僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序(僵尸程序)，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。在Botnet的概念中有這樣幾個(gè)關(guān)鍵詞?！癰ot程序”是robot的縮寫(xiě)，是指實(shí)現(xiàn)惡意控制功能的程序代碼;“僵尸計(jì)算機(jī)”就是被植入bot的計(jì)算機(jī);“控制服務(wù)器(Control Server)”是指控制和通信的中心服務(wù)器，在基于IRC(因特網(wǎng)中繼聊天)協(xié)議進(jìn)行控制的Botnet中，就是指提供IRC聊天服務(wù)的服務(wù)器。

僵尸網(wǎng)絡(luò)-基本特點(diǎn)

僵尸網(wǎng)絡(luò)分析檢測(cè)

首先是一個(gè)可控制的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)并不是指物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新位置的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來(lái)。

其次，這個(gè)網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，例如主動(dòng)漏洞攻擊，郵件病毒等各種病毒與蠕蟲(chóng)的傳播手段，都可以用來(lái)進(jìn)行Botnet的傳播，從這個(gè)意義上講，惡意程序bot也是一種病毒或蠕蟲(chóng)。

最后一點(diǎn)，也是Botnet的最主要的特點(diǎn)，就是可以一對(duì)多地執(zhí)行相同的惡意行為，比如可以同時(shí)對(duì)某目標(biāo)網(wǎng)站進(jìn)行分布式拒絕服務(wù)(DDos)攻擊，同時(shí)發(fā)送大量的垃圾郵件等，而正是這種一對(duì)多的控制關(guān)系，使得攻擊者能夠以極低的代價(jià)高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊模式近年來(lái)受到黑客青睞的根本原因。在執(zhí)行惡意行為的時(shí)候，Botnet充當(dāng)了一個(gè)攻擊平臺(tái)的角色，這也就使得Botnet不同于簡(jiǎn)單的病毒和蠕蟲(chóng)，也與通常意義的木馬有所不同。

僵尸網(wǎng)絡(luò)-僵尸風(fēng)云

僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來(lái)發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息，譬如銀行帳戶的密碼與社會(huì)安全號(hào)碼等也都可被黑客隨意“取用”。因此，不論是對(duì)網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來(lái)說(shuō)，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個(gè)國(guó)際上十分關(guān)注的問(wèn)題。然而，發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楹诳屯ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。

對(duì)網(wǎng)友而言，感染上“僵尸病毒”卻十分容易。網(wǎng)絡(luò)上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網(wǎng)友輕輕一點(diǎn)鼠標(biāo)。但事實(shí)上，點(diǎn)擊之后毫無(wú)動(dòng)靜，原來(lái)一切只是騙局，意在誘惑網(wǎng)友下載有問(wèn)題的軟件。一旦這種有毒的軟件進(jìn)入到網(wǎng)友電腦，遠(yuǎn)端主機(jī)就可以發(fā)號(hào)施令，對(duì)電腦進(jìn)行操控。

專家表示，每周平均新增數(shù)十萬(wàn)臺(tái)任人遙控的僵尸電腦，任憑遠(yuǎn)端主機(jī)指揮，進(jìn)行各種不法活動(dòng)。多數(shù)時(shí)候，僵尸電腦的根本不曉得自己已被選中，任人擺布。

僵尸網(wǎng)絡(luò)之所以出現(xiàn)，在家高速上網(wǎng)越來(lái)越普遍也是原因。高速上網(wǎng)可以處理(或制造)更多的流量，但高速上網(wǎng)家庭習(xí)慣將電腦長(zhǎng)時(shí)間開(kāi)機(jī)，唯有電腦開(kāi)機(jī)，遠(yuǎn)端主機(jī)才可以對(duì)僵尸電腦發(fā)號(hào)施令。

網(wǎng)絡(luò)專家稱：“重要的硬件設(shè)施雖然非常重視殺毒、防黑客，但網(wǎng)絡(luò)真正的安全漏洞來(lái)自于住家用戶，這些個(gè)體戶欠缺自我保護(hù)的知識(shí)，讓網(wǎng)絡(luò)充滿地雷，進(jìn)而對(duì)其他用戶構(gòu)成威脅?！?/p>

僵尸網(wǎng)絡(luò)-發(fā)展過(guò)程

僵尸網(wǎng)絡(luò)測(cè)試

Botnet是隨著自動(dòng)智能程序的應(yīng)用而逐漸發(fā)展起來(lái)的。在早期的IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫(xiě)的智能程序所完成。于是在1993 年，在IRC 聊天網(wǎng)絡(luò)中出現(xiàn)了Bot 工具——Eggdrop，這是第一個(gè)bot程序，能夠幫助用戶方便地使用IRC 聊天網(wǎng)絡(luò)。這種bot的功能是良性的，是出于服務(wù)的目的，然而這個(gè)設(shè)計(jì)思路卻為黑客所利用，他們編寫(xiě)出了帶有惡意的Bot 工具，開(kāi)始對(duì)大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。

20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動(dòng)分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來(lái)說(shuō)已經(jīng)具有了Botnet的雛形。

僵尸網(wǎng)絡(luò)研究

1999 年，在第八屆DEFCON 年會(huì)上發(fā)布的SubSeven 2.1 版開(kāi)始使用IRC 協(xié)議構(gòu)建攻擊者對(duì)僵尸主機(jī)的控制信道，也成為第一個(gè)真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot 等，使得基于IRC協(xié)議的Botnet成為主流。

2003 年之后，隨著蠕蟲(chóng)技術(shù)的不斷成熟，bot的傳播開(kāi)始使用蠕蟲(chóng)的主動(dòng)傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot 和rBot/Spybot。同年出現(xiàn)的Phatbot 則在Agobot 的基礎(chǔ)上，開(kāi)始獨(dú)立使用P2P 結(jié)構(gòu)構(gòu)建控制信道。

從良性bot的出現(xiàn)到惡意bot的實(shí)現(xiàn)，從被動(dòng)傳播到利用蠕蟲(chóng)技術(shù)主動(dòng)傳播，從使用簡(jiǎn)單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測(cè)的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全帶來(lái)了不容忽視的威脅。

僵尸網(wǎng)絡(luò)-工作過(guò)程

Botnet的工作過(guò)程包括傳播、加入和控制三個(gè)階段。

僵尸網(wǎng)絡(luò)解決方案

一個(gè)Botnet首先需要的是具有一定規(guī)模的被控計(jì)算機(jī)，而這個(gè)規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴(kuò)散而形成的，在這個(gè)傳播過(guò)程中有如下幾種手段：(1)主動(dòng)攻擊漏洞。其原理是通過(guò)攻擊系統(tǒng)所存在的漏洞獲得訪問(wèn)權(quán)，并在Shellcode 執(zhí)行bot程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機(jī)。屬于此類的最基本的感染途徑是攻擊者手動(dòng)地利用一系列黑客工具和腳本進(jìn)行攻擊，獲得權(quán)限后下載bot程序執(zhí)行。攻擊者還會(huì)將僵尸程序和蠕蟲(chóng)技術(shù)進(jìn)行結(jié)合，從而使bot程序能夠進(jìn)行自動(dòng)傳播，著名的bot樣本AgoBot，就是實(shí)現(xiàn)了將bot程序的自動(dòng)傳播。(2)郵件病毒。bot程序還會(huì)通過(guò)發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內(nèi)容中包含下載執(zhí)行bot程序的鏈接，并通過(guò)一系列社會(huì)工程學(xué)的技巧誘使接收者執(zhí)行附件或點(diǎn)擊鏈接，或是通過(guò)利用郵件客戶端的漏洞自動(dòng)執(zhí)行，從而使得接收者主機(jī)被感染成為僵尸主機(jī)。(3)即時(shí)通信軟件。利用即時(shí)通信軟件向好友列表發(fā)送執(zhí)行僵尸程序的鏈接，并通過(guò)社會(huì)工程學(xué)技巧誘騙其點(diǎn)擊，從而進(jìn)行感染，如2005年年初爆發(fā)的MSN性感雞(Worm.MSNLoveme)采用的就是這種方式。(4)惡意網(wǎng)站腳本。攻擊者在提供Web服務(wù)的網(wǎng)站中在HTML頁(yè)面上綁定惡意的腳本，當(dāng)訪問(wèn)者訪問(wèn)這些網(wǎng)站時(shí)就會(huì)執(zhí)行惡意腳本，使得bot程序下載到主機(jī)上，并被自動(dòng)執(zhí)行。(5)特洛伊木馬。偽裝成有用的軟件，在網(wǎng)站、FTP 服務(wù)器、P2P 網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。通過(guò)以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲(chóng)和病毒以及功能復(fù)雜的間諜軟件很相近。

在加入階段，每一個(gè)被感染主機(jī)都會(huì)隨著隱藏在自身上的bot程序的發(fā)作而加入到Botnet中去，加入的方式根據(jù)控制方式和通信協(xié)議的不同而有所不同。在基于IRC協(xié)議的Botnet中，感染bot程序的主機(jī)會(huì)登錄到指定的服務(wù)器和頻道中去，在登錄成功后，在頻道中等待控制者發(fā)來(lái)的惡意指令。圖2為在實(shí)際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。

在控制階段，攻擊者通過(guò)中心服務(wù)器發(fā)送預(yù)先定義好的控制指令，讓被感染主機(jī)執(zhí)行惡意行為，如發(fā)起DDos攻擊、竊取主機(jī)敏感信息、更新升級(jí)惡意程序等。圖3為觀測(cè)到的在控制階段向內(nèi)網(wǎng)傳播惡意程序的Botnet行為。

僵尸網(wǎng)絡(luò)-種類分類

僵尸網(wǎng)絡(luò)危害網(wǎng)絡(luò)安全

(1)Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵尸工具。防病毒廠商Spphos 列出了超過(guò)500種已知的不同版本的Agobot(Sophos 病毒分析)，這個(gè)數(shù)目也在穩(wěn)步增長(zhǎng)。僵尸工具本身使用跨平臺(tái)的C++寫(xiě)成。Agobot 最新可獲得的版本代碼清晰并且有很好的抽象設(shè)計(jì)，以模塊化的方式組合，添加命令或者其他漏洞的掃描器及攻擊功能非常簡(jiǎn)單，并提供像文件和進(jìn)程隱藏的Rootkit 能力在攻陷主機(jī)中隱藏自己。在獲取該樣本后對(duì)它進(jìn)行逆向工程是比較困難的，因?yàn)樗吮O(jiān)測(cè)調(diào)試器(Softice 和O11Dbg)和虛擬機(jī)(VMware 和Virtual PC)的功能。

(2)SDBot/RBot/UrBot/SpyBot/。這個(gè)家族的惡意軟件目前是最活躍的bot程序軟件，SDBot 由C語(yǔ)言寫(xiě)成。它提供了和Agobot 一樣的功能特征，但是命令集沒(méi)那么大，實(shí)現(xiàn)也沒(méi)那么復(fù)雜。它是基于IRC協(xié)議的一類bot程序。

(3)GT-Bots。GT-Bots是基于當(dāng)前比較流行的IRC客戶端程序mIRC編寫(xiě)的，GT是(Global Threat)的縮寫(xiě)。這類僵尸工具用腳本和其他二進(jìn)制文件開(kāi)啟一個(gè)mIRC聊天客戶端。 但會(huì)隱藏原mIRC窗口。通過(guò)執(zhí)行mIRC 腳本連接到指定的服務(wù)器頻道上，等待惡意命令。這類bot程序由于捆綁了mIRC程序，所以體積會(huì)比較大，往往會(huì)大于1MB。

僵尸網(wǎng)絡(luò)-控制分類

僵尸網(wǎng)絡(luò)虛擬模型

(1)IRC Botnet。是指控制和通信方式為利用IRC協(xié)議的Botnet，形成這類Botnet的主要bot程序有spybot、GTbot和SDbot，目前絕大多數(shù)Botnet屬于這一類別。

(2)AOL Botnet。與IRC Bot類似，AOL為美國(guó)在線提供的一種即時(shí)通信服務(wù)，這類Botnet是依托這種即時(shí)通信服務(wù)形成的網(wǎng)絡(luò)而建立的，被感染主機(jī)登錄到固定的服務(wù)器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager實(shí)現(xiàn)對(duì)Bot的控制。

(3)P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端，可以連入采用了Gnutella技術(shù)(一種開(kāi)放源碼的文件共享技術(shù))的服務(wù)器，利用WASTE文件共享協(xié)議進(jìn)行相互通信。由于這種協(xié)議分布式地進(jìn)行連接，就使得每一個(gè)僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信，而當(dāng)有一些bot被查殺時(shí)，并不會(huì)影響到Botnet的生存，所以這類的Botnet具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對(duì)復(fù)雜的特點(diǎn)。Agobot和Phatbot采用了P2P的方式。

僵尸網(wǎng)絡(luò)-危害特點(diǎn)

Botnet構(gòu)成了一個(gè)攻擊平臺(tái)，利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為，可以導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機(jī)密或個(gè)人隱私泄漏，還可以用來(lái)從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。下面是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動(dòng)的攻擊行為。隨著將來(lái)出現(xiàn)各種新的攻擊類型，Botnet還可能被用來(lái)發(fā)起新的未知攻擊。

恐怖僵尸網(wǎng)絡(luò)

(1)拒絕服務(wù)攻擊。使用Botnet發(fā)動(dòng)DDos攻擊是當(dāng)前最主要的威脅之一，攻擊者可以向自己控制的所有bots發(fā)送指令，讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開(kāi)始連續(xù)訪問(wèn)特定的網(wǎng)絡(luò)目標(biāo)，從而達(dá)到DDos的目的。由于Botnet可以形成龐大規(guī)模，而且利用其進(jìn)行DDos攻擊可以做到更好地同步，所以在發(fā)布控制指令時(shí)，能夠使得DDos的危害更大，防范更難。

(2)發(fā)送垃圾郵件。一些bots會(huì)設(shè)立sockv4、v5 代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。

(3)竊取秘密。Botnet的控制者可以從僵尸主機(jī)中竊取用戶的各種敏感信息和其他秘密，例如個(gè)人帳號(hào)、機(jī)密數(shù)據(jù)等。同時(shí)bot程序能夠使用sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。

(4)濫用資源。攻擊者利用Botnet從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動(dòng)，從而使用戶的網(wǎng)絡(luò)性能受到影響，甚至帶來(lái)經(jīng)濟(jì)損失。例如：種植廣告軟件，點(diǎn)擊指定的網(wǎng)站;利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等，利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚(yú)的非法活動(dòng)。

可以看出，Botnet無(wú)論是對(duì)整個(gè)網(wǎng)絡(luò)還是對(duì)用戶自身，都造成了比較嚴(yán)重的危害，我們要采取有效的方法減少Botnet的危害。

僵尸網(wǎng)絡(luò)-研究現(xiàn)狀

痛批僵尸網(wǎng)絡(luò)

對(duì)于Botnet的研究是最近幾年才逐漸開(kāi)始的，從反病毒公司到學(xué)術(shù)研究機(jī)構(gòu)都做了相關(guān)的研究工作。最先研究和應(yīng)對(duì)Botnet的是反病毒廠商。它們從bot程序的惡意性出發(fā)，將其視為一種由后門工具、蠕蟲(chóng)、Spyware 等技術(shù)結(jié)合的惡意軟件而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個(gè)重要的bot程序特征碼寫(xiě)入到病毒庫(kù)中。賽門鐵克從2004 年開(kāi)始，在其每半年發(fā)布一次的安全趨勢(shì)分析報(bào)告中，以單獨(dú)的章節(jié)給出對(duì)Botnet活動(dòng)的觀測(cè)結(jié)果?？ò退够苍趷阂廛浖厔?shì)分析報(bào)告中指出，僵尸程序的盛行是2004年病毒領(lǐng)域最重大的變化。

學(xué)術(shù)界在2003年開(kāi)始關(guān)注Botnet的發(fā)展。國(guó)際上的一些蜜網(wǎng)項(xiàng)目組和蜜網(wǎng)研究聯(lián)盟的一些成員使用蜜網(wǎng)分析技術(shù)對(duì)Botnet的活動(dòng)進(jìn)行深入跟蹤和分析，如Azusa Pacific大學(xué)的Bill McCarty、法國(guó)蜜網(wǎng)項(xiàng)目組的Richard Clarke、華盛頓大學(xué)Dave Dittrich和德國(guó)蜜網(wǎng)項(xiàng)目組。特別是德國(guó)蜜網(wǎng)項(xiàng)目組在2004年11月到2005 年1月通過(guò)部署Win32蜜罐機(jī)發(fā)現(xiàn)并對(duì)近100個(gè)Botnet進(jìn)行了跟蹤，并發(fā)布了Botnet跟蹤的技術(shù)報(bào)告。

Botnet的一個(gè)主要威脅是作為攻擊平臺(tái)對(duì)指定的目標(biāo)發(fā)起DDos(分布式拒絕服務(wù)攻擊)攻擊，所以DDos的研究人員同樣也做了對(duì)Botnet的研究工作。由國(guó)外DDosVax組織的“Detecting Bots in Internet Relay Chat Systems”項(xiàng)目中，分析了基于IRC協(xié)議的bot程序的行為特征，在網(wǎng)絡(luò)流量中擇選出對(duì)應(yīng)關(guān)系，從而檢測(cè)出Botnet的存在。該組織的這個(gè)研究方法通過(guò)在plantlab中搭建一個(gè)Botnet的實(shí)驗(yàn)環(huán)境來(lái)進(jìn)行測(cè)試，通過(guò)對(duì)得到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，可以有效驗(yàn)證關(guān)于Botnet特征流量的分析結(jié)果，但存在著一定的誤報(bào)率。

國(guó)內(nèi)在2005年時(shí)開(kāi)始對(duì)Botnet有初步的研究工作。北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所在2005年1月開(kāi)始實(shí)施用蜜網(wǎng)跟蹤Botnet的項(xiàng)目，對(duì)收集到的惡意軟件樣本，采用了沙箱、蜜網(wǎng)這兩種各有優(yōu)勢(shì)的技術(shù)對(duì)其進(jìn)行分析，確認(rèn)其是否為僵尸程序，并對(duì)僵尸程序所要連接的Botnet控制信道的信息進(jìn)行提取，最終獲得了60,000 多個(gè)僵尸程序樣本分析報(bào)告，并對(duì)其中500多個(gè)仍然活躍的Botnet進(jìn)行跟蹤，統(tǒng)計(jì)出所屬國(guó)分布、規(guī)模分布等信息。

國(guó)家應(yīng)急響應(yīng)中心通過(guò)863-917網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，在2005年共監(jiān)測(cè)到的節(jié)點(diǎn)大于1000個(gè)的Botnet規(guī)模與數(shù)量統(tǒng)計(jì)。這些數(shù)據(jù)和活動(dòng)情況都說(shuō)明，中國(guó)國(guó)內(nèi)網(wǎng)上的Botnet的威脅比較嚴(yán)重，需要引起網(wǎng)絡(luò)用戶的高度重視。

CCERT惡意代碼研究項(xiàng)目組在2005年7月開(kāi)始對(duì)Botnet的研究工作，通過(guò)對(duì)大量已經(jīng)掌握的Botnet的實(shí)際跟蹤與深入分析，對(duì)基于IRC協(xié)議的Botnet的服務(wù)器端的特征進(jìn)行了分類提取，形成對(duì)于Botnet 服務(wù)器端的判斷規(guī)則，從而可以對(duì)網(wǎng)絡(luò)中的IRC Server進(jìn)行性質(zhì)辨別。設(shè)計(jì)并初步實(shí)現(xiàn)了Botnet自動(dòng)識(shí)別系統(tǒng)，應(yīng)用于中國(guó)教育和科研計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中。

可以看出，從國(guó)內(nèi)到國(guó)外，自2004年以來(lái)對(duì)Botnet的研究越來(lái)越多地受到網(wǎng)絡(luò)安全研究人員的重視，研究工作已經(jīng)大大加強(qiáng)。但是這些工作還遠(yuǎn)遠(yuǎn)不夠，在檢測(cè)和處置Botnet方面還有許多工作要做。

僵尸網(wǎng)絡(luò)-研究方法

對(duì)于目前比較流行的基于IRC協(xié)議的Botnet的研究方法，主要使用蜜網(wǎng)技術(shù)、網(wǎng)絡(luò)流量研究以及IRC Server識(shí)別技術(shù)。

圍剿僵尸網(wǎng)絡(luò)

(1)使用蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是從bot程序出發(fā)的，可以深入跟蹤和分析Botnet的性質(zhì)和特征。主要的研究過(guò)程是，首先通過(guò)密罐等手段盡可能多地獲得各種流傳在網(wǎng)上的bot程序樣本;當(dāng)獲得bot程序樣本后，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet服務(wù)器地址、服務(wù)端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用戶名稱，這些信息都為今后有效地跟蹤Botnet和深入分析Botnet的特征提供了條件。在具備了這些條件之后，使用偽裝的客戶端登錄到Botnet中去，當(dāng)確認(rèn)其確實(shí)為Botnet后，可以對(duì)該Botnet采取相應(yīng)的措施。

(2)網(wǎng)絡(luò)流量研究。網(wǎng)絡(luò)流量的研究思路是通過(guò)分析基于IRC協(xié)議的Botnet中僵尸主機(jī)的行為特征，將僵尸主機(jī)分為兩類：長(zhǎng)時(shí)間發(fā)呆型和快速加入型。具體來(lái)說(shuō)就是僵尸主機(jī)在Botnet中存在著三個(gè)比較明顯的行為特征，一是通過(guò)蠕蟲(chóng)傳播的僵尸程序，大量的被其感染計(jì)算機(jī)會(huì)在很短的時(shí)間內(nèi)加入到同一個(gè)IRC Server中;二是僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線;三是僵尸計(jì)算機(jī)作為一個(gè)IRC聊天的用戶，在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言，保持空閑。將第一種行為特征歸納為快速加入型，將第二、三種行為特征歸納為長(zhǎng)期發(fā)呆型。研究對(duì)應(yīng)這兩類僵尸計(jì)算機(jī)行為的網(wǎng)絡(luò)流量變化，使用離線和在線的兩種分析方法，就可以實(shí)現(xiàn)對(duì)Botnet的判斷。

(3)IRC Server識(shí)別技術(shù)的研究。通過(guò)登錄大量實(shí)際的基于IRC協(xié)議的Botnet的服務(wù)器端，可以看到，由于攻擊者為了隱藏自身而在服務(wù)器端刻意隱藏了IRC服務(wù)器的部分屬性。同時(shí)，通過(guò)對(duì)bot源代碼的分析看到，當(dāng)被感染主機(jī)加入到控制服務(wù)器時(shí)，在服務(wù)器端能夠表現(xiàn)出許多具有規(guī)律性的特征。通過(guò)對(duì)這些特征的歸納總結(jié)，就形成了可以用來(lái)判斷基于IRC協(xié)議的Botnet的服務(wù)器端的規(guī)則，這樣就可以直接確定出Botnet的位置及其規(guī)模、分布等性質(zhì)，為下一步采取應(yīng)對(duì)措施提供有力的定位支持。

以上三種研究方法都是針對(duì)基于IRC協(xié)議的Botnet。對(duì)于P2P結(jié)構(gòu)的Botnet的研究較少，原因是由于其實(shí)現(xiàn)比較復(fù)雜，在網(wǎng)絡(luò)中并不占有太大比例，同時(shí)也因?yàn)槠湓诳刂品绞缴系姆植夹允沟脤?duì)它的研究比較困難。但隨著B(niǎo)otnet的發(fā)展，對(duì)于P2P結(jié)構(gòu)的Botnet的研究也將進(jìn)一步深入。