僵尸主機識別方法

時間：2023-07-03 09:21:01 | 來源：營銷百科

時間：2023-07-03 09:21:01 來源：營銷百科

僵尸主機識別方法：僵尸程序被被攻擊者秘密植入正常主機就變成僵尸主機即Bot 機，它通過主動連接到 Botnet 的命令與控制服務(wù)器（ CCServer ），才能加入相應(yīng)的僵尸網(wǎng)絡(luò)，它從 CC 服務(wù)器讀取控制命令，按照指令執(zhí)行相應(yīng)的動作。因此， Bot 發(fā)現(xiàn)或找到 CC Server是整個 Botnet 活動的核心部分，也是決定 Botnet 能夠正常運作的關(guān)鍵。如何準(zhǔn)確地識別僵尸主機，并切斷 bot 主機和控制服務(wù)器之間的聯(lián)系，是防御僵尸網(wǎng)絡(luò)的首要任務(wù)，這對發(fā)現(xiàn)新的僵尸網(wǎng)絡(luò)具有非常重要的意義。

Bot 發(fā)現(xiàn) CC Server 機制的方式有多種，從僵尸網(wǎng)絡(luò)的發(fā)展歷程來看，僵尸主機的識別檢測有以下幾種方法：

（ 1 ）基于固定 IP 地址或域名的 Bot 識別這種方式是多數(shù)僵尸網(wǎng)絡(luò)采用的方式。利用預(yù)先定義好的固定 IP 地址或者域名去找到控制服務(wù)器。僵尸網(wǎng)絡(luò)通過分布廣泛的多個靜態(tài) IP 地址或域名，結(jié)合內(nèi)建的更新機制和域名或 IP 地址的跨越管理問題，使得這樣的僵尸網(wǎng)絡(luò)具有很好的抗關(guān)停能力?？梢酝ㄟ^主機的通信過程和網(wǎng)絡(luò)流量的異常操縱作為行為特征檢測法來對感染僵尸程序的 Bot 主機進(jìn)行識別。如端口掃描、周期性交互等異常行為。

（ 2 ）基于隨機掃描的 Bot 識別這種方式是僵尸網(wǎng)絡(luò)幾乎不采用的方式，因為過于盲目地隨機發(fā)送數(shù)據(jù)包來尋找 CC Server ，所以極容易被識別。只有Sinit 僵尸網(wǎng)絡(luò)采用了這種機制。這種方式可以通過大量的網(wǎng)絡(luò)通信流量檢測來識別 Bot 主機。

（ 3 ）基于 P2P 動態(tài)發(fā)現(xiàn)機制的 Bot 識別基于 P2P 協(xié)議的僵尸主機在每個階段表現(xiàn)出來的特征行為是完全不一樣的。初始階段，僵尸主機會隨機向網(wǎng)絡(luò)中的節(jié)點請求連接，由于連接不成功導(dǎo)致出現(xiàn)大量 ICMP 報文錯誤、 ARP 協(xié)議報文且連接成功率低。發(fā)呆階段，感染僵尸程序的主機在同一時間點行為特征基本一致，導(dǎo)致僵尸主機與大量連接節(jié)點發(fā)生大小相似的通信量。攻擊階段，僵尸主機產(chǎn)生大量 SMTP 數(shù)據(jù)包或產(chǎn)生大量 TCP SYN 的數(shù)據(jù)包，并對指定目標(biāo)發(fā)送 DDoS 攻擊。這種環(huán)境下，我們可以分析 P2P 僵尸網(wǎng)絡(luò)中節(jié)點和信息交換產(chǎn)生的流量和行為相似性的特點，通過分析網(wǎng)絡(luò)流量、網(wǎng)絡(luò)圖來識別 Bot 主機。

（ 4 ）基于 Domain-flux 的 Bot 識別由于不同的域名生成算法，其所生成的域名集合會表現(xiàn)出不同的字符特征。為了在某段時間能夠定位到同一命令與控制服務(wù)器，僵尸網(wǎng)絡(luò)會修改或替換域名生成算法，并利用如時間、網(wǎng)絡(luò)社區(qū)的熱門話題等作為種子，來保證各 CC Serve 在某一時間，某一域名被請求解析。而僵尸主機首先會通過某種域名算法產(chǎn)生大量偽隨機域名，然后 Bot 逐個比對偽隨機域名，直到與真正的CC Server 取得通信為止。這樣的方式能有效逃避追蹤和檢測，從而保護(hù) CC Server 地址信息，具有抗關(guān)停能力。Domain-Flux 是利用域名的檢測來完成 Bot 主機的識別，如偽隨機域名流量的長度、域名活躍時間分布、域名字符分布情況進(jìn)行分析，檢測到 Bot 主機。

（ 5 ）基于 Fast-flux 的 Bot 識別Fast-Flux 是近些年出現(xiàn)的僵尸網(wǎng)絡(luò)最常用的通信技術(shù)，它是一種利用 DNS 實現(xiàn)的動態(tài)代理技術(shù)?；驹硎峭ㄟ^一些具有公共 IP 地址的僵尸主機作為代理（ flux-agent ）主機，形成一個動態(tài)的代理網(wǎng)絡(luò)。把 CC Server 的域名解析為代理主機的 IP 地址，然后隱藏在 flux-agent 背后進(jìn)行操控。這種 Bot 主機識別可以對數(shù)據(jù)流特征分析檢測，利用僵尸網(wǎng)絡(luò)產(chǎn)生與正常通信流量不同的數(shù)據(jù)流量特征進(jìn)行識別。如通信周期性、 Arp 請求速率異常等。