社交僵尸網(wǎng)絡發(fā)展綜述

2022-08-12 02:29:18鄒福泰郭萬達李林森

計算機工程 2022年8期

葛昕，鄒福泰，郭萬達，譚越，李林森

（1.上海理工大學信息化辦公室，上海 200093；2.上海交通大學電子信息與電氣工程學院，上海 200240）

0 概述

社交網(wǎng)絡為人們提供了模擬現(xiàn)實生活的社交平臺，已成為現(xiàn)代社會建立社會關(guān)系的重要方式。近年來，世界各國主要的網(wǎng)絡社交平臺用戶數(shù)量不斷提升，以我國的新浪微博平臺為例，截至2017 年9 月，微博單月內(nèi)活躍用戶數(shù)量接近4 億，單日內(nèi)的活躍用戶近2 億。微博具有用戶數(shù)量大、消息傳播速度快等特點，已成為人們討論新聞、分享觀點的重要平臺之一。文獻［1］研究了即時信息對微博熱點新聞進行情感分類的方法，分析不同人對于相同事件的態(tài)度。這類研究針對的是現(xiàn)有社交平臺的熱點問題，具備很高的社會價值。

隨著社交網(wǎng)絡的流行與大量用戶的涌入，社交網(wǎng)絡集中儲存了大量的用戶個人信息，這些信息包含用戶的郵箱、電話號碼、興趣愛好、家庭住址等用戶的隱私信息。此外，攻擊者發(fā)現(xiàn)社交網(wǎng)絡中的部分用戶安全意識匱乏，且基于用戶信任即可建立好友關(guān)系和互相訪問對方的信息。近年來，社交網(wǎng)絡的這些特性開始被攻擊者利用，社交僵尸網(wǎng)絡應運而生。攻擊者通過社交僵尸賬號添加用戶好友，收集用戶信息，給用戶的賬戶安全造成危害。社交網(wǎng)絡迅猛發(fā)展的勢頭助長了社交僵尸網(wǎng)絡的擴散，使其成為互聯(lián)網(wǎng)的一種新的威脅。社交僵尸網(wǎng)絡具有如下的特征：隱蔽性強，社交網(wǎng)絡用戶數(shù)量大，用戶數(shù)據(jù)較為分散，在海量的正常流量中，僵尸網(wǎng)絡產(chǎn)生的流量可以輕松地隱藏自身；傳播難度低，人們在社交網(wǎng)絡平臺上傾向于根據(jù)較為主觀的個人偏好對用戶進行分組，這使得社交僵尸網(wǎng)絡能夠更加方便地擴大傳播范圍和竊取隱私數(shù)據(jù)，同時可以利用其在網(wǎng)絡中全新的定位傳播錯誤信息，試圖引導公眾輿論；危害性大，社交網(wǎng)絡平臺自身的開放性使得社交僵尸網(wǎng)絡可以在平臺上發(fā)布和部署具有欺騙性的內(nèi)容和鏈接，誘使用戶對其進行操作，從而向用戶植入惡意代碼，最終實現(xiàn)對用戶主機的控制，達到其惡意目的；持久性，因為社交網(wǎng)絡平臺的生命周期很長，其中隱藏的社交僵尸網(wǎng)絡又很難被檢測到，所以社交僵尸網(wǎng)絡可以在社交平臺上長期地存在且不被發(fā)現(xiàn)。

在社交僵尸網(wǎng)絡的發(fā)展過程中，越來越多的網(wǎng)絡安全技術(shù)開始被運用。早期的社交僵尸網(wǎng)絡普遍使用明文進行傳播，較易檢測；隨后出現(xiàn)了多種多樣復雜的、更為隱蔽的社交僵尸網(wǎng)絡，如基于圖像隱寫技術(shù)的Stegobot 社交僵尸網(wǎng)絡［2］、基于網(wǎng)頁標簽屬性域隱蔽的DR-SNbot［3］、基于推文長度的隱寫技術(shù)的Twitter 社交僵尸網(wǎng)絡［4］等。由于運用了最新的技術(shù)實現(xiàn)了很高的隱蔽性，這些僵尸網(wǎng)絡的檢測難度往往都很大，危害性相比傳統(tǒng)僵尸網(wǎng)絡也更大。

綜上所述，社交僵尸網(wǎng)絡對社交平臺有極大的破壞性，同時也危害著用戶的個人信息安全與系統(tǒng)安全。因此，研究社交僵尸網(wǎng)絡的通信方式、攻擊原理和技術(shù)，以及相應的防護、接管與反制方案十分重要，具有很高的經(jīng)濟社會價值。

本文從社交僵尸網(wǎng)絡安全威脅的根源著手，研究社交僵尸網(wǎng)絡的通信原理和運轉(zhuǎn)方式及表現(xiàn)出的群體特征與隱蔽手段，為社交網(wǎng)絡的安全防護，尤其是針對運用新技術(shù)的社交僵尸網(wǎng)絡的檢測與防護，提供相關(guān)的理論和技術(shù)支持。介紹僵尸網(wǎng)絡的概念、發(fā)展現(xiàn)狀與趨勢以及社交僵尸網(wǎng)絡的概念與發(fā)展現(xiàn)狀，并分析現(xiàn)有社交僵尸網(wǎng)絡的工作機制，對新型的社交僵尸網(wǎng)絡——隱蔽型僵尸網(wǎng)絡的兩類檢測方法以及基于機器學習的社交僵尸網(wǎng)絡檢測方法進行分析，給出社交僵尸網(wǎng)絡反制與接管的發(fā)展思路。在此基礎上，對比分析不同社交僵尸網(wǎng)絡檢測方法的優(yōu)缺點，并對未來社交僵尸網(wǎng)絡領域的研究方向進行展望。

1 僵尸網(wǎng)絡

1.1 僵尸網(wǎng)絡概念

僵尸網(wǎng)絡（Botnet）是由命令控制信道技術(shù)搭建的具有惡意目的的網(wǎng)絡［5］。攻擊者往往利用僵尸網(wǎng)絡來傳播僵尸程序，達到控制大量受害者主機的目的。其中，“攻擊者”是指能夠控制僵尸主機的控制器（Botmaster）。攻擊者可以通過一對多的方式高效地控制大量的受害主機發(fā)起DDoS 攻擊、發(fā)送垃圾郵件、傳播惡意代碼、進行點擊欺詐以及竊取受控主機敏感信息等。

命令與控制（Command and Control，C&C）信道是僵尸網(wǎng)絡的主要特征之一。唯有依賴于C&C 信道，攻擊者才能達到實時驅(qū)動批量僵尸主機執(zhí)行網(wǎng)絡攻擊的目的，而控制者能夠?qū)崿F(xiàn)對僵尸主機狀態(tài)信息及其他數(shù)據(jù)的回收與攻擊策略的實時調(diào)整［6］。根據(jù)C&C 信道的特征不同，傳統(tǒng)的僵尸網(wǎng)絡被分為基于IRC 協(xié)議的僵尸網(wǎng)絡、基于HTTP 協(xié)議的僵尸網(wǎng)絡、基于P2P 結(jié)構(gòu)的僵尸網(wǎng)絡、基于Fast-flux［7］技術(shù)的僵尸網(wǎng)絡、基于Domain Flux［8］技術(shù)的僵尸網(wǎng)絡、基于URL Flux［9］技術(shù)的僵尸網(wǎng)絡等。

隨著時間的推移，近年來出現(xiàn)了與熱門技術(shù)緊密相關(guān)的僵尸網(wǎng)絡，例如在物聯(lián)網(wǎng)（Internet of Things，IoT）中控制大量設備的IoT 僵尸網(wǎng)絡、基于區(qū)塊鏈技術(shù)通信的僵尸網(wǎng)絡等。

2016 年，基于IoT 的Mirai 僵尸網(wǎng)絡控制了接近50 萬臺物聯(lián)網(wǎng)設備，實現(xiàn)了高達1.2 Tb/s的網(wǎng)絡流量的DDoS 攻擊［10］。此后，物聯(lián)網(wǎng)中的DDoS 攻擊開始成為研究人員的關(guān)注對象［11］。近十年來，研究人員或是在Mirai僵尸網(wǎng)絡的基礎上進行改進，或是設計出更加難以實施防護的IoT 僵尸網(wǎng)絡。例如文獻［12］介紹了Linux Wifatch 僵尸網(wǎng)絡。這種IoT 僵尸網(wǎng)絡主要針對感染采用默認用戶名密碼登錄或使用弱密碼的IoT 設備設計，在感染后Wifatch 使用P2P 網(wǎng)絡，刪除主機上的其他惡意軟件，關(guān)閉該主機的Telnet 連接，并在設備日志中記錄Telnet 關(guān)閉的信息。另一種新型的僵尸網(wǎng)絡是Linux/IRCTelent，它針對支持IPv6 的物聯(lián)網(wǎng)設備設計，結(jié)合了Telnet 暴力破解、代碼注入、用戶名/密碼表等多種技術(shù)，實現(xiàn)對目標主機的感染和基于IPv4、IPv6協(xié)議的泛洪攻擊。

區(qū)塊鏈技術(shù)的發(fā)展導致了數(shù)字加密貨幣的流行，比特幣則是數(shù)字加密貨幣的代表。區(qū)塊鏈具有去中心化、不可篡改性、匿名性等特性，這些特性不僅使其可以作為網(wǎng)絡安全防護方案的核心技術(shù)，也引起了黑客的注意。黑客開始將比特幣引入僵尸網(wǎng)絡的C&C 通信，借助其特性使得現(xiàn)有的僵尸網(wǎng)絡檢測方法失效，大幅提升了僵尸網(wǎng)絡的隱蔽性。文獻［13］介紹一種基于比特幣的ZombieCoin 僵尸網(wǎng)絡，這種僵尸網(wǎng)絡采用比特幣的數(shù)字簽名來隱藏C&C 控制信息，從而增加了其檢測難度。文獻［14］介紹的比特幣僵尸網(wǎng)絡Testnet，并提出一種實現(xiàn)僵尸網(wǎng)絡控制器與僵尸主機之間雙向加密通信的僵尸網(wǎng)絡。

1.2 僵尸網(wǎng)絡發(fā)展趨勢

隨著新技術(shù)的不斷出現(xiàn)，僵尸網(wǎng)絡的傳播能力與隱蔽性在逐漸增強，同時網(wǎng)絡攻擊者開始在不同的平臺上部署僵尸網(wǎng)絡（如前文所述的出現(xiàn)在物聯(lián)網(wǎng)上的IoT 僵尸網(wǎng)絡以及出現(xiàn)在社交平臺上的社交僵尸網(wǎng)絡）。由此可見，僵尸網(wǎng)絡帶來的網(wǎng)絡安全威脅在不斷增加。對于這類安全威脅的防范，潛在的研究不僅在于對僵尸網(wǎng)絡的檢測，還包括如何對僵尸網(wǎng)絡進行反制，降低其傳播速度與危害性。

2 社交僵尸網(wǎng)絡

基于社交網(wǎng)絡的僵尸網(wǎng)絡與傳統(tǒng)的僵尸網(wǎng)絡有著較大的區(qū)別：在傳統(tǒng)的僵尸網(wǎng)絡中，被控制的節(jié)點不是控制者擁有的主機，而是存在于網(wǎng)絡上的其他用戶的主機。而在社交僵尸網(wǎng)絡中，被控制的節(jié)點是攻擊者自行創(chuàng)建的社交賬號，攻擊者利用僵尸程序控制這些賬號執(zhí)行一些極其類似真實用戶的行為來模擬真實賬號，該過程如圖1 所示。

圖1 社交僵尸網(wǎng)絡概念示意圖Fig.1 Schematic diagram of social botnet concepts

上述差別導致了社交僵尸網(wǎng)絡一般不存在感染其他主機的惡意代碼，而是通過偽造的URL 來誘導人們點擊下載惡意代碼；社交僵尸網(wǎng)絡也不存在特殊的通信協(xié)議，因為社交僵尸網(wǎng)絡中的通信幾乎都是僵尸程序與社交網(wǎng)絡服務器之間的基于HTTP 的通信。上述不同導致了兩者的檢測方法的差異性。

2.1 社交僵尸網(wǎng)絡定義

定義1（社交僵尸）社交僵尸是一種特殊的聊天機器人，用于社交網(wǎng)絡自動生成消息或者支持某些想法、活動和公共關(guān)系，收集追隨者信息的虛假賬戶［15］。

定義2（社交僵尸網(wǎng)絡）社交僵尸網(wǎng)絡是指在社交網(wǎng)絡中，攻擊者出于惡意目的，通過一對多控制結(jié)構(gòu)操縱大量的可模擬真實用戶的僵尸賬號形成的受控網(wǎng)絡［16］。

僵尸賬號是攻擊者通過人工方法或者運用僵尸程序創(chuàng)建的被社交網(wǎng)絡控制的賬號，僵尸賬號之間不會進行通信。僵尸賬號并不只是收集用戶信息，還有許多僵尸賬號利用與真實用戶之間的信任關(guān)系傳播垃圾信息，嚴重影響社交網(wǎng)絡安全。

2.2 社交僵尸網(wǎng)絡惡意行為

社交僵尸網(wǎng)絡的惡意行為與普通僵尸網(wǎng)絡惡意行為類似，文獻［17］將社交僵尸網(wǎng)絡的惡意行為分為三大類：消息散布（Information Dispersion），信息收集（Information Gathering）和信息處理（Information Processing），如圖2 所示。

圖2 社交僵尸網(wǎng)絡惡意行為的分類Fig.2 Classification of social Botnet malicious behavior

社交僵尸網(wǎng)絡惡意行為一般有以下5 種形式：

1）污染網(wǎng)絡環(huán)境。一些僵尸賬號隱藏在真實賬號之下，通過投放廣告賺取點擊量，如傳播色情、反動信息。一些社交僵尸賬號與合法用戶之間確立了信任關(guān)系，以更加難以發(fā)現(xiàn)的方式發(fā)布垃圾信息。

2）引導輿論。當一些重大事件發(fā)生時，社交僵尸網(wǎng)絡通過控制大量社交僵尸賬號集體發(fā)聲制造巨大的網(wǎng)絡聲浪，引導和控制社會輿論，甚至影響事態(tài)的發(fā)展，這即所謂的社交網(wǎng)絡水軍。

3）竊取信息。社交僵尸賬號通過與真實的用戶建立相互的信任關(guān)系，通過與真實用戶進行互動，收集真實用戶的隱私信息。獲取這些信息后，攻擊者就可以將它們轉(zhuǎn)賣給營銷公司，造成用戶信息泄露，導致用戶收到大量垃圾短信、垃圾郵件、騷擾電話等。

4）惡意植入。通過與真實用戶建立的信任關(guān)系發(fā)布偽造的URL 鏈接。攻擊者可以使用偽造的URL 鏈接進行網(wǎng)絡釣魚、傳播病毒、誘導用戶下載惡意代碼等行為。一些缺乏網(wǎng)絡安全意識的用戶常會無條件地信任并點擊“朋友”發(fā)布的鏈接，從而遭受惡意攻擊，甚至被盜取賬號、植入主機病毒等。

5）虛假信息傳播。由于社交網(wǎng)絡的巨大體量和社交僵尸網(wǎng)絡強大的消息擴散能力，攻擊者可以利用社交網(wǎng)絡上的僵尸賬號進行謠言的傳播。

在國際上已經(jīng)有社交僵尸網(wǎng)絡的惡意行為這一應用的先例：一份針對2010 年美國中期大選的文獻指出了社交僵尸網(wǎng)絡的濫用影響了大選的最終結(jié)果［18］；2014 年，印度的大選中也被發(fā)現(xiàn)有運用社交僵尸賬號散布對敵對政黨不利的新聞的現(xiàn)象［19］。另外，文獻［20］指出，一些國家的政府利用社交僵尸網(wǎng)絡來誘導大眾發(fā)表有利于政府的觀點。從國家的層面來講，現(xiàn)代的戰(zhàn)爭形成了認知域這一全新的作戰(zhàn)維度，與傳統(tǒng)戰(zhàn)爭中的物理域和信息域共同構(gòu)成了現(xiàn)代戰(zhàn)爭的三大戰(zhàn)場。目前，社交僵尸網(wǎng)絡的出現(xiàn)吸引了一些組織的注意力，他們開始嘗試將社交僵尸網(wǎng)絡運用在向敵人散布虛假的消息或者錯誤的消息上，這會給敵人的心理造成一些影響，從而左右戰(zhàn)爭的局勢。因此，雖然還沒有證據(jù)表明社交僵尸網(wǎng)絡已經(jīng)被運用在現(xiàn)代戰(zhàn)爭中，但是要注意到社交僵尸網(wǎng)絡的力量及其對戰(zhàn)爭勝負的影響力。

綜上可見，社交僵尸網(wǎng)絡帶來的安全威脅是不可小覷的。因此，有必要了解并研究社交僵尸網(wǎng)絡的攻擊原理與防御方法。

3 社交僵尸網(wǎng)絡發(fā)展階段

從第一個知名的社交僵尸網(wǎng)絡Koobface［21］出現(xiàn)至今，其攻擊形態(tài)和攻擊技術(shù)都發(fā)生了巨大的變化，從最初借助社交平臺對C&C 信道進行弱加密，到運用隱寫技術(shù)將控制命令隱藏在圖片或文本中進行傳播的社交僵尸網(wǎng)絡，社交僵尸網(wǎng)絡的隱蔽性越來越強，種類也變得更加繁雜。

3.1 傳統(tǒng)社交僵尸網(wǎng)絡階段

隨著社交網(wǎng)絡平臺的發(fā)展，僵尸網(wǎng)絡被引入社交網(wǎng)絡中。隨著2010 年第一個成功傳播的社交僵尸網(wǎng)絡Koobface 的出現(xiàn)，一批以傳統(tǒng)僵尸網(wǎng)絡技術(shù)為基礎的社交僵尸網(wǎng)絡大量產(chǎn)生。下面按照社交僵尸網(wǎng)絡所針對的社交平臺的不同，分別介紹社交僵尸網(wǎng)絡的發(fā)展演化歷程。

3.1.1 Facebook 上的社交僵尸網(wǎng)絡

文獻［21］介紹了利用社交網(wǎng)絡平臺進行傳播且獲得成功的僵尸網(wǎng)絡Koobface，其攻擊目標是擁有諸如Facebook、MySpace 等社交網(wǎng)站賬號的個人用戶，目標系統(tǒng)為Windows 系列操作系統(tǒng)。攻擊者通過Koobface 可以實現(xiàn)廣告推送、惡意軟件付費安裝、用戶信息竊取，進而牟取暴利。Koobface 通過社會工程學的方式進行傳播。具體來講，Koobface 利用社交網(wǎng)絡平臺發(fā)布惡意視頻鏈接，誘騙用戶點擊并安裝惡意插件從而感染成為僵尸主機。攻擊者會事先注冊若干blogspot1/bit.ly 賬號，同時準備好一批被劫持和篡改的網(wǎng)站頁面。準備完畢后，Koobface 會利用已感染用戶的社交賬號進行惡意鏈接的發(fā)布和推送（第1 個階段），該鏈接指向攻擊者準備的惡意blogspot/bit.ly 鏈接（第2 個階段），當用戶點擊訪問社交賬號上發(fā)布的鏈接時首先會跳轉(zhuǎn)到blogspot/bit.ly 中的惡意鏈接，接著blogspot/bit.ly 的鏈接將會把請求重定向到被劫持和篡改的網(wǎng)頁（第3 個階段），通過頁面的JavaScript 腳本再一次將用戶的請求重定向到最終目的地——惡意視頻頁面（第4 個階段）。還有一些研究人員研究了Koobface 僵尸網(wǎng)絡的傳播及命令控制機制，并分析了Koobface 的URL 混淆技術(shù)，他們認為Koobface 僅對C&C 信道進行了弱加密。

文獻［22］介紹了基于Facebook 的社交僵尸網(wǎng)絡Yazanbot。該社交僵尸程序可以產(chǎn)生分別針對社交網(wǎng)絡信息傳遞過程和社交關(guān)系管理結(jié)構(gòu)的兩種操作。前者可以對Facebook 上的內(nèi)容進行讀、寫等操作；后者則可以產(chǎn)生新的社交關(guān)系圖。僵尸網(wǎng)絡控制者賬戶可以通過發(fā)布不同的命令，實現(xiàn)與社交僵尸賬戶之間的建立與斷開連接操作。同時，僵尸網(wǎng)絡控制者賬戶還能夠操縱社交僵尸賬戶的行為，執(zhí)行包括命令僵尸賬戶連接正常的社交賬戶和倉庫內(nèi)的其他賬戶、尋找鄰居賬戶、返回收集到的用戶信息在內(nèi)的操作。Facebook 提供的API 接口和HTTP 請求的模板庫是Yazanbot 工作的主要基礎。

其他以Facebook 為平臺的社交僵尸網(wǎng)絡還有文獻［23］介紹的Fbbot。Fbbot在隨機時間登錄Facebook 網(wǎng)站首頁，獲取最新狀態(tài)，解析后得到相關(guān)的命令并進行對應的操作，最終提供反饋信息。Facebook 上的社交僵尸網(wǎng)絡多利用Facebook 提供的Facebook Graph API［24］來進行大規(guī)模的社交關(guān)系操作，利用社交僵尸程序收集用戶的個人信息。

3.1.2 Twitter 上的社交僵尸網(wǎng)絡

與Koobface 同期出現(xiàn)的社交僵尸網(wǎng)絡還有文獻［25］介紹的基于Twitter的僵尸網(wǎng)絡Nazbot。Nazbot 使用Twitter 上的賬戶名為upd4t3 的僵尸主機接收命令。Nazbot 首先向upd4t3 的RSS 發(fā)出HTTP GET 請求，Twitter 隨后返回一個以Base64 編碼的文本RSS 提交給Nazbot。然后Nazbot 對該文本進行解碼，并從bit.ly 網(wǎng)址獲取真實的URL，該bit.ly URL 重定向到一個獨立服務器上的惡意文件。隨后Nazbot下載這個惡意文件并將其作為有效載荷解壓并執(zhí)行。最后有效載荷竊取用戶的管理信息，并將收集到的信息返回給botmaster 控制的服務器。

文獻［26］介紹了以明文發(fā)布命令的基于Twitter的移動僵尸網(wǎng)絡。ZeroFOX 威脅研究小組對一個名為Siren 的大型僵尸網(wǎng)絡進行了調(diào)查研究［27］，該網(wǎng)絡利用算法生成的Twitter 賬戶所形成的龐大信息網(wǎng)絡來發(fā)布有效的URL，該URL 可以重定向到很多包含色情內(nèi)容的網(wǎng)站上。隨后被控制的僵尸賬戶通過直接轉(zhuǎn)發(fā)受害者的推文，來誘使受害者掉入陷阱。

2013 年出現(xiàn)了另一種Twitter 上的社交僵尸網(wǎng)絡Twitterbot［28］。研究人員使用Twitter 作為僵尸網(wǎng)絡的C＆C 信道，直接在Twitter 賬戶上發(fā)布僵尸網(wǎng)絡命令。僵尸程序通過Twitter 網(wǎng)站上的Twitter 消息搜索引擎來獲取命令，并使用OAuth 認證機制和twitter4j API 接口開發(fā)的應用程序進行通信。Twitterbot 使用關(guān)鍵詞減少了Twitter 消息的可疑度，提高了僵尸網(wǎng)絡節(jié)點的存活率。

3.1.3 Weibo 上的社交僵尸網(wǎng)絡

相比于國外的社交僵尸網(wǎng)絡，我國出現(xiàn)社交僵尸網(wǎng)絡的時間相對較晚。2017 年，文獻［23］介紹了基于微博平臺的社交僵尸網(wǎng)絡Wbbot，它通過模擬IE 瀏覽器的行為來訪問微博網(wǎng)站，最終獲取用戶在微博上的個人信息。Wbbot 首先嘗試從微博主頁獲取botmaster的狀態(tài)。隨后僵尸程序檢查控制命令是否被包含在微博的狀態(tài)信息中，以及相關(guān)命令是否已經(jīng)被執(zhí)行。最后僵尸程序會對新的命令進行處理和分析，并執(zhí)行相應的操作。該社交僵尸網(wǎng)絡共存在10 個不同的控制命令：6 個主機上的行動命令用來獲取本地網(wǎng)絡信息、Windows系統(tǒng)版本、執(zhí)行DoS 命令、迫使IE 瀏覽器打開一個URL、強迫受害者主機重新綁定域名和IP 等；另外4 個在線社交網(wǎng)絡活動的命令可以控制感染微博賬戶發(fā)布文本消息、更新狀態(tài)信息、對微博消息進行評論、關(guān)注指定賬戶。

其他Weibo 上的社交僵尸網(wǎng)絡有文獻［3］介紹的DR-SNbot，這種僵尸網(wǎng)絡基于新浪博客搭建C&C信道，同時將控制命令隱藏在博文中，并將其發(fā)送到多個博客上。文獻［29］介紹的基于P2P 的社交僵尸網(wǎng)絡，通過匿名網(wǎng)絡注冊賬戶將加密后的命令釋放到賬戶中。超級節(jié)點根據(jù)P2P 通信機制，使用相同的微博昵稱生成算法，并主動通過HTTP 請求從微博賬戶中獲取加密命令，增加了防御者跟蹤整個僵尸網(wǎng)絡的難度，彌補了P2P 僵尸網(wǎng)絡模型中缺少命令服務器的問題。表1總結(jié)了現(xiàn)有的社交僵尸網(wǎng)絡的主要特點。由于微博平臺的API接口控制較為嚴格，相比于Twitter和Facebook開放程度較低，因此很少有基于微博的社交僵尸網(wǎng)絡研究，而且現(xiàn)有的基于微博的社交僵尸網(wǎng)絡的存活時間也相對較短。

表1 不同平臺上的社交僵尸網(wǎng)絡Table 1 Social Botnets on different platforms

3.2 新型社交僵尸網(wǎng)絡階段

僵尸網(wǎng)絡的C&C 信道負責傳輸僵尸網(wǎng)絡的內(nèi)部控制消息，為防止第三方冒充Botmaster 發(fā)布命令或竊聽C&C 通信內(nèi)容，攻擊者通常會在通信過程中引入相關(guān)的加密技術(shù)。然而，由于發(fā)布在社交網(wǎng)絡上的社交僵尸網(wǎng)絡命令一般是對用戶公開的明文，因此社交僵尸網(wǎng)絡的C&C 信道還必須具備較高的隱蔽性，以防止這些惡意消息被發(fā)現(xiàn)，最終導致僵尸網(wǎng)絡被檢測到并被破壞。為了逃避系統(tǒng)檢測，社交僵尸網(wǎng)絡開始探索基于信息隱藏技術(shù)的隱蔽通道的使用。隱蔽型社交僵尸網(wǎng)絡面臨如下幾個主要問題：如何隱蔽地利用人類的社交習慣，通信的信息如何隱藏，如何更好地逃避檢測。因此，隱寫技術(shù)逐漸被引入到社交僵尸網(wǎng)絡的設計與開發(fā)過程中。

隱寫技術(shù)是一門關(guān)于信息隱藏的技術(shù)和科學，即除預計的信息接收者外，沒有人會知道信息的傳輸（不僅僅是消息的內(nèi)容）。其中，最常用的隱寫技術(shù)是基于圖像的隱寫技術(shù)。最具有代表性的隱寫技術(shù)是JPEG 隱寫技術(shù)Jsteg［30］，其主要思想是在離散余弦變換系數(shù)最小的位中隱藏數(shù)據(jù)，從而保證無法用肉眼看出隱寫后與隱寫前圖像之間的區(qū)別。其他的圖像隱寫技術(shù)還有YASS［31］、基于模型的MB［32］、Outguess［33］、F5［34］等。其中YASS 隨機選取8×8 的字塊，將隱寫信息嵌入到該字塊的DCT 系數(shù)中。

3.2.1 基于圖像隱寫技術(shù)的社交僵尸網(wǎng)絡

文獻［2］介紹了基于圖像隱寫技術(shù)的Stegobot社交僵尸網(wǎng)絡。Stegobot 使用社交網(wǎng)絡用戶共享的圖像作為構(gòu)建C&C 通信的通道媒體，采用YASS 圖像隱寫技術(shù)在社交網(wǎng)絡中建立一個通信的通道，并將其作為社交僵尸網(wǎng)絡的C&C 信道。Stegobot 的設計目的是通過社交網(wǎng)絡，比如電子郵件通信網(wǎng)絡或允許朋友交換電子郵件的在線社交網(wǎng)絡來感染用戶。Stegobot 感染大量主機，并從主機向Botmaster傳輸盜取的信息。當用戶從受感染的主機上傳圖像到Facebook 時，僵尸會截取圖像，并在發(fā)送到Facebook 前使用YASS 圖像隱寫技術(shù)將僵尸負載插入到圖像中。當Botmaster 準備發(fā)布命令時，它通過生成一個僵尸負載消息并將其上傳至它的Facebook賬戶來完成，然而，圖片占用很大的空間將顯著增加僵尸網(wǎng)絡信道的流量，容易被檢測到。Stegobot 圖像隱寫系統(tǒng)的結(jié)構(gòu)如圖3 所示。

圖3 Stegobot 圖像隱寫系統(tǒng)Fig.3 Stegobot image steganography system

3.2.2 基于文本隱寫技術(shù)的社交僵尸網(wǎng)絡

文獻［3］介紹的DR-SNbot 包括Botmaster、C&CServer 與Bot 3 個部分。其中僵尸網(wǎng)絡的控制端是Botmaster部分，這部分用來發(fā)送攻擊命令。C&C-Server是命令控制服務器，是注冊昵稱對應的社交網(wǎng)絡虛擬主機。每個C&C-Server 對應進行一個企業(yè)不同的注冊昵稱，并將命令隱藏在僵尸網(wǎng)絡日志中發(fā)布。當C&C服務器出現(xiàn)故障時，災難恢復機器人會發(fā)出預警，通知攻擊者構(gòu)建新的C&C 服務器，并自動修復C&C 通信信道，以確保其強大的抗毀性。Bot 是僵尸程序，通常運行在移動終端上，用于在C&C-Server 上下載命令并解析執(zhí)行這些命令。DR-SNbot 的C&C 信道命令的發(fā)布包括預處理、信息隱藏、POST、GET、信息提取、后處理6 個步驟。預處理過程是指Botmaster對命令進行加密和簽名，最終形成密文。信息隱藏是指Botmaster 在一個屬性域中隱藏一段密文，隨后在正常日志中插入這個標簽。這個被操作的屬性域要擁有特殊的網(wǎng)頁標簽。僵尸主機通過HTTP 的POST 方式將日志上傳到C&C-Server，Bot 通過GET 請求下載該日志，在Bot 日志中尋找與眾不同的網(wǎng)頁標簽（如），確定該標簽的屬性域，并在提取信息隱藏階段加密得到的密文。最后Bot 驗證Botmaster 產(chǎn)生的數(shù)字簽名，如果該簽名驗證最終是通過的，那么Bot 對該消息進行解密，得到對應的明文（即命令），如果簽名驗證不通過，Bot 會丟棄這條消息。C&C 信道流程如圖4 所示。