wǎng)絡(或稱物聯(lián)網(wǎng)僵尸網(wǎng)絡)等形態(tài)多樣、協(xié)議隱蔽、攻擊手段專業(yè)的新型僵尸網(wǎng)絡,這加大了研究者對僵尸網(wǎng)絡檢測和反制的難度。

互聯(lián)網(wǎng)屬于不可信、不可控的開放式環(huán)境,在其中開展僵尸網(wǎng)絡研究具有過程不可逆、節(jié)點不能擴展、威脅無法隔離等弊端[8-9]。實驗過程可能受人為、異常甚至巧合等因素影響,導致研究者無法對僵尸網(wǎng)絡行為進行精確的判斷和預測,且難以在有限時間內(nèi)得到統(tǒng)計規(guī)律顯著的實驗結(jié)果。此外,開放式環(huán)境下的實驗無法復現(xiàn),且難以設計場景和參數(shù),可能導致得出不一致甚至完全相反的結(jié)論。

為解決上述問題,有學者采用Opnet、Omnet等仿真系統(tǒng)來研究僵尸網(wǎng)絡[10-11],但其仿真方式難以真實表達傳輸特征和行為模型。為提高環(huán)境的真實性,有學者采用通用網(wǎng)絡實驗床進行僵尸網(wǎng)絡仿真。例如,文獻[12]在DETER(http://www.isi.deterlab.net/)上對僵尸網(wǎng)絡的拓撲構(gòu)建和控制行為模式進行仿真,文獻[13]在Emulab(http://www.emulab.net/)上對僵尸主機鏡像進行部署,實現(xiàn)僵尸網(wǎng)絡評估環(huán)境(Botnet Evaluation Environment,BEE)實驗插件,通過創(chuàng)建僵尸程序鏡像文件庫、部署DHCP、DynDNS、IRC等支撐服務以及安全控制策略,構(gòu)建安全隔離環(huán)境下僵尸網(wǎng)絡的高逼真度實驗與評估環(huán)境。然而,基于通用網(wǎng)絡實驗床進行僵尸網(wǎng)絡研究缺少實驗手段支撐,難以對仿真僵尸網(wǎng)絡攻擊行為、僵尸網(wǎng)絡C&C協(xié)議進行細粒度的建模,導致其結(jié)果無法真實反映研究成果的效度和信度。

通用僵尸網(wǎng)絡實驗平臺是一個既滿足規(guī)模要求又貼近真實環(huán)境并且可控、可配置的實驗環(huán)境,通過跟蹤、分析、重現(xiàn)僵尸網(wǎng)絡傳播和攻擊過程,有助于分析其運行機制并制定反制策略,也能夠為攻防演練的開展提供實戰(zhàn)平臺。本文在分析實際需求的基礎上,從環(huán)境構(gòu)建、行為仿真和流量合成等角度,研究并提出一種通用僵尸網(wǎng)絡實驗平臺的設計方法和實現(xiàn)機制,最后通過仿真驗證該實驗平臺的有效性。

1 設計原則

僵尸網(wǎng)絡實驗環(huán)境在實驗室條件下模擬大規(guī)模僵尸網(wǎng)絡傳播、控制、攻擊過程,通過靈活的實驗任務設計和參數(shù)設置,在可控環(huán)境下能夠再現(xiàn)僵尸網(wǎng)絡的產(chǎn)生、發(fā)展、升級、防御等要素,支撐其特征建模、對比、識別、跟蹤、瓦解和反制等新手段研究以及新工具的實驗驗證。僵尸網(wǎng)絡實驗環(huán)境的設計目標是在安全可控的環(huán)境下開展高逼真度、可重復性的僵尸網(wǎng)絡實驗,實驗要素具體如下:

1)在可控環(huán)境下的有效實驗。相對于互聯(lián)網(wǎng)環(huán)境的不可控性,實驗室環(huán)境下的僵尸網(wǎng)絡研究應具有控制實驗進展的能力。例如,可以設置病毒感染的初始時間,設定事件觸發(fā)傳播進程,控制感染范圍,從而利于統(tǒng)計。同時,可控性不會影響實驗的有效性。例如,控制流量不會對實驗流量產(chǎn)生干擾,僵尸程序不會受限運行等。

2)安全可控和良好的隔離性。僵尸網(wǎng)絡及其攜帶的惡意代碼具有不可預知的安全風險,因此,實驗環(huán)境需從硬件、網(wǎng)絡、安防設置等方面進行設計,實現(xiàn)實驗場景與基礎設施以及實驗場景與外部網(wǎng)絡的安全隔離,使其具備安全開展高風險實驗的能力。

3)支持回放、場景復現(xiàn)和重復實驗。實驗環(huán)境支持過程記錄、環(huán)境恢復和場景復現(xiàn)能力,實現(xiàn)不同網(wǎng)絡場景、參數(shù)設置、僵尸類型的回放和重復性對比實驗,以便在有限時間內(nèi)體現(xiàn)僵尸網(wǎng)絡行為的統(tǒng)計規(guī)律。

4)可靈活配置實驗場景參數(shù)?？蔀橐阎臀粗牟煌愋徒┦W(wǎng)絡提供運行環(huán)境支撐,可靈活配置僵尸網(wǎng)絡規(guī)模、拓撲等參數(shù),支持面向研究任務的實驗場景自定義和自配置,提高實驗場景的逼真度。

2 系統(tǒng)設計與實現(xiàn)

2.1 系統(tǒng)框架

僵尸網(wǎng)絡實驗系統(tǒng)由場景設定、執(zhí)行引擎、實驗控制、實驗分析和數(shù)據(jù)庫等部分組成。系統(tǒng)以執(zhí)行引擎為核心,涵蓋實驗設置、控制、分析和背景流量加載等功能組件。僵尸網(wǎng)絡實驗系統(tǒng)邏輯關系如圖1所示。

圖1 僵尸網(wǎng)絡仿真平臺體系框架

場景設定組件負責對僵尸網(wǎng)絡實驗任務、基礎環(huán)境、實驗場景進行描述和設定。首先,系統(tǒng)通過對實驗任務的解析生成僵尸網(wǎng)絡基礎運行環(huán)境的配置文件、依賴服務列表和部署方案,提交給執(zhí)行引擎進行環(huán)境構(gòu)建;然后,通過向目標環(huán)境中加載僵尸網(wǎng)絡鏡像、復現(xiàn)僵尸牧主C&C控制行為以及加載傳播模型,完成僵尸網(wǎng)絡實驗場景設定和組網(wǎng)模式、交互模型、攻擊行為、協(xié)議特征等仿真實現(xiàn)。

實驗執(zhí)行引擎由虛擬化資源平臺和控制平臺組成。虛擬化資源平臺包括寄居架構(gòu)和裸金屬架構(gòu)虛擬機監(jiān)控器(VMM或hypervisor)以及虛擬化網(wǎng)絡仿真器,分別實現(xiàn)不同類型的僵尸節(jié)點和大規(guī)模網(wǎng)絡的仿真;控制平臺負責實現(xiàn)安全性、網(wǎng)絡連通性、日志維護和信息采集等功能。

實驗控制組件以系統(tǒng)管理的視角實現(xiàn)對僵尸網(wǎng)絡的宏觀控制,包括:資源使用情況監(jiān)控,實驗過程數(shù)據(jù)受控交換,并發(fā)實驗間的安全隔離,實驗過程回放,實驗參數(shù)重設,數(shù)據(jù)采集存儲以及各種數(shù)據(jù)庫、知識庫的更新和維護等。

實驗分析組件對實驗過程和數(shù)據(jù)進行分析,通過模型配置接口、編程接口,結(jié)合僵尸網(wǎng)絡特征庫,加載C&C信道分析、傳播和攻擊行為分析、網(wǎng)絡流量分析等分析模型和算法,對實驗結(jié)果進行評判。

數(shù)據(jù)庫組件包括僵尸樣本庫、日志數(shù)據(jù)庫、安全規(guī)則庫和背景流量合成器,分別實現(xiàn)僵尸樣本檢索和提取、實驗日志記錄、安全策略下發(fā)、背景流量加載等功能。其中,背景流量合成器將從真實網(wǎng)絡監(jiān)聽到的數(shù)據(jù)集映射為實驗場景的真實數(shù)據(jù)包并釋放,為僵尸網(wǎng)絡檢測和反制實驗提供支撐。

2.2 關鍵技術與實現(xiàn)機制

為在實驗室條件下高逼真復現(xiàn)大規(guī)模僵尸網(wǎng)絡的運行特征,僵尸網(wǎng)絡實驗平臺應用多分辨率虛擬化技術構(gòu)建系統(tǒng)運行的基礎環(huán)境。在此基礎上,通過C&C協(xié)議仿真和傳播行為仿真方法復現(xiàn)僵尸控制者的屬性特征和傳播行為,通過真實數(shù)據(jù)集重放方法進行背景流量生成。

定義僵尸網(wǎng)絡Botnet={BOTs,CP,CMD},各元素含義如下:

1)BOTs為僵尸主機節(jié)點(也稱肉機)集合,表示在實驗環(huán)境中被感染的節(jié)點,BOTs={BotType,Dep_info},其中,BotType∈{Repeater,Spammer}表示僵尸節(jié)點的類型,包括中繼節(jié)點(Repeater)和執(zhí)行節(jié)點(Spammer),Dep_info表示僵尸節(jié)點的部署信息,包括所在節(jié)點信息、通信端口信息等。

2)CP={BotMaster,C&C,Trans-type}表示僵尸網(wǎng)絡C&C控制協(xié)議的實現(xiàn)機制,其刻畫僵尸網(wǎng)絡的控制結(jié)構(gòu)、控制信道和路徑、控制層級等特征。其中,BotMaster為僵尸網(wǎng)絡控制者特征描述,用于仿真模型構(gòu)建,C&C描述控制信道特征,用于控制信道復現(xiàn),Trans-type為傳播行為和傳播方式特征,用于構(gòu)建傳播行為仿真模型。

3)CMD={Command,Action}表示僵尸網(wǎng)絡運行的指令集合及其響應方式,具體為指令內(nèi)容(Command)和觸發(fā)動作(Action)。

2.2.1 基礎運行環(huán)境虛擬化構(gòu)建

基礎運行環(huán)境采用統(tǒng)一網(wǎng)絡地址空間下的多粒度虛擬化技術集成構(gòu)建,構(gòu)建要素為節(jié)點和網(wǎng)絡鏈路。其中,僵尸主機、服務節(jié)點和終端采用全虛擬化方式構(gòu)建,通過鏡像增量加載方式實現(xiàn)不同類型的僵尸網(wǎng)絡節(jié)點;網(wǎng)絡節(jié)點通過基于操作系統(tǒng)容器的輕量級虛擬化技術進行大規(guī)?？焖偕?。所有節(jié)點通過橋接到虛擬交換機的方式實現(xiàn)與通信網(wǎng)絡的互聯(lián)。

由于虛擬化技術具有資源可重用、軟件可定義、跨平臺等特征,目標僵尸網(wǎng)絡的構(gòu)建也具有規(guī)模性、定制性和通用性特征,具體如下:

1)節(jié)點大規(guī)模部署

僵尸網(wǎng)絡節(jié)點包含僵尸主機BOTs、服務節(jié)點、終端節(jié)點、通信網(wǎng)絡等要素。根據(jù)實驗目標和服務器配置不同,綜合利用多種粒度虛擬化機制實現(xiàn)僵尸網(wǎng)絡的構(gòu)建,在計算資源限定的前提下實現(xiàn)逼真度和節(jié)點規(guī)模的統(tǒng)一。根據(jù)不同節(jié)點類型選擇不同部署模式,特別地,對于需要高密度部署的通信網(wǎng)絡,采用基于名稱空間的容器級虛擬化技術進行構(gòu)建。

令Node={Type,Produce,Host}表示虛擬化節(jié)點集合。其中,Type表示節(jié)點功能或類型,包括BOTs、服務節(jié)點(Server)、終端節(jié)點(Terminal)、通信網(wǎng)絡節(jié)點(Communication)4種,Produce={Full-v,Container}表示資源產(chǎn)生方式,包括全虛擬化、容器級虛擬化2種類型,Host表示資源部署主機和接口。Net={Top,Para}表示僵尸網(wǎng)絡運行所需的網(wǎng)絡環(huán)境,其中,Top表示網(wǎng)絡拓撲,描述僵尸網(wǎng)絡的鏈路關系,Para表示網(wǎng)絡協(xié)議、帶寬等參數(shù)。

綜上,僵尸網(wǎng)絡實驗環(huán)境可表示為:

Bot_sim(bot)+Host_vir(node)+

net_sim(subnet)

僵尸網(wǎng)絡運行環(huán)境可轉(zhuǎn)化為Bot_sim(bot)、Host_vir(node)、net_sim(subnet)3個基本系統(tǒng)調(diào)用,分別實現(xiàn)僵尸網(wǎng)絡節(jié)點、目標網(wǎng)絡主機和終端、承載通信網(wǎng)絡的虛擬化構(gòu)建。其中,net_sim(subnet)通過對拓撲關系和鏈路特征的配置,基于僵尸樣本庫實現(xiàn)被試僵尸網(wǎng)絡C&C信道特征復現(xiàn)。

節(jié)點部署規(guī)模與虛擬機制和平臺的硬件配置有關。對于云計算系統(tǒng)來說,密度指單個物理服務器一次可以運行的對象數(shù)量,因此,可以用部署密度來表示僵尸網(wǎng)絡的部署規(guī)模。

對于非網(wǎng)絡節(jié)點,采用全虛擬化方式構(gòu)建,每個節(jié)點運行一個完整的操作系統(tǒng)。在配置節(jié)點的虛擬機時,就分配獨立的計算、存儲和內(nèi)存資源。在內(nèi)存空間足夠的情況下,節(jié)點的部署密度與CPU核心數(shù)量和主頻成線性正比關系。服務器硬件能力不同,支持的僵尸網(wǎng)絡節(jié)點密度就不同。相同系列但不同型號的CPU,主要區(qū)別在于核數(shù)和主頻。從測試經(jīng)驗來看,VM密度與CPU性能基本呈線性關系,因此,可以通過已知類型的特定CPU的能力估算基于目標類型的CPU的部署密度。CPU性能衡量標準推薦使用業(yè)界標準組織SPEC(www.spec.org)推出的CINT2006rate指標,其測算公式如下 :

(1-α)×C

其中,density_TypeB、density_TypeA分別表示使用類型B(目標類型)和類型A(已知類型)CPU的服務器中節(jié)點部署密度,CINT2006(·)表示性能指標參數(shù),α表示性能冗余參數(shù),取值一般在10%左右,C為CPU核數(shù)。

對于網(wǎng)絡節(jié)點,由于其功能相對單一,采用容器級虛擬化技術,虛擬機共享宿主操作系統(tǒng)內(nèi)核而不必維護完整的操作系統(tǒng),從而避免過多物理服務器資源用于操作系統(tǒng)的開銷。容器無需通過在內(nèi)部創(chuàng)建客戶機操作系統(tǒng)來復制主機操作系統(tǒng)的功能,能夠更高效和動態(tài)地使用主機的資源。當放置在一個容器或服務上的需求減少時,它所消耗的資源將被釋放以供其他服務使用。因此,網(wǎng)絡節(jié)點可以大規(guī)模、高密度地部署。由于網(wǎng)絡鏈路數(shù)量能更好地描述網(wǎng)絡規(guī)模,因此網(wǎng)絡的部署密度與網(wǎng)絡連接數(shù)有關,該密度正比于單位時間(1 s)內(nèi)CPU處理的指令總數(shù)IMPS(單位為百萬)。網(wǎng)絡的部署密度計算公式如下:

其中,d為網(wǎng)絡中節(jié)點的平均連接度數(shù),n為單位時間內(nèi)CPU處理的數(shù)據(jù)報數(shù)量(包括接收存儲和轉(zhuǎn)發(fā)所需的指令數(shù))。

2)實驗對象配置

根據(jù)節(jié)點的不同實現(xiàn)形式,有不同的配置方法和配置項。對于全虛擬化實現(xiàn)的節(jié)點,在實驗部署過程中采用鏡像加載和操作系統(tǒng)配置的方法實現(xiàn)配置,配置項包括CPU核心數(shù)量、內(nèi)存空間、硬盤空間、網(wǎng)絡適配器數(shù)量和性能,通過配置實現(xiàn)不同類型的僵尸節(jié)點、依賴服務和目標業(yè)務終端。其中,虛擬磁盤的配置包含密集配置延遲置零、密集配置快速歸零和精簡配置3種配置項。

節(jié)點配置過程如圖2所示。首先節(jié)點由虛擬化控制平臺開機啟動,然后平臺將配置腳本從文件系統(tǒng)復制到指定目錄并激活運行,同時記錄日志并返回到配置控制臺,最終完成配置。

圖2 節(jié)點配置過程

對于網(wǎng)絡節(jié)點,由于共享了宿主機的系統(tǒng)資源,其僅需配置上層協(xié)議,通過平臺傳入配置腳本并運行,完成路由協(xié)議、鏈路帶寬、傳輸時延等的配置。

2.2.2 僵尸網(wǎng)絡傳播行為仿真加載

不同于真實互聯(lián)網(wǎng)環(huán)境,在僵尸網(wǎng)絡仿真環(huán)境中無法從微觀上體現(xiàn)用戶通過點擊釣魚鏈接、下載第三方軟件等行為導致的病毒感染。因此,在僵尸網(wǎng)絡仿真環(huán)境中，病毒傳播行為的復現(xiàn)需要依據(jù)僵尸網(wǎng)絡傳播模型,模擬終端主機的動態(tài)演化過程,并通過僵尸代碼動態(tài)注入加載,從而實現(xiàn)與真實環(huán)境等同的傳播效果。

僵尸網(wǎng)絡傳播模型研究多數(shù)基于經(jīng)典SIS(Susceptible-Infected-Susceptible)系統(tǒng)動力學模型[14],基于此模型,目標環(huán)境中的節(jié)點狀態(tài)可分為易感染狀態(tài)S(Susceptible)和感染狀態(tài)I(Infected),單位時間內(nèi)節(jié)點從易感染狀態(tài)轉(zhuǎn)化為感染狀態(tài)與S和I的數(shù)量呈雙線性關系。

令N(t)為t時刻系統(tǒng)中的主機數(shù),S(t)為t時刻易感染主機數(shù),I(t)為t時刻感染主機數(shù),R(t)為免疫主機數(shù),β為感染比率,δ為免疫比率。則僵尸網(wǎng)絡傳播模型的微分方程為:

在實驗過程中,根據(jù)前期掌握的特定僵尸網(wǎng)絡的統(tǒng)計數(shù)據(jù),確定感染率、免疫率等參數(shù)。通過求解上述微分方程,得到僵尸網(wǎng)絡隨時間變化的傳播規(guī)律。對應此規(guī)律,動態(tài)對目標環(huán)境注入僵尸代碼并觸發(fā)運行,從而達到模擬僵尸網(wǎng)絡傳播的目的,該過程如圖3所示。

圖3 僵尸網(wǎng)絡傳播仿真原理

在圖3中,傳播仿真驅(qū)動根據(jù)模型輸出的傳播規(guī)律函數(shù),在t到Δt時間內(nèi)動態(tài)隨機選擇滿足條件的節(jié)點,通過自動配置工具生成自動化感染指令腳本,基于執(zhí)行引擎的系統(tǒng)調(diào)用,動態(tài)地將僵尸代碼注入目標節(jié)點,實現(xiàn)僵尸主機節(jié)點生成和傳播仿真。

2.2.3 數(shù)據(jù)集加載與流量合成

數(shù)據(jù)集加載是將在真實互聯(lián)網(wǎng)骨干節(jié)點抓取的真實流量數(shù)據(jù)集重放到僵尸網(wǎng)絡仿真實驗環(huán)境中,形成背景流量,以彌補實驗環(huán)境缺乏真實用戶的弊端,提高實驗效果的真實性。流量合成是通過協(xié)議仿真器仿真特定協(xié)議,以一定比例和頻率加入到背景流量中,從而增加公開數(shù)據(jù)集特定協(xié)議的比重,便于開展有針對性的僵尸網(wǎng)絡檢測和反制研究。數(shù)據(jù)集加載與流量合成具體實現(xiàn)原理如圖4所示。

圖4 數(shù)據(jù)集加載與流量合成原理

數(shù)據(jù)集處理過程分為數(shù)據(jù)轉(zhuǎn)換和流量合成2個部分。數(shù)據(jù)轉(zhuǎn)換將從公網(wǎng)抓取的數(shù)據(jù)包進行本地化轉(zhuǎn)換,形成本地系統(tǒng)可以識別的數(shù)據(jù)集,主要有IP地址映射、噪聲過濾和協(xié)議補全3個過程。數(shù)據(jù)轉(zhuǎn)換過程采用類似tcpreplay的pcap包重放工具,對報文進行修改,主要修改內(nèi)容為TCP/IP協(xié)議2層、3層、4層報文頭,通過控制cache設置重放速度。數(shù)據(jù)集中的噪聲數(shù)據(jù)主要由無關協(xié)議和廣播組播報文組成,通過協(xié)議過濾器進行篩選和過濾,對于數(shù)據(jù)傳輸過程中不完整的協(xié)議報文,如握手協(xié)議丟失的報文,根據(jù)會話上下文進行補全。

流量合成根據(jù)實驗需要,生成指定協(xié)議的仿真數(shù)據(jù)。通過基于iperf的協(xié)議生成器生成HTTP、FTP、UPD、P2P等協(xié)議流量,并合成到重放流量中。合成過程通過指定相同網(wǎng)絡名稱空間(地址:實體)的數(shù)據(jù)包實現(xiàn)。

3 仿真驗證

本節(jié)通過構(gòu)建2個僵尸網(wǎng)絡場景來驗證本文僵尸網(wǎng)絡實驗平臺的有效性。

場景1P2P僵尸網(wǎng)絡識別實驗

P2P僵尸網(wǎng)絡中所有的僵尸主機都互相聯(lián)通,形成一個相對分散的網(wǎng)絡環(huán)境。僵尸網(wǎng)絡控制者使用非對稱加密算法對控制指令進行簽名,每個節(jié)點都維護一個IP列表,在某個節(jié)點失效時,其作用能夠輕易轉(zhuǎn)移到另一個節(jié)點上,從而具有較強的抗毀性。本場景通過平臺配置生成P2P僵尸網(wǎng)絡控制者和節(jié)點,編碼實現(xiàn)控制者和節(jié)點間的C&C協(xié)議。同時,場景中還部署基于P2P的文件傳輸作為背景流量。

場景2IoT僵尸網(wǎng)絡DDoS攻擊模擬實驗

近年來,隨著物聯(lián)網(wǎng)的興起,對于使用ARM、MIPS和PPC等CPU架構(gòu)并基于Telnet的物聯(lián)網(wǎng)僵尸網(wǎng)絡攻擊大幅增加。IoT僵尸網(wǎng)絡控制者通過掌握攝像頭、傳感器等IoT設備的漏洞,獲得控制權限,上傳可執(zhí)行的惡意軟件,訪問指定URL和各種觸發(fā)器,組織DDoS攻擊等。本實驗場景基于所設計的實驗平臺,模擬各種包含漏洞的IoT設備,實現(xiàn)IoT中外部系統(tǒng)接入、認證以及數(shù)據(jù)交換。在實驗平臺節(jié)點上,使用開源模擬處理器QEMU,在仿真CPU上運行不同的平臺,通過編碼模擬低交互響應的前端設備。僵尸控制者通過Telnet發(fā)送一系列命令,以探測和配置環(huán)境。一旦操作完成,攻擊者將嘗試遠程下載和執(zhí)行惡意軟件二進制文件,進行DDoS攻擊等惡意操作。

3.1 驗證環(huán)境與實驗樣本

在本次實驗中，原型系統(tǒng)運行于5臺IBM 3650 M4服務器上,每臺服務器配置雙路6核2.6 GHz E5-2620v2 CPU,安裝64 GB DDRIII 1 600 MHz內(nèi)存,部署VMware ESXi 5.5虛擬化平臺。

場景1實驗所用僵尸樣本采用蜜罐系統(tǒng)捕獲的攜帶DDoS攻擊能力的P2P僵尸程序逆向代碼,僵尸網(wǎng)絡檢測模型采用本課題組提出的綜合特征聚類檢測算法,背景流量由BT精靈文件共享系統(tǒng)產(chǎn)生。場景2實驗所用僵尸樣本模擬類似GoAhead攝像頭漏洞,通過空白的用戶名和口令繞過認證環(huán)節(jié),下載設備.ini描述文件,然后通過向set_ftp.cgi中注入命令來獲得root權限,并在設備上提供遠程Shell。

3.2 驗證過程

在系統(tǒng)控制臺中按照廣域網(wǎng)結(jié)構(gòu)部署含200個節(jié)點的目標網(wǎng)絡空間,通過節(jié)點配置各類僵尸網(wǎng)絡節(jié)點。隨機選擇30個節(jié)點通過平臺注入可運行僵尸程序。網(wǎng)絡節(jié)點部署quagga1.2.0,路由協(xié)議為OSPFv3,網(wǎng)絡由骨干層(1 000 Mb/s)、匯聚層(500 Mb/s)和接入層(100 Mb/s)組成。部署完成的僵尸網(wǎng)絡拓撲如圖5所示。

圖5 實驗僵尸網(wǎng)絡拓撲

3.3 性能分析

本文在僵尸網(wǎng)絡仿真實驗環(huán)境中加載了P2PB-SSMD檢測算法[15],該算法基于流簇相似性和信息熵來分析從正常P2P節(jié)點中檢測出的僵尸節(jié)點,具有較高的檢測率和較低的漏報率。對比分析本文僵尸網(wǎng)絡仿真環(huán)境與文獻[15]中基于真實數(shù)據(jù)集的仿真系統(tǒng),2種仿真環(huán)境下的檢測結(jié)果如圖6所示,其中,數(shù)據(jù)均為相同參數(shù)下10次實驗的平均值。

圖6 2種仿真環(huán)境中的檢測結(jié)果對比

從圖6可以看出,對于P2PB-SSMD檢測算法,本文僵尸網(wǎng)絡仿真環(huán)境與文獻[15]中基于真實數(shù)據(jù)集的仿真系統(tǒng)具有等同的檢測性能,性能偏差不超過10%。因此,本文仿真環(huán)境可用于新型僵尸網(wǎng)絡檢測識別算法驗證與反制方法效能研究等領域。

4 結(jié)束語

僵尸網(wǎng)絡是一種復雜、靈活、高效的網(wǎng)絡攻擊平臺,其危害遠遠超出一對一攻擊。為更好地研究僵尸網(wǎng)絡的各項特征,本文利用虛擬化技術、僵尸網(wǎng)絡行為仿真技術、數(shù)據(jù)集加載與合成技術,提出并實現(xiàn)一種高效逼真的僵尸網(wǎng)絡仿真環(huán)境。實驗結(jié)果表明,基于該仿真平臺可有效開展僵尸網(wǎng)絡檢測、識別等實驗。下一步將在本文平臺架構(gòu)的基礎上,采用Kubernetes等PaaS云計算方案構(gòu)建仿真節(jié)點和實驗拓撲,以進一步擴大該平臺可支撐的實驗規(guī)模。