王淏

摘要：僵尸网络有别于以往简单的安全事件，它是一个具有极大危害的攻击平台。利用该平台，攻击者能够发起各种各样的破坏行为，由于平台的搭建是的这些破坏行为产生聚合，造成比传统破坏行为更大的危害，并且使得攻击的防范难度增大。僵尸网络将攻击源从一个转化为多个，乃至一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDos攻击等，受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦。

关键词：渗透;僵尸网络;行为特征分析

第一章 绪论

1.1 研究背景与意义

目的：随着网络技术的快速发展和网络普及，网络安全问题日益突出。僵尸网络可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）僵尸网络检测技术，同时发送大量的垃圾邮件等，而正是这种一对多的控制關系，使得僵尸网络检测技术者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet僵尸网络检测技术模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个僵尸网络检测技术平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

1.2 国内外研究现状

国外研究现状：学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析。

国内研究现状：国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的Botnet控制信道的信息进行提取，最终获得了60，000 多个僵尸程序样本分析报告，并对其中500多个仍然活跃的Botnet进行跟踪，统计出所属国分布、规模分布等信息。

1.3 论文主要内容与结构

论文针对僵尸网络检测技术开展研究，重点研究基于网络行为分析的僵尸网络检测技术。首先深入分析了僵尸网络的网络行为特性，在此基础上建立了命令特征字与流量异常轮廓相结合的检测模型，并设计了一个使用该检测模型的僵尸网络检测系统结构;其次，对检测系统实现的关键技术-僵尸程序网络行为特征提取技术进行了研究，给出了特征提取方法;最后，基于 Bro 入侵检测系统实现并验证了检测系统原型。

（1）设计了一种基于网络行为分析的僵尸网络检测系统结构，根据僵尸网络能

建立 C&C 信道的特点，采用先响应后命令的方式，提取命令特征字与流量特征轮廓，建立了命令特征字与响应流量异常轮廓相结合的检测模型，在此模型的基础上，设计了检测系统结构，系统包括离线分析和在线检测两部分，其中离线分析部分实现对检测特征的分析和提取，在线检测部分则基于检测模型，应用检测特征实现对僵尸网络的检测。

（2） 设计了基于“响应-命令”的僵尸程序网络行为检测特征提取方法，设计了异常检测和特征检测相结合的僵尸程序网络行为检测特征结构，提出了僵尸程序活动周期的概念，并重点研究命令特征提取算法。

（3） 基于 Bro 入侵检测系统，实现了一个采用网络行为分析技术的僵尸网络检测原型，对原型进行测试和分析。

第二章 僵尸网络概述

2.1 僵尸网络定义

僵尸网络的起源可以追溯到 1993 年 EggDrop 的出现，EggDrop 是一个良性的僵尸程序，最初的目的是帮助 IRC 管理员对网络进行管理，但是这也给了黑客们一些启发。而分布式拒绝服务僵尸网络检测技术技术的成熟，给黑客们利用僵尸程序进行恶意活动提供了技术支持，于是在 1999 年第 8 次 DEFCON 年会上发布了第一个真正意义上的僵尸程序 SubSeven 2.1。随后在互联网中出现了大量的基于 IRC 协议的僵尸程序，如：SDBot、Agobot、GT-Bot、Rbot 等。此后，为了让僵尸网络具有更好的隐蔽性和僵尸网络检测技术性，僵尸网络检测技术者开始利用 HTTP 协议和 P2P 协议构建僵尸网络，因为这两种僵尸网络较 IRC 僵尸网络而言是难以检测到的，并在 2002 年出现了第一个基于 P2P 协议的僵尸程序 Slapper，最早的基于 HTTP 协议的僵尸程序是 Bobax。僵尸网络是一种新型的网络僵尸网络检测技术方式，它是由传统的恶意代码形态。

2.2 僵尸病毒的网络行为特征

一是传播：传播是指采用特洛伊木马、邮件病毒等几种方式传播僵尸程序到别的主机上。

二是加入：加入是指被感染主机随着隐藏的僵尸程序的发作而加入到僵尸网络中。

三是控制：控制是指僵尸网络检测技术者发送命令使受感染主机执行恶意行为。

2.3 僵尸网络运行流畅与危害

与其它的恶意代码相比，僵尸网络有很大的不同：首先它可以建立一个命令与控制（C&C）信道。通过该信道，控制者能够对被他所控制的计算机发送 C&C 信息，即对僵尸主机进行实时控制，而僵尸主机的各种信息（所在地、在线与否和主机型号等）都将通过该 C&C 信道传送给控制者;其次，从僵尸网络的结构和已知的僵尸网络来看，僵尸网络具有隐蔽性强、传播速度快、分布范围广、难以追踪、危害等级高和高度可控性等特点，使得其危害日益严重。所以僵尸网络检测成为近年来网络安全研究领域的研究热点之一。利用发送分布式拒绝服务僵尸网络检测技术造成网络堵塞;发送新的蠕虫僵尸网络检测技术可以使网络瘫痪;发送大量的垃圾邮件;可以通过僵尸主机盗用大量的网络资源、窃取用户的个人信息等。

第三章 总结与展望

渗透测试人员在使得累积因子A（t）达到上界A_max时，提高MCS，当NACK出现频度比较高使得累积因子A（t）达到下界A_min时，降低MCS。在MCS达到最大值或者最小值的时候，其次动态调整MCS和重复模块。清除了所有的事件日志，但取证分析者可能会注意到目标系统上其他有意思的事情，从而能效益对链路状况进行度量，调整重复次数和MCS重复次数。类似的，本章根据反馈的确认信息的种类及累计数量进行调整。每次收到一个ACK，累计加1个值，每次收到一个NACK子载波间隔（MAC Flooding 渗透攻击），累计减1个值。因为高MCS对应的。基于多维参数调整的NB-IoT链路自适应方法由两部分组成：我们注重MCS的调整。当接收到的ACK比NACK数量多使得累积因子A（t）达到上界A_max时，提高MCS，当NACK出现频度比较高使得累积因子A（t）达到下界A_min时，降低MCS。在MCS达到最大值或者最小值的时候，其次动态调整MCS和重复次数可以适应环境的环境的持续改变。子载波间隔（MAC Flooding 渗透攻击）为清晰描述方案。