基于特征相似性的僵尸云網絡檢測?

成淑萍

（1.四川文理學院智能制造學院 達州 635001）（2.達州智能制造產業技術研究院 達州 635001）

1 引言

近年來，隨著云計算技術的發展和成熟，越來越多的其他技術都爭先恐后地與之相結合，產生了一大批的新型技術和事物，人們從中獲得的收益也日益增大。當然這結合中間也少不了網絡安全的威脅者——病毒、蠕蟲、惡意代碼等。其中網絡安全的最大威脅之一的僵尸網絡的變化多樣一直是研究人員的研究難點，在云計算的時代里，僵尸網絡利用云計算的高資源利用率優勢彌補了在傳統網絡的缺點，使其如魚得水。僵尸云網絡的研究成為網絡安全研究者的研究熱點問題，其中僵尸云網絡的檢測及反制是研究的難點。

傳統的僵尸網絡是一種入侵網絡空間內若干非合作用戶終端構建的、可被攻擊者遠程控制的通用計算平臺［1～2］。在云環境中構建的具有傳統僵尸網絡的作用的僵尸網絡就是僵尸云網絡。與以往的僵尸網絡相比，BotClouds中的BotMasters不是使用一個被感染網絡的主機，而是使用云服務構建僵尸網絡。BotMasters購買云服務提供商的主機群，在每臺主機上安裝Bot程序從而形成基于云計算的僵尸網絡或稱為僵尸云。傳統的僵尸網絡需要大量的時間來進行構造，而僵尸云往往只需要幾分鐘，傳統僵尸網絡因檢測和監測的不斷威脅或計算機用戶的使用不能充分利用處理器和寬帶資源，而僵尸云可以沒有中斷的顧慮充分利用這些資源［3］。

本文在分析傳統僵尸網絡相似性特征度量的情況下，提出了基于特征相似性的僵尸云網絡的檢測框架。

2 相關研究

傳統的僵尸網絡檢測機制有基于行為特征［4～6］、基于蜜罐/蜜網技術［7～9］、基于流量聚類分析［10～11］三種，從已有的研究成果可以看出這三種檢測機制都存在一定的問題?；谛袨樘卣鞯臋z測機制對特征庫中已有的僵尸網絡檢測方法的效率及準確度是最高的，但僵尸網絡采用的協議、網絡結構的變化對已有的特征就會失效；基于蜜罐/蜜網技術的檢測機制以一種新的思想來構建一個誘捕網，在保證網絡的高度可控性的前提下，可以用多種工具對攻擊信息進行收集和分析，但它的被動性和指紋的存在使其效率和實施較困難；基于流量聚類分析的檢測機制能對網絡流量時行主機的監測和捕獲，并從收集到的網絡數據信息采用某種聚類分析算法得出其特征，但面對大量的網絡流量某單個用戶實施比較困難，對于專業機構流量分析效率、準確度難以得到保證，另外對于加密的通信流量分析都存在相當大的問題。

對于BotCloud的檢測國內的研究成果較少，在對云環境下的僵尸網絡的研究［12］中對僵尸云計算平臺下僵尸網絡的檢測技術有簡單的介紹，并沒有進行深入的分析和研究。國外有大量的研究成果，2014年基于僵尸云網絡的行為的檢測方法中，針對僵尸云網絡的被感染端發起攻擊時會出現與傳統僵尸網絡不同指標特征，從一個系統的視角對僵尸云網絡發起攻擊時可能會產生的特征進行分析［13］。但因僵尸云網絡所具有的云計算技術的新特點，用傳統僵尸網絡的行為特征去檢測新型的僵尸云網絡已經失去了作用，因此必須先分析出僵尸云網絡行為的新特征，再利用特征相似性來進行僵尸云網絡的檢測。Jerome Francois提出一種利用主機的分布式計算框架依賴模型的自適應算法進行取證分析，并在開源的Hadoop集群中進行了實驗，可以檢測出僵尸網絡主機之間的關系［14］，但云服務提供商之間的合作還有很多問題需要解決。

從上面的國內外研究現狀可以發現已有的檢測機制不適合云環境下的僵尸云網絡。因此，我們在傳統的行為特征檢測機制上進行改進，用數據流、數據包和主機通信量［15］三個流量統計信息來刻畫僵尸網絡的特征因素，并把該方法應用到云計算的環境中，使其特征庫能進行實進更新，解決傳統的基于行為特征的檢測機制中存在的問題。

3 基于特征相似性的僵尸云網絡檢測

3.1 特征相似性度量因素

1）數據流統計

數據流主要反映僵尸主機的在線情況，用兩個連續時間段內的數據流統計具有相似的變化趨勢來判斷兩組僵尸主機屬于同一僵尸網絡。以某個時間段數據流的數量作為統計值記為fpt，其中fpti（t）表示僵尸網絡i在第t時間段的數據流統計數量。兩組僵尸主機在數據流統計量變化趨勢的相似度的計算如式（1）所示，當Sfpt（t，t+1）的值越趨近于1，兩組僵尸主機的數據流統計量在這兩個時間段內的變化情況越相近。

2）數據包統計

由于僵尸網絡的受控主機群在某一工作階段與服務器交互的信息是比較固定的，因此與服務器的通信數據流中的數據包數量（ppf）相近。ppfj（t）為第t個時間段數據流fpti（t）中數據包數量的統計值，在此我們考慮的網絡狀態為理想情況下。ppf在兩個時間段變化的相似度計算如式（2）所示，當Sppf（t，t+1）的值越趨近于1，兩組僵尸主機的通信數據流中的數據包數量越相近，也就代表兩組僵尸主機正在與服務器完成相同的動作。

3）主機通信量統計

同一僵尸網絡的受控主機在控制者的統一操作下，其通信量有相似的變化規律。通過綜合分析各通信特征變化趨勢的相似性，判斷兩批僵尸主機間的關系。以IP地址表示在線僵尸主機，第t個時間段，某個IP地址的通信數據流數量（fpi）的統計值為fpij（t）。僵尸網絡處于攻擊狀態的主機的通信量數據非常龐大，為了更方便計算兩組僵尸主機的主機通量量的相似度，我們把fpi出現的次數加權算術平均值進行計算，其函數見式（3），其中m為總次數，j為某次的通信數據流，N為該時間段內總的通信量。FPIi（t）在兩個連續時間段內的相似度見式（4）所示，當Sfpi（t，t+1）的值越趨近于1，則兩組僵尸主機屬于同一僵尸網絡的可能性較大。

3.2 檢測框架模型

該檢測框架采用集中式的結構，其結構圖如圖1所示。中心點為中心關聯模塊，其主要功能為每個云服務提供商（CSP）提供聚類分析、檢測報告反饋及與特征數據庫之間的數據交換。單個云服務提供商與中心點的功能圖如圖2所示，在云服務提供商中主要包含數據收集、特征收集與管理器三部分功能。

圖1 檢測框架結構圖

圖2 檢測框架中云服務提供商功能分解圖

數據收集：主要把由該主機發出，和訪問該主機的數據流量收集起來，作為特征信息收集的基礎數據。

特征數據收集：把數據收集到信息運用特征相似性度量的三個因素進行特征數據收集。

管理器：主要作用是與中心點進行數據的交換，把收集到的特征數據發送給中心點進行聚類分析，然后給出報告。如果發現收集到數據為特征數據通知云服務提供商斷開兩者的通信并進行通信的過濾，從而從僵尸網絡的受控主機與僵尸服務器斷開通信，也可使正在執行攻擊任務的受控主機失去攻擊目標。

4 結語

本文針對新型的僵尸云網絡，與云計算技術結合的情況下，采用數據流、數據包和主機通信量三個特征，提出了一個新的基于特征相似性的僵尸云網絡檢測框架，并對框架中每個功能部分進行了闡述。為下一步進行實體實驗提供了理論支撐依據。但在研究中還存在以下兩個問題，一是三個特征相似性度量因素只考慮了理想狀態的網絡情況，沒有對實際網絡通信中存在多種問題進行考慮，以至度量因素的準確度需進一步提高；二是不同云服務提供商之間的競爭和技術多樣化，在該檢測機制在某個云服務提供高上實施的可行性較高，但如何使多個云服務提供商進行協作檢測就是下一步研究的重點和難點。