僵尸网络新型命令控制机制及检测关键技术研究

摘要

僵尸网络可被攻击者用来实施覆盖范围大、攻击力度强、防范难度高的网络攻击，对互联网正常运行造成严重威胁。由于僵尸网络是在互联网上通过命令控制机制将感染僵尸程序的设备组织成一个逻辑的可受控网络平台，因而命令控制机制是僵尸网络正常运行的核心所在，且随着僵尸网络的不断演进而发生变化。研究僵尸网络命令控制机制对理解僵尸网络运行机理、探索未来僵尸网络可能的组织方式、识别与检测未知僵尸网络类型、遏制僵尸网络的蔓延等具有重要作用。
　　已揭示的僵尸网络命令控制机制采用固定IP或者域名、Domain-Flux、Fast-Flux及P2P方式来查找命令控制服务器节点，且使用明文或密文的方式来传送命令控制信息。主要存在命令控制服务器节点查找过程隐蔽性较弱、命令控制信息明文传送安全性较低而加密方式时空复杂度高、本地网络同类僵尸节点通信行为具有相似性等问题。
　　本文针对上述问题，围绕新型命令控制机制的构建，从命令控制服务器节点信息查找、命令控制信息隐蔽传送及本地网络同类僵尸节点命令控制信息分发等内容展开研究，论文具体主要工作及创新分为如下四个方面:
　　(1)针对僵尸节点查找命令控制服务器节点过程隐蔽性较差的问题，提出基于Web搜索服务的命令控制服务器节点信息查找方法，并通过较长时间的实验测试，验证了该方法的可行性与有效性。该方利用正常Web搜索服务来伪装命令控制服务器节点查找过程，攻击者事先通过免费博客发布以日期MD5值为标题、命令控制服务器节点信息（如IP地址、域名等）为内容的博文，且这些博文可被Web搜索引擎收录。其次，僵尸节点通过关键字生成算法产生日期的MD5值，并作为搜索关键字递交给Web搜索服务获取搜索记录集合。最后，利用Top-K算法对该记录集合进行过滤，选取排名前K条与含有命令控制服务器节点信息博文相关的记录，并提取这些记录摘要部分中的命令控制服务器节点信息。
　　(2)针对命令控制信息明文传送安全性较低、加密传送时空复杂度大问题，提出基于信息隐藏思想的命令控制信息传送方法，克服了明文传送方式易被检测与识别问题，且有效避免了加密传送方式造成的时空开销较大的问题。该方法以Web页面HTML代码为载体，借用信息隐藏技术来传送命令控制信息。首先分析了当前Web页面HTML代码的内在特征，根据自定义的字符编码表将命令控制信息进行序列化以形成二进制串，并对该二进制串进行Arnold置乱变换以增加其隐蔽性。然后通过改变载体Web页面HTML代码中每行/列字符数量的奇偶性来表示置乱二进制串中每个比特，实现命令控制信息在载体Web页面中的隐藏。最后，当僵尸节点获取该载体Web页面后，通过判断其HTML代码的奇偶性与Arnold逆变换即可提取出所隐藏的命令控制信息，完成命令控制信息传送。
　　(3)针对本地网络同类僵尸节点获取命令控制信息过程存在通信行为相似性的问题，提出面向本地网络同类僵尸节点的命令控制信息分发方法，提高了同类型僵尸节点通信流量的隐蔽性，从而有效避免其通信行为相似性，且具有较好的鲁棒性。该方法通过本地网络选举出的僵尸节点代表来获取与分发命令控制信息。首先，定义开机时间比与CPU利用率比作为评价僵尸节点性能的两个指标。其次，本地网络内同类型僵尸节点通过LLMNR Query报文将自身的两个评价指标数值进行相互通告后，结合证据理论选出该同类型僵尸节点的临时代表BTL。然后，BTL通过Web搜索服务来查找命令控制服务器节点，并利用Web页面信息隐藏方式获取命令控制信息。最后，BTL构造含有命令控制信息的LLMNR Query报文以告知其它同类僵尸节点，从而完成命令信息在本地网络内的分发。
　　(4)基于上述方法的研究，设计并实现检测原型系统。为尽早发现或识别利用上述方法的僵尸网络，本文分别针对基于Web搜索服务的命令控制服务器节点信息查找方法、基于信息隐藏思想的命令控制信息传送方法及面向本地网络同类型僵尸节点的命令控制信息分发方法，提出了可供参考的检测模型，并设计和实现了以这些检测模型为核心的检测原型系统。通过在实际校园网中部署与测试该系统，验证了所提检测模型的可行性与有效性。