僵尸網(wǎng)絡(luò)(BOTNET)監(jiān)控技術(shù)研究

僵尸網(wǎng)絡(luò)（BOTNET）是互聯(lián)網(wǎng)網(wǎng)絡(luò)的重大安全威脅之一，本文對(duì)僵尸網(wǎng)絡(luò)的蔓延、通信和攻擊模式進(jìn)行了介紹，對(duì)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、監(jiān)測(cè)和控制方法進(jìn)行了研究。針對(duì)目前最主要的基于IRC 協(xié)議僵尸網(wǎng)絡(luò)，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)自動(dòng)識(shí)別系統(tǒng)，可以有效的幫助網(wǎng)絡(luò)安全事件處理人員對(duì)僵尸網(wǎng)絡(luò)進(jìn)行分析和處置。
關(guān)鍵詞：僵尸網(wǎng)絡(luò), IRC, 網(wǎng)絡(luò)安全
僵尸網(wǎng)絡(luò)是近年來(lái)興起的危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全重大安全威脅之一。據(jù)CNCERT/CC 統(tǒng)
計(jì)，中國(guó)內(nèi)地被控僵尸網(wǎng)絡(luò)數(shù)量全球排名第一，2005 年發(fā)現(xiàn)的規(guī)模超過(guò)5000 臺(tái)的僵尸網(wǎng)絡(luò)達(dá)143 個(gè)，2006 年上半年發(fā)現(xiàn)的規(guī)模超過(guò)5000 臺(tái)的僵尸網(wǎng)絡(luò)數(shù)量達(dá)188 個(gè)。這些僵尸網(wǎng)絡(luò)的控制服務(wù)器很多位于國(guó)外，對(duì)我公共互聯(lián)網(wǎng)的安全造成了嚴(yán)重的威脅[1]。
僵尸網(wǎng)絡(luò)(Botnet)能夠在攻擊者指令下統(tǒng)一行動(dòng)，利用宿主機(jī)資源執(zhí)行各種網(wǎng)絡(luò)攻擊活
動(dòng)，最典型的如分布式拒絕服務(wù)(DDoS)攻擊、傳播蠕蟲(chóng)、發(fā)送垃圾郵件，以及竊取宿主機(jī)敏感信息等。對(duì)僵尸網(wǎng)絡(luò)的機(jī)理和監(jiān)控手段研究成為網(wǎng)絡(luò)安全領(lǐng)域的重要課題之一。國(guó)內(nèi)外很多研究機(jī)構(gòu)開(kāi)始對(duì)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)、跟蹤和控制方法進(jìn)行研究。CNCERT/CC在2004年12月開(kāi)始進(jìn)行僵尸網(wǎng)絡(luò)監(jiān)測(cè)與控制方面的研究，清華大學(xué)CCERT惡意代碼研究項(xiàng)目組于2005年3月開(kāi)始深入分析和跟蹤僵尸網(wǎng)絡(luò)，并開(kāi)展了對(duì)CERNET網(wǎng)絡(luò)中存在的僵尸網(wǎng)絡(luò)的研究工作，通過(guò)對(duì)發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)的跟蹤和深入分析，提出了一個(gè)能夠有效識(shí)別IRC僵尸網(wǎng)絡(luò)控制端的方法，并在CERNET中進(jìn)行了測(cè)試，分析了當(dāng)前CERNET中僵尸網(wǎng)絡(luò)的存在情況，為進(jìn)一步的跟蹤和捕獲提供有效的依據(jù)。
本文首先對(duì)僵尸網(wǎng)絡(luò)的機(jī)理進(jìn)行的深入分析，然后對(duì)僵尸網(wǎng)絡(luò)監(jiān)控技術(shù)做了全面的介
紹。在此基礎(chǔ)上，提出了一套僵尸網(wǎng)絡(luò)控制端識(shí)別系統(tǒng)方案，并給出了實(shí)際監(jiān)控的效果。本研究得到科技部國(guó)家高技術(shù)研究發(fā)展計(jì)劃（863）“國(guó)家公共互聯(lián)網(wǎng)安全監(jiān)測(cè)、預(yù)警與危機(jī)控制關(guān)鍵技術(shù)研究”課題支持（編號(hào)：2006AA01Z451）。