近年来,互联网新技术新应用不断推陈出新,给人们的日常生活和工作带来了巨大便捷的同时,也给网络安全带来了全新挑战。以分布式拒绝服务攻击、钓鱼邮件、加密勒索、银行账户窃取为代表的网络攻击事件时常发生,给个人、企业乃至国家造成了巨大损失。在这其中,僵尸网络作为一种通用型承载平台,成为了上述增值网络攻击的源头。在当前背景下,其影响范围由传统个人电脑扩大到了智能手机、工控系统、云服务、路由器、IP摄像头等各类型设施,其形态不断发生变化,攻击手段日趋多样化,这给防御研究者带来了巨大挑战。不仅如此,在以国家为背景的APT攻击案例中,僵尸网络的命令控制技术得到了广泛的应用,作为一种有效攻击武器,僵尸网络在未来的网络战场中将发挥重要作用。基于上述事实,深入研究僵尸网络核心机理,关注僵尸网络演化规律,全面把握僵尸网络相关攻防关键技术,预测新型僵尸网络形态和攻击技术,完善已有僵尸网络防御体系对于提高僵尸网络安全事件的应急处置能力、提升我国网络战威慑力、保障我国家网络空间安全具有十分重要的意义。本学位论文从攻防两个角度对僵尸网络关键技术进行研究:从攻击者视角出发,关注僵尸网络演进规律,以受控分析环境与普通感染主机的行为差异性为切入点,研究高对抗和智能化管控技术,预测未来可能出现的僵尸网络命令控制信道模型和生存模型;从防御者角度出发,分析提取僵尸网络通信行为的关键特征,研究面向网络流量的僵尸网络检测相关技术。全文研究内容主要包括僵尸网络分析与评估研究、僵尸网络生存模型研究、僵尸网络信道模型研究,以及僵尸网络检测技术研究四部分。在僵尸网络分析与评估研究方向上,本文首先归纳并分析已有僵尸网络生命周期模型的缺陷,提出一种基于隐马尔科夫模型的僵尸网络生命周期模型,适用于细粒度描述僵尸网络个体的状态迁移情况。从攻击者角度出发,在攻防对抗的需求中提取出僵尸网络九大关键属性,对各属性含义和期望进行阐述,利用该属性对僵尸网络代表性协议进行脆弱性分析。在充分借鉴已有性能评估方法的基础上,本文提出一种面向七维关键属性的僵尸网络量化评估模型,可对僵尸网络进行全方位量化评估,填补了已有研究的空缺。借助该模型,以第三方监测数据和志愿者观测数据为依据,对代表性物联网僵尸网络Mirai进行评估。同时利用SI和SIR传播模型评估Mirai的传播能力,仿真结果表明理想状态下Mirai可以在三小时内感染脆弱的物联网设备,一定规模条件下可在一小时内利用新的漏洞感染任意一台脆弱设备,揭示了当前物联网僵尸网络威胁的严重性。此外,本文以时间为线索,基于公开的僵尸网络案例报道和学术研究成果,总结僵尸网络攻击技术演化规律,将僵尸网络的发展历程划分为“PC攻击”和“广泛攻击”两大阶段。“广泛攻击”阶段涵盖“PC僵尸网络”、“新兴僵尸网络”以及“APT中僵尸网络”三种演化方向,本文对各阶段中僵尸网络形态、代表案例、命令控制协议、恶意行为进行详细归纳对比。从类别、命令控制协议、恶意行为、属性四个方面预测未来僵尸网络发展趋势。在僵尸网络生存模型研究方向上,本文提出一种具备高对抗能力的僵尸网络生存模型,该模型改变常规僵尸网络工作流程,提出一种“终端信息采集,后端识别分析”的对抗机制,将该机制纳入到常规工作流程中,提升僵尸网络识别防御方监控分析环境、对抗检测系统发现、支持细粒度差异化管控的能力。模型实现的关键点包括注册认证信道构建技术、终端身份识别技术以及通信模式相似性消除技术。在注册认证信道研究方面,本文提出一种基于公共服务资源的信道,利用可自定义的缩址服务实现一种动态寻址算法SURL-Flux,利用公开云存储服务实现高效的终端信息回传,利用匿名网络有效保护信息交互过程中控制者身份的安全性;在终端身份识别技术研究方面,本文提出基于用户行为的差异性区分敌手和普通正常用户,对感染终端的基本配置、使用记录、键鼠操作相关统计特征进行采集,通过注册认证信道回传,控制者借助机器学习算法进行身份的有效识别。本地仿真实验以监控分析所用虚拟机和普通物理机作为测试对象,实验结果证明通过聚类算法可以对不同群体进行有效识别;在通信模式相似性消除技术研究方面,本文以主流的基于数据流统计特征的检测方法为绕过对象,引入常见检测方案中采用的特征,以背景流量为模板,提出一种基于自适应模板的通信模式变化技术。该方法可以有效消除不同僵尸主机间通信模式相似性,对比实验证明其一定程度上增加了对抗流量检测系统识别的能力。该模型有效弥补了已有僵尸网络在隐蔽性和智能感知能力上的不足,代表了高级僵尸网络攻击技术的发展方向,对研究人员未来开展相关防御工作具有重要启示意义。在信道模型预测研究方向上,本文以当今Web安全威胁的严重性和僵尸网络广泛攻击的发展趋势为出发点,研究面向Web服务器的命令控制信道技术,提出一种基于Webshell的层次化命令控制信道模型。该模型基于无连接和协同泛洪传递思想,对传统单点下发的Webshell的控制方式进行改进,提出树状结构自顶向下的并发命令传递方法,可有效提高僵尸主机的管控效率;基于Tor网络的Hidden Service和Tor2Web服务构建命令控制信道,有效隐藏命令控制服务器真实信息,使传统溯源方法难以奏效;基于感染主机网络行为的信誉评估方法,控制者可以快速发现和定位蜜罐主机,使该模型具备一定的智能感知能力;中心认证和动态加密机制可以有效对抗防御方的攻击重放、劫持和测量行为。本地仿真实验证明所提出的信道模型具备较好的效率和可靠性,其抗毁能力完全优于随机网络模型,随着移除数量的不断增大,其健壮性逐渐优于小世界网络模型。从防御角度出发,本文提出了利用匿名网络漏洞、渗透监控、代理节点拒绝服务攻击、建立国际合作机制四种针对性防御建议。在僵尸网络检测技术研究方向上,本文以主流HTTP僵尸网络为对象,研究面向数据流的被动检测技术和特征码生成技术。在检测技术研究方面,本文提出一种面向HTTP首次请求包和首次响应包(简称“一问一答”包)的检测方法,对HTTP “一问一答”数据包大小以及头部关键字段信息的统计特征进行提取,利用代表性机器学习分类算法识别僵尸网络流量。交叉验证实验证明该方法有效平衡了准确性和时空开销,支持小规模检测场景的需求,可对Bobax、ZeuS、Spyeye等著名的HTTP僵尸网络的通信流量进行准确检测,与基于传统数据流特征的检测方法相比性能更佳。在特征码提取技术研究方面,本文提出一种基于HTTP僵尸网络头部关键信息相似性的特征码生成方法,可以自动化生成高质量网络特征码,可与特征码检测系统联动,帮助防御人员更加广泛、快速地识别僵尸网络流量。在工程实现方面,本文概述了基于“一问一答”包的僵尸网络检测方法以及特征码的自动生成方法的设计理念和体系架构。其设计方案申请并获得了国家专利授权,实现的原型系统作为“面向三网融合的统一安全管控网络” 863子课题的重要研究内容,在项目技术验收环节中得到了国内专家同行的一致认可。