论文部分内容阅读
摘 要:随着互联网和电子商务平台的发展,网络购物已成为人们社会生活中的日常行为。僵尸网络是一种新兴的互联网威胁,其数量、规模和危害级别正在迅速增长,并已使全球网络进入新的警戒状态。尤其是在网络购物方面,僵尸网络常被不法分子利用而对网络购物平台发起网络攻击。众多真实的案例表明,利用僵尸网络追踪技术保障网络购物安全已成为从事網络安全的研究人员所重点关注的领域。文章以当前僵尸网络的研究技术为基础,进而对僵尸网络的检测与追踪技术进行归纳与总结,为学该领域的研究提供借鉴,并为网络购物平台日后在研制、开发和部署位于路由节点的僵尸网络检测与追踪实时监控系统奠定基础。
关键词:僵尸网络;网络安全;检测技术;追踪技术;网络购物安全
0 引言
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。僵尸网络具有隐匿、灵活的特点,并且可以高效地执行一对多命令与控制机制,这些特点使得被攻击者广泛接受并使用于实现窃取敏感信息、发送分布式拒绝服务攻击和发送垃圾邮件等攻击目的[1]。从1999年被发现以来,僵尸网络正在步入快速发展期,并已对网络购物安全造成了严重威胁,其特点如下。
(1)当下的网络购物平台拥有数量庞大的用户规模,并且用户具有高度分散等特点,这也为僵尸网络提供了非常便利的条件将自己产生的非法流量隐藏在用户产生的合法海量流量中。
(2)在当前的电子商务中,商家会根据用户的浏览兴趣、习惯与关系进行归类分组,这也使得社交僵尸网络窃取用户的个人信息与传播过程变得更加方便。
(3)当下的网络购物平台普遍具有开放性,这使得网络上的恶意用户可以利用平台的开放性进行欺骗,或诱惑性地使普通用户安装下载攻击性程序。
(4)此外,因为网络购物平台具有不会关闭的特点,使得僵尸网络可以长期生存在平台上,并且不易被查杀,随着时间的累积,僵尸网络的规模将逐渐扩大。
本文以当前僵尸网络的研究技术为基础,对僵尸网络国内外的检测与追踪技术进行了归纳与总结,分析了以协议、内容、流量为三大特征的分析检测技术,深入探讨了利用数据仓库、数据挖掘以及大规模拓跋可视化为技术出发点的追踪技术,并在总结僵尸网络演变规律的基础上提出了一个基于路由节点的僵尸网络检测与追踪解决方案。对僵尸网络进行检测与追踪的相关技术研究如图1所示。
1 相关研究
1.1 僵尸网络检测技术研究
1.1.1 僵尸网络检测技术
要想在路由节点上实现对网络购物中僵尸网络快速、准确的检测,首先就必须研究在路由节点对僵尸网络进行基于协议特征的检测、基于内容特征的检测和基于流量特征的检测。
(1)基于协议特征的检测。目前,僵尸网络主要利用IRC,HTTP和P2P3种协议进行命令的传输和攻击控制,研究这3种不同的协议在命令传输和攻击过程中的不同特征,尤其要研究在路由节点上呈现出的协议特征来检测僵尸网络的爆发。
(2)基于内容特征的检测。基于路由节点,对僵尸网络数据内容的特征进行研究。通过监控路由节点中的数据内容,分析并总结僵尸网络在传播、加入、控制3个阶段产生的数据内容的规律和特性,达到透彻了解僵尸网络在路由节点的数据内容特征的目的。
(3)基于流量特征的检测。基于路由节点,对僵尸网络流量变化的特征进行研究。通过监控路由节点中的流量数据,分析并总结僵尸网络中僵尸主机与僵尸服务器的特性所产生的流量数据的规律和特性,达到透彻了解僵尸网络在路由节点的流量特征的目的。
在此基础上,需要进行如下技术研究:
(1)不同的僵尸网络在协议特征、内容特征和流量特征上也具有很大的差异,所以需要研究这3种检测方法对不同的僵尸网络检测的速度和准确性。
(2)研究这3种检测方法对路由节点的性能和网络速度造成的影响。这3种检测方法都是基于路由节点的,可能会架设在主干网络的关键节点上,需要研究网络流量较大时对检测效率和网络延时的影响。
(3)研究如何在检测效率和对网络的影响之间找到平衡点,实现在对网络速度影响尽可能小的情况下,达到对僵尸网络快速、准确检测的目的。
1.1.2 国内外的具体研究成果
王志等[2]在对bot程序执行轨迹进行分析的基础上,提出了一种发掘僵尸网络控制命令集合的方法,对bot程序覆盖率特征进行分析,获得其执行轨迹,进而实现僵尸网络控制命令空间的发掘;臧天宁等[3]对已知僵尸网络内部通信行为进行特征提取,并利用这些特征定义云模型,进而分析判断已知bot主机群的隶属关系;在协同检测方面,王海龙等[4]提出的协同检测模型可以在信息、特性和决策3个层次进行协同,臧天宁等[3]提出的协同检测模型可以分析各种安全事件之间隐藏的关联关系,即使它们发送的地理位置不同、时间段不同。
1.2 僵尸网络追踪技术研究
僵尸网络的追踪技术是为了了解僵尸网络内部的活动过程,以便对僵尸网络的对抗环节变得有目的而为。本文分析总结了国内外近几年较为流行的追踪技术,在对比分析的基础上推演僵尸网络的演变规律,最终提出一套安全、稳定、高效的研究方案。
1.2.1 数据仓库技术
数据(仓)库系统一般都是大型应用系统的核心系统之一,其运行效率直接影响整个应用系统的效率。在整个应用系统的软件结构中,数据(仓)库好比整个系统的“咽喉”,它负责从底层分布的数据源提取整个网络中所有的关键业务数据并向上层应用界面提供实时、可靠与全面的数据支持。在基于路由节点的拓扑中,在路由节点上要捕获大量的数据,对于一个大型网络来说,会存在成千上万个节点,这些节点之间的连接关系要保存在数据库中,将会有巨大的数据量,所以必须使用数据仓库技术合理、有效地保存这些数据。 要构建一个数据仓库存储拓扑数据,就必须合理设计数据仓库中的各种表,选择是基于维度模型还是基于雪花模型。通过研究数据仓库技术,能够更好地组织在关键路由节点所收集到的数据,为下一步数据挖掘提供有力的数据支撑。
1.2.2 数据挖掘技术
数据挖掘技术(Data Mining)是一個近几年快速成长的领域,又称从数据中发现知识(KDD)。它的功能就是从海量数据中分析获取那些有效的、新颖的、具有潜在价值的过程,并且把这种知识发现的过程转化为最终可理解模式的非平凡过程。根据数据挖掘的应用领域不同,可以将数据挖掘模型分为分类模型、关联模型、顺序模型、聚簇模型、孤立点分析和演变分析等。在实现过程中,数据挖掘包括数据清理、数据集成、数据选择、数据变换、数据挖掘、模型评估、知识展示等几个步骤。
随着数据处理能力和数据挖掘技术水平的不断提升,人们现在可以快速地从海量数据中挖掘分析出对自己有用的信息与知识。在大规模网络的拓扑中,路由节点在网络中采集到了大量的路由信息,而这其中就夹杂着很多错误、重复的路由信息。通过对采集到的各种路由数据进行分析,找出其特征并结合目前世界上数据挖掘的主流技术,参照现存的各种数据挖掘算法,设计出一种合适的算法,能够根据数据仓库提供的各种拓扑数据,准确、高效地从原始数据中提取出网络拓扑结构,为上层模块功能的实现提供保障。
1.2.3 大规模网络拓扑可视化技术
平面可视化就是结合平面的全面性和可视化的可视性反映网络的整体拓扑结构。全面性是指能够在平面上看到拓扑图的所有点和边,要求点和边布局在平面上时不允许出现覆盖。可视性是指要使点和边的布局能够使拓扑图的显示具有清晰美观的效果。对于规模很大的网络,点和边的个数可能达到数十万个,其连接关系非常复杂。为此,基于分治法分解问题,解决子问题,把子问题解组合为原问题的解的模式,首先把大规模的网络拓扑结构分割成一些规模小的网络,然后将其逐一平面可视化,再通过对子图的布局把子图组合成一张完整的图,实现大规模网络拓扑的平面可视化。
通过研究平面可视化算法和图形显现技术,达到显示大规模网络拓扑的目的。显示的大规模网络拓扑要清晰、美观,能够准确地反映出大规模网络的拓扑结构。
1.2.4 国内外的具体研究成果
以C&C协议的全面性、高效性和全面性为基础,方滨兴等[5]提出了两种追踪手段。(1)以僵尸网络为主体,以渗透的方式加入僵尸网络以求掌握僵尸网络内部的活动情况; (2)结合C&C协议,在可控环境中运行Sandbo,通过对其通信的内容进行审计,从而获知僵尸网络的活动。针对IRC僵尸网络,Rajab[6]和Freiling等[7]通过Infiltrator渗入僵尸网络记录其内部活动。Cho等[8]在自动获取MegaD C&C协议的基础上,通过Infiltrator对MegaD进行长达4个月的追踪。通过追踪,不仅及时掌握了发送垃圾邮件相关指令和邮件模板,还结合Google Hacking获得了MegaD完整的、演进中拓扑结构。更进一步,通过分析不同控制服务器的垃圾邮件策略,可以发现MegaD是被两组不同控制者管理的。
2 僵尸网络检测与追踪解决方案
2.1 僵尸网络检测子系统
如图2所示,整个僵尸网络检测技术系统方案由3个子系统组成:分别为协议特征分析子系统、内容和流量特征分析子系统及决策算法子系统。这3个部分相互协作、有机协调,共同完成对僵尸网络的检测。
2.1.1 协议特征分析子系统
协议分析子系统主要功能是协议分析引擎在协议特征数据库的辅助下,通过对路由节点数据的采集与分析,从中分析出僵尸网络特用的协议,并把协议相关数据通过采集与预处理模块做规范化处理后提交给决策算法子系统[9]。若在提供聊天服务的IRC协议中植入了Botnet,可以通过检测路由节点那些不占用应用资源但是消耗流量资源巨大的服务,符合这种性质的大多数为非法的“僵尸”服务。
2.1.2 内容和流量特征分析子系统
内容和流量分析子系统的主要功能是内容和流量分析引擎在僵尸网络数据样本库的辅助下,对网络数据包进行内容和流量分析,然后将分析得到的可疑数据提交给训练与自我学习模块,进而进行数据挖掘处理,将数据挖掘与分析得到的结果提交给决策算法子系统。其中的僵尸网络数据样本库主要是用来存储已经采集到的僵尸网络通信内容和流量特征,该样本库的内容在检测系统检测过程中不断得到更新与丰富,使该内容和流量分析子系统能够不断适应新的情况,检测与发现新的僵尸网络。
2.1.3 决策算法子系统
决策算法子系统的主要功能是接收来自协议特征分析子系统和内容、流量特征分析子系统的数据,通过决策算法模块,采用神经网络与模糊数学技术,对两个子系统提交的数据进行检测,这样既可以在不依赖外部系统的前提下检测加密以后的僵尸网络,又能跨越僵尸网络的恶意行为,在僵尸主机停滞状态下检测出僵尸网络。特征提取会将非正常流量的数据特征存储到僵尸网络捕获数据库中,被僵尸网络样本库使用[10]。
2.2 僵尸网络拓扑发现子系统
如图3所示,僵尸网络拓扑发现子系统由3个子系统组成,数据采集和探测子系统、中间层处理子系统和拓扑前端显示子系统。
2.2.1 数据采集和探测子系统
数据采集和探测子系统的数据来源主要是由图3中的多个僵尸网络捕获数据库中的节点连接数据,经过预处理和规范化模块去噪后存入拓扑连接总表。由很多个路由节点捕获到数据,聚集在一起组成一个大的数据仓库,我们利用现有的数据挖掘技术,采用人工智能处理方式,提取出对拓扑显示有用的数据,大大提高了查询的效率。 2.2.2 中间层处理子系统研究
中间层处理子系统根据路径总表及IP地理信息等辅助信息表生成相应的拓扑连接关系表存放在拓扑信息库中[11]。
2.2.3 拓跋图前段显示子系统研究
拓扑信息库中存放着所有捕获到的僵尸网络中的傀儡主机和服务器,傀儡主机和傀儡主机之间,以及服务器和服务器之间的关系。拓扑显示模块从拓扑信息库中提取拓扑连接信息,以中国地图为背景,显示这些点与线之间的网络拓扑结构图。同时可以显示出僵尸网络的层次结构图,这样可以根据每个节点的度把所有节点分成傀儡主机、中心服务器和总控制机3种类型[12],更有利于对僵尸网络的反制和防御。
3 结语
僵尸网络以其灵活、高效和复杂的网络攻击特性,已经对网络购物的各个领域造成了巨大损失,这也是僵尸网络在近几年迅速成为网络安全研究热点的原因。本文首先深入剖析了僵尸网络的产生及危害,进而分析了以协议、内容、流量为三大特征的分析检测技术,深入探讨了利用数据仓库、数据挖掘以及大规模拓跋可视化为技术出发点的追踪技术,总结了国内外僵尸网络的追踪技术,并在总结僵尸网络的演变规律的基础上提出了一个基于路由节点的僵尸网络检测与追踪解决方案,结合最新的僵尸网络的研究,力图提炼出僵尸网络的未来研究方向,发现僵尸网络演化趋势下的新技术。
[参考文献]
[1]张蕾.僵尸网络特性与发展研究分析[J].河西学院学报,2010(5):76-80.
[2]王志,蔡亚运,刘露,等.基于覆盖率分析的僵尸网络控制命令发掘方法[J].通信学报,2014(1):156-166.
[3]臧天宁,云晓春,张永铮,等.僵尸网络关系云模型分析算法[J].武汉大学报(信息科学版),2012(2):247-251.
[4]王海龙,胡宁,龚正虎.Bot_CODA:僵尸网络关系云模型分析算法[J].武汉大学学报(信息科学版),2012(2):247-251.
[5]方滨兴,崔翔,王威.僵尸网络综述[J].计算机研究与发展,2011(8):1315-1331.
[6]RAJAB M,ZARFOSS J,MONROSE F,et al.A multifaceted approach to understanding the botnet phenomenon[C]//New York: Proc of the 6th ACM SIGCOMM Conf on Internet Measurement.ACM,2006.
[7]FREILING F,HOLZ T,WICHERSKI G.Botnet tracking: Wxploring a root-cause methodology to prevent denial of service attacks[C]//Berlin:proc of the 10th European Symp on Research in Computer Security,2005.
[8]CHO C Y,CABALLERO J,GRIER C,et al.Insights from the inside,A view of botnet management from infiltration[C]// Berkeley:Proc of the 3rd USENIX Conf on Large-Scale Exploits and Emergent Threats: Botnets,Spyware,Worms and More,2010.
[9]江健,諸葛建伟,段海新,等.僵尸网络机理与防御技术[J].软件学报,2012(1):82-96.
[10]李跃,翟立东,王宏霞,等.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012(5):1-8.
[11]蒋鸿玲,邵秀丽.基于神经网络的僵尸网络检测[J].智能系统学报,2013(2):113-118.
[12]李光正,史定华.小世界网络上随机SIS模型分析[J].计算机工程,2009(12):281-288.
(编辑 王雪芬)
Research on online shopping security technology based on Botnet tracking
Hu Bowen
(School of Computer Technology, Qingdao University, Qingdao 266071, China)
Abstract:With the development of the Internet and e-commerce platforms, online shopping has become an indispensable daily behavior in people’s social life. Botnets are an emerging Internet threat that is rapidly growing in number, size and level of harm and has put global networks into a new state of alert.Especially in the aspect of online shopping, Botnets are often used by criminals to launch network attacks on online shopping platforms. Many real cases show that using Botnet tracking technology to ensure the security of online shopping has become the focus of researchers engaged in the field of network security. In this paper, based on the current Botnet research technology, thus the Botnet detection and tracking technology are summarized and the summary, provide reference for the study of the academic field research, and for the network shopping platform in research, development and deployment in the routing node Botnet detection and tracking in real time monitoring system to lay the foundation.
Key words:Botnet; network security; detection technology; tracking technology; online shopping security
关键词:僵尸网络;网络安全;检测技术;追踪技术;网络购物安全
0 引言
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。僵尸网络具有隐匿、灵活的特点,并且可以高效地执行一对多命令与控制机制,这些特点使得被攻击者广泛接受并使用于实现窃取敏感信息、发送分布式拒绝服务攻击和发送垃圾邮件等攻击目的[1]。从1999年被发现以来,僵尸网络正在步入快速发展期,并已对网络购物安全造成了严重威胁,其特点如下。
(1)当下的网络购物平台拥有数量庞大的用户规模,并且用户具有高度分散等特点,这也为僵尸网络提供了非常便利的条件将自己产生的非法流量隐藏在用户产生的合法海量流量中。
(2)在当前的电子商务中,商家会根据用户的浏览兴趣、习惯与关系进行归类分组,这也使得社交僵尸网络窃取用户的个人信息与传播过程变得更加方便。
(3)当下的网络购物平台普遍具有开放性,这使得网络上的恶意用户可以利用平台的开放性进行欺骗,或诱惑性地使普通用户安装下载攻击性程序。
(4)此外,因为网络购物平台具有不会关闭的特点,使得僵尸网络可以长期生存在平台上,并且不易被查杀,随着时间的累积,僵尸网络的规模将逐渐扩大。
本文以当前僵尸网络的研究技术为基础,对僵尸网络国内外的检测与追踪技术进行了归纳与总结,分析了以协议、内容、流量为三大特征的分析检测技术,深入探讨了利用数据仓库、数据挖掘以及大规模拓跋可视化为技术出发点的追踪技术,并在总结僵尸网络演变规律的基础上提出了一个基于路由节点的僵尸网络检测与追踪解决方案。对僵尸网络进行检测与追踪的相关技术研究如图1所示。
1 相关研究
1.1 僵尸网络检测技术研究
1.1.1 僵尸网络检测技术
要想在路由节点上实现对网络购物中僵尸网络快速、准确的检测,首先就必须研究在路由节点对僵尸网络进行基于协议特征的检测、基于内容特征的检测和基于流量特征的检测。
(1)基于协议特征的检测。目前,僵尸网络主要利用IRC,HTTP和P2P3种协议进行命令的传输和攻击控制,研究这3种不同的协议在命令传输和攻击过程中的不同特征,尤其要研究在路由节点上呈现出的协议特征来检测僵尸网络的爆发。
(2)基于内容特征的检测。基于路由节点,对僵尸网络数据内容的特征进行研究。通过监控路由节点中的数据内容,分析并总结僵尸网络在传播、加入、控制3个阶段产生的数据内容的规律和特性,达到透彻了解僵尸网络在路由节点的数据内容特征的目的。
(3)基于流量特征的检测。基于路由节点,对僵尸网络流量变化的特征进行研究。通过监控路由节点中的流量数据,分析并总结僵尸网络中僵尸主机与僵尸服务器的特性所产生的流量数据的规律和特性,达到透彻了解僵尸网络在路由节点的流量特征的目的。
在此基础上,需要进行如下技术研究:
(1)不同的僵尸网络在协议特征、内容特征和流量特征上也具有很大的差异,所以需要研究这3种检测方法对不同的僵尸网络检测的速度和准确性。
(2)研究这3种检测方法对路由节点的性能和网络速度造成的影响。这3种检测方法都是基于路由节点的,可能会架设在主干网络的关键节点上,需要研究网络流量较大时对检测效率和网络延时的影响。
(3)研究如何在检测效率和对网络的影响之间找到平衡点,实现在对网络速度影响尽可能小的情况下,达到对僵尸网络快速、准确检测的目的。
1.1.2 国内外的具体研究成果
王志等[2]在对bot程序执行轨迹进行分析的基础上,提出了一种发掘僵尸网络控制命令集合的方法,对bot程序覆盖率特征进行分析,获得其执行轨迹,进而实现僵尸网络控制命令空间的发掘;臧天宁等[3]对已知僵尸网络内部通信行为进行特征提取,并利用这些特征定义云模型,进而分析判断已知bot主机群的隶属关系;在协同检测方面,王海龙等[4]提出的协同检测模型可以在信息、特性和决策3个层次进行协同,臧天宁等[3]提出的协同检测模型可以分析各种安全事件之间隐藏的关联关系,即使它们发送的地理位置不同、时间段不同。
1.2 僵尸网络追踪技术研究
僵尸网络的追踪技术是为了了解僵尸网络内部的活动过程,以便对僵尸网络的对抗环节变得有目的而为。本文分析总结了国内外近几年较为流行的追踪技术,在对比分析的基础上推演僵尸网络的演变规律,最终提出一套安全、稳定、高效的研究方案。
1.2.1 数据仓库技术
数据(仓)库系统一般都是大型应用系统的核心系统之一,其运行效率直接影响整个应用系统的效率。在整个应用系统的软件结构中,数据(仓)库好比整个系统的“咽喉”,它负责从底层分布的数据源提取整个网络中所有的关键业务数据并向上层应用界面提供实时、可靠与全面的数据支持。在基于路由节点的拓扑中,在路由节点上要捕获大量的数据,对于一个大型网络来说,会存在成千上万个节点,这些节点之间的连接关系要保存在数据库中,将会有巨大的数据量,所以必须使用数据仓库技术合理、有效地保存这些数据。 要构建一个数据仓库存储拓扑数据,就必须合理设计数据仓库中的各种表,选择是基于维度模型还是基于雪花模型。通过研究数据仓库技术,能够更好地组织在关键路由节点所收集到的数据,为下一步数据挖掘提供有力的数据支撑。
1.2.2 数据挖掘技术
数据挖掘技术(Data Mining)是一個近几年快速成长的领域,又称从数据中发现知识(KDD)。它的功能就是从海量数据中分析获取那些有效的、新颖的、具有潜在价值的过程,并且把这种知识发现的过程转化为最终可理解模式的非平凡过程。根据数据挖掘的应用领域不同,可以将数据挖掘模型分为分类模型、关联模型、顺序模型、聚簇模型、孤立点分析和演变分析等。在实现过程中,数据挖掘包括数据清理、数据集成、数据选择、数据变换、数据挖掘、模型评估、知识展示等几个步骤。
随着数据处理能力和数据挖掘技术水平的不断提升,人们现在可以快速地从海量数据中挖掘分析出对自己有用的信息与知识。在大规模网络的拓扑中,路由节点在网络中采集到了大量的路由信息,而这其中就夹杂着很多错误、重复的路由信息。通过对采集到的各种路由数据进行分析,找出其特征并结合目前世界上数据挖掘的主流技术,参照现存的各种数据挖掘算法,设计出一种合适的算法,能够根据数据仓库提供的各种拓扑数据,准确、高效地从原始数据中提取出网络拓扑结构,为上层模块功能的实现提供保障。
1.2.3 大规模网络拓扑可视化技术
平面可视化就是结合平面的全面性和可视化的可视性反映网络的整体拓扑结构。全面性是指能够在平面上看到拓扑图的所有点和边,要求点和边布局在平面上时不允许出现覆盖。可视性是指要使点和边的布局能够使拓扑图的显示具有清晰美观的效果。对于规模很大的网络,点和边的个数可能达到数十万个,其连接关系非常复杂。为此,基于分治法分解问题,解决子问题,把子问题解组合为原问题的解的模式,首先把大规模的网络拓扑结构分割成一些规模小的网络,然后将其逐一平面可视化,再通过对子图的布局把子图组合成一张完整的图,实现大规模网络拓扑的平面可视化。
通过研究平面可视化算法和图形显现技术,达到显示大规模网络拓扑的目的。显示的大规模网络拓扑要清晰、美观,能够准确地反映出大规模网络的拓扑结构。
1.2.4 国内外的具体研究成果
以C&C协议的全面性、高效性和全面性为基础,方滨兴等[5]提出了两种追踪手段。(1)以僵尸网络为主体,以渗透的方式加入僵尸网络以求掌握僵尸网络内部的活动情况; (2)结合C&C协议,在可控环境中运行Sandbo,通过对其通信的内容进行审计,从而获知僵尸网络的活动。针对IRC僵尸网络,Rajab[6]和Freiling等[7]通过Infiltrator渗入僵尸网络记录其内部活动。Cho等[8]在自动获取MegaD C&C协议的基础上,通过Infiltrator对MegaD进行长达4个月的追踪。通过追踪,不仅及时掌握了发送垃圾邮件相关指令和邮件模板,还结合Google Hacking获得了MegaD完整的、演进中拓扑结构。更进一步,通过分析不同控制服务器的垃圾邮件策略,可以发现MegaD是被两组不同控制者管理的。
2 僵尸网络检测与追踪解决方案
2.1 僵尸网络检测子系统
如图2所示,整个僵尸网络检测技术系统方案由3个子系统组成:分别为协议特征分析子系统、内容和流量特征分析子系统及决策算法子系统。这3个部分相互协作、有机协调,共同完成对僵尸网络的检测。
2.1.1 协议特征分析子系统
协议分析子系统主要功能是协议分析引擎在协议特征数据库的辅助下,通过对路由节点数据的采集与分析,从中分析出僵尸网络特用的协议,并把协议相关数据通过采集与预处理模块做规范化处理后提交给决策算法子系统[9]。若在提供聊天服务的IRC协议中植入了Botnet,可以通过检测路由节点那些不占用应用资源但是消耗流量资源巨大的服务,符合这种性质的大多数为非法的“僵尸”服务。
2.1.2 内容和流量特征分析子系统
内容和流量分析子系统的主要功能是内容和流量分析引擎在僵尸网络数据样本库的辅助下,对网络数据包进行内容和流量分析,然后将分析得到的可疑数据提交给训练与自我学习模块,进而进行数据挖掘处理,将数据挖掘与分析得到的结果提交给决策算法子系统。其中的僵尸网络数据样本库主要是用来存储已经采集到的僵尸网络通信内容和流量特征,该样本库的内容在检测系统检测过程中不断得到更新与丰富,使该内容和流量分析子系统能够不断适应新的情况,检测与发现新的僵尸网络。
2.1.3 决策算法子系统
决策算法子系统的主要功能是接收来自协议特征分析子系统和内容、流量特征分析子系统的数据,通过决策算法模块,采用神经网络与模糊数学技术,对两个子系统提交的数据进行检测,这样既可以在不依赖外部系统的前提下检测加密以后的僵尸网络,又能跨越僵尸网络的恶意行为,在僵尸主机停滞状态下检测出僵尸网络。特征提取会将非正常流量的数据特征存储到僵尸网络捕获数据库中,被僵尸网络样本库使用[10]。
2.2 僵尸网络拓扑发现子系统
如图3所示,僵尸网络拓扑发现子系统由3个子系统组成,数据采集和探测子系统、中间层处理子系统和拓扑前端显示子系统。
2.2.1 数据采集和探测子系统
数据采集和探测子系统的数据来源主要是由图3中的多个僵尸网络捕获数据库中的节点连接数据,经过预处理和规范化模块去噪后存入拓扑连接总表。由很多个路由节点捕获到数据,聚集在一起组成一个大的数据仓库,我们利用现有的数据挖掘技术,采用人工智能处理方式,提取出对拓扑显示有用的数据,大大提高了查询的效率。 2.2.2 中间层处理子系统研究
中间层处理子系统根据路径总表及IP地理信息等辅助信息表生成相应的拓扑连接关系表存放在拓扑信息库中[11]。
2.2.3 拓跋图前段显示子系统研究
拓扑信息库中存放着所有捕获到的僵尸网络中的傀儡主机和服务器,傀儡主机和傀儡主机之间,以及服务器和服务器之间的关系。拓扑显示模块从拓扑信息库中提取拓扑连接信息,以中国地图为背景,显示这些点与线之间的网络拓扑结构图。同时可以显示出僵尸网络的层次结构图,这样可以根据每个节点的度把所有节点分成傀儡主机、中心服务器和总控制机3种类型[12],更有利于对僵尸网络的反制和防御。
3 结语
僵尸网络以其灵活、高效和复杂的网络攻击特性,已经对网络购物的各个领域造成了巨大损失,这也是僵尸网络在近几年迅速成为网络安全研究热点的原因。本文首先深入剖析了僵尸网络的产生及危害,进而分析了以协议、内容、流量为三大特征的分析检测技术,深入探讨了利用数据仓库、数据挖掘以及大规模拓跋可视化为技术出发点的追踪技术,总结了国内外僵尸网络的追踪技术,并在总结僵尸网络的演变规律的基础上提出了一个基于路由节点的僵尸网络检测与追踪解决方案,结合最新的僵尸网络的研究,力图提炼出僵尸网络的未来研究方向,发现僵尸网络演化趋势下的新技术。
[参考文献]
[1]张蕾.僵尸网络特性与发展研究分析[J].河西学院学报,2010(5):76-80.
[2]王志,蔡亚运,刘露,等.基于覆盖率分析的僵尸网络控制命令发掘方法[J].通信学报,2014(1):156-166.
[3]臧天宁,云晓春,张永铮,等.僵尸网络关系云模型分析算法[J].武汉大学报(信息科学版),2012(2):247-251.
[4]王海龙,胡宁,龚正虎.Bot_CODA:僵尸网络关系云模型分析算法[J].武汉大学学报(信息科学版),2012(2):247-251.
[5]方滨兴,崔翔,王威.僵尸网络综述[J].计算机研究与发展,2011(8):1315-1331.
[6]RAJAB M,ZARFOSS J,MONROSE F,et al.A multifaceted approach to understanding the botnet phenomenon[C]//New York: Proc of the 6th ACM SIGCOMM Conf on Internet Measurement.ACM,2006.
[7]FREILING F,HOLZ T,WICHERSKI G.Botnet tracking: Wxploring a root-cause methodology to prevent denial of service attacks[C]//Berlin:proc of the 10th European Symp on Research in Computer Security,2005.
[8]CHO C Y,CABALLERO J,GRIER C,et al.Insights from the inside,A view of botnet management from infiltration[C]// Berkeley:Proc of the 3rd USENIX Conf on Large-Scale Exploits and Emergent Threats: Botnets,Spyware,Worms and More,2010.
[9]江健,諸葛建伟,段海新,等.僵尸网络机理与防御技术[J].软件学报,2012(1):82-96.
[10]李跃,翟立东,王宏霞,等.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012(5):1-8.
[11]蒋鸿玲,邵秀丽.基于神经网络的僵尸网络检测[J].智能系统学报,2013(2):113-118.
[12]李光正,史定华.小世界网络上随机SIS模型分析[J].计算机工程,2009(12):281-288.
(编辑 王雪芬)
Research on online shopping security technology based on Botnet tracking
Hu Bowen
(School of Computer Technology, Qingdao University, Qingdao 266071, China)
Abstract:With the development of the Internet and e-commerce platforms, online shopping has become an indispensable daily behavior in people’s social life. Botnets are an emerging Internet threat that is rapidly growing in number, size and level of harm and has put global networks into a new state of alert.Especially in the aspect of online shopping, Botnets are often used by criminals to launch network attacks on online shopping platforms. Many real cases show that using Botnet tracking technology to ensure the security of online shopping has become the focus of researchers engaged in the field of network security. In this paper, based on the current Botnet research technology, thus the Botnet detection and tracking technology are summarized and the summary, provide reference for the study of the academic field research, and for the network shopping platform in research, development and deployment in the routing node Botnet detection and tracking in real time monitoring system to lay the foundation.
Key words:Botnet; network security; detection technology; tracking technology; online shopping security