P2P僵尸网络技术及检测研究综述

Ｐ２Ｐ僵尸网络技术及检测研究综述　杜江李春硕　（重庆邮电大学，重庆４０００６５）　摘要：僵尸网络是由一个攻击者掌控，由很多脆弱主机形成的网络。僵尸网络已经成为现今互联网上最大的威胁之一　由于僵　尸网络的不断发展与演化，越来越复杂和隐蔽，使我们对其的检测与防御越来越困难。本文对僵尸网络的危害以及僵尸网络的命令与　控制机制进行了介绍，然后对于僵尸网络的检测技术进行了总结和分析。　关键词：僵尸网络；命令与控制；僵尸网络检测；　１、引言　对异常模式的定义。另外，检测方法的准确性、性能以及可部署　僵尸网络［１］（ｂｏｍｅｔ）是由大量被僵尸程序感染的主机（ｈｏｔｏｒ　ｚｏｍｂｉｅ）受到攻击者（ｂｏｔｍａｓｔｅｒ）所控制而形成的以恶意活动为目　的的覆盖网络（ｏｖｅｒｌａｙ　ｎｅｔｗｏｒｋ）。Ｂｏｔｒｎａｓｔｅｒ可以通过控制服务器　操控ｂｏｔ发起各种类型的网络攻击，如分布式拒绝服务（ＤＤｏＳ）、　垃圾邮件（ｓｐａｒｅ）、网络钓鱼（ｐｈｉｓｈｉｎｇ）、点击欺诈（ｃｌｉｃｋ　ｆｒａｕｄ）以及　窃取敏感信息（ｉｎｆｏｒｍａｔｉｏｎ　ｔｈｅｆｔ）等等。作为攻击者手中最有效的　通用网络攻击平台，僵尸网络已成为互联网安全最大的威胁之　一。按照命令与控制机制，僵尸网络主要分为基于ＩＲＣ、ＨＴＴＰ和　Ｐ２Ｐ协议三类。Ｐ２Ｐ僵尸网络没有集中控制点，克服了前两种　僵尸网络单点失效的弱点，更具韧性和隐蔽性，使得检测和防御　更加困难。因此，当前的僵尸网络逐步的向Ｐ２Ｐ协议转化，攻击　者通过Ｐ２Ｐ协议实现其命令与控制的通信，从而克服了集中型僵　尸网络的单点失效问题，也增加了僵尸网络的鲁棒性和隐蔽性。　２、僵尸网络的命令与控制机制　僵尸网络的命令与控制机制决定了僵尸网络的拓扑结构、通　信效率、可扩展性以及鲁棒性，是僵尸网络工作机制的核心部分。　目前已知的僵尸网络可分为两大类：集中式僵尸网络和分布式僵　尸网络。集中式僵尸网络，ｂｏｔ直接和控制服务器进行通信，ｂｏｔ　之间没有通信行为．其中包括了ＩＲＣ僵尸网络、ＨＴＴＰ僵尸网络　以及自定义协议僵尸网络。分布式僵尸网络，除了ｂｏｔ和控制服　务器之间的通信以外，ｂｏｔ之间也会发生通信行为。主要有结构　化Ｐ２Ｐ僵尸网络、无结构Ｐ２Ｐ僵尸网络以及层次化僵尸网络。　基于ＩＲＣ协议和ＨＴＴＰ协议的命令与控制机制均具有集中　控制点，使得这种基于客户端．服务器架构的僵尸网络容易被跟　踪、检测和反制，一旦防御者获得僵尸程序，他们就能很容易地　发现僵尸网络控制器的位置，并使用监测和跟踪手段掌握僵尸网　络的全局信息。通过关闭这些集中的僵尸网络控制器，也能够较　为容易地消除僵尸网络所带来的威胁。为了让僵尸网络更具有韧　性和隐蔽性，一些新出现的僵尸程序开始使用Ｐ２Ｐ协议构建其命　令与控制机制。基于Ｐ２Ｐ协议的僵尸网络结构如图Ｉ－１所示。　图１．１　基于Ｐ２Ｐ协议的僵尸网络结构图　３、僵尸网络的检测技术　目前僵尸网络检测研究有两个要素［１】：一是数据来源，二是　性也是这方面研究的重要指标。目前的僵尸网络检测技术采用的　数据源主要是网络流量以及一些应用程序的数据（如邮件记录以　及ＤＮＳ的日志记录），而对异常模式的定义主要有传统的基于内　容特征（ｓｉｇｎａｔｕｒｅ－ｂａｓｅｄ）异常基于特定行为（ｂｅｈａｖｉｏｒｂａｓｅｄ）异常。　僵尸网络检测方法的研究大致可分为两个方面：基于主机的　检测方式，直接利用已有的恶意代码检测方法对僵尸主机进行识　别；基于网络的检测方式，利用对僵尸网络的网络通信特征，进　行归纳学习，从而识别出僵尸主机或者服务器。基于网络的检测　方法主要有：基于网络流量内容特征的检测技术、基于网络流量　行为特征的检测技术、关联分析的检测技术以及基于应用数据和　日志分析的检测技术。　３．１基于流量的检测技术　基于内容特征的检测是入侵检测系统的常规检测方法，这种　方法适用于已知的具有明确特征的僵尸网络。由于基于内容特征　的检测方法具有一定的局限性。而研究者又认为僵尸网络的通信　行为具有时间上的关联性和群体相似性。因此期望通过对网络流　量进行分析找出更为一般性的网络行为异常模式以进行僵尸网　络的检测。Ｚａｍｂｏｎｉ等人根据同一僵尸网络中多个ｂｏｔ网络流量　的相似性，提出了一种检测方法ＴＡＭＤ［４１。ＴＡＭＤ从３个角度　定义主机流量的相似：一是相同目的地址且通信频繁，二是流量　内容类似，三是平台相同。ＴＡＭＤ通过从这３个角度对网络流　量进行聚合来检测ｂｏｔ．Ｎａｇａｒａｊａ等人提出了一种通过网络流量　分析对结构化Ｐ２Ｐ僵尸网络进行检测的方法ＢｏｔＧｒｅｐ［２］，　ＢｏｔＧｒｅｐ需要对ＩＳＰ骨干网的流量进行采集，得到网络节点之间　的流量分布图，然后通过随机游走（ｒａｎｄｏｍ　ｗａｌｋ）方法从图中检测　出结构化Ｐ２Ｐ网络的子图，再结合其他如蜜罐等检测系统的结　果来判断是否为僵尸网络。　３．２基于蜜网的检测技术　基于蜜网的僵尸网络检测方法是目前检测、监控僵尸网络的　主要方法。蜜网技术是从蜜罐技术发展而来的，通过设置特殊的　计算机（包括真实的计算机和虚拟机）吸引黑客对这些主机进行　入侵和注入恶意软件，使之加入僵尸网络，再通过分析获得僵尸　网络信息，最后根据这些信息破解僵尸网络［３］。　用于检测僵尸网络的蜜网由蜜罐主机、ＨｏｎｅｙＷａｌｌ和监控平　台组成。蜜罐主机可以是真实的计算机，也可以是运行虚拟机虚　拟不同硬件平台和不同操作系统的主机，这些主机的共同特点是　存在相当多的漏洞容易入侵，用于吸引黑客。ＨｏｎｅｙＷａｌｌ是运行　特殊软件Ｈｏｎｅｙｄ的机器，在蜜网中至关重要，它可以模拟不同　的拓扑，并对进出的流量进行控制、捕获、分析、记录。监控平　台是蜜网和监控人员的交互平台，用于显示当前流量状态和对蜜　网进行交互调整。　４、结束语　近年来，僵尸网络在多样化传播途径、更为专业化的攻击方　式以及具备更强的自身安全性的命令与控制机制等方面，通过不　断地进化和发展，已经成为互联网多种类型安全威胁的主要源　头。虽然僵尸网络的研究取得了显著的进展，已（下转第５９页）　时代报告２０１５．２　２４５　新时期工会管理思路探究　林　丽　（吉林省上营森经局　吉林舒兰１３２６０７）　摘要：在社会主义建设不断发展的新时期，ｉ会组织以及工作人员必须要真正的做到与时俱进，对新的知识和理论进行认真的　学习，只有这样才能够有效的改革和创新工会工作。除此之外，还要将各种理论知识有效地运用在实际工作当中，从而真正的实现创　新管理、现代管理以及民主管理。　关键词：新时期；公会管理；现代管理　工会组织只有不断的创新和改革，才能够在社会经济发展的　背景下实现更好的管理，有效的落实人民群众的生活和需求，并　且对社会的全面进步以及经济的迅速发展起到显著的推动作用。　因此现在工会发展的最为关键的工作就是如何选择科学合理的　管理方法，有鉴于此，笔者与自身的经验相结合，对新时期工会　管理思路进行了探究。　工会在新时期的民主管理　所谓的民主管理指的是立足于工会职工的利益，使职工的积　极性和素质得以全面提升，在具体的工作中使职工能够不局限于　固有的思想，对新时期的知识进行不断的学习，使职工的创造能　力得以提升，最终能够对社会经济的发展和稳定起到有效的促进　作用。然而现在民主管理在新时期的工会管理中存在着较多的问　题，现在一些利益集团在新时期的工会内部通过权利的转让从而　对更多的利益进行争取，这样就严重地威胁到了职工的利益。导　致这些情况发生的主要原因为：首先，国家仍然缺乏比较完善的　法律法规，从而无法对可能出现在民主管理中的问题起到制约作　用；其次，工会职工对民主管理的行动问题和核心内容缺乏相关　的了解；再次，一些单位由于各种原因删除了工会中民主这一部　分的内容；最后，在具体的工作开展过程中并没有严格的按照相　关的文件落实工会的程序，导致无法真正的代表职工的意愿。要　想使上述的问题得以解决，必须要将工会在新时期的发展方向明　确下来，并且真正地认识到民主管理在工会管理中的重要性，就　这样才能够在新时期的工会中使民主管理得以顺利的实施。同时　还要对工会职员进行道德素质以及民主意识的培养，从而能够使　其在民主管理中充分的发挥自身的作用［１］。　民主管理能够使员工真正的做到在位谋其职，使其在工会中的　作用充分的发挥出来。与此同时，开展民主管理有利于创新管理的　实施，因为只有实施民主管理，职工才可以将自己的问题和疑虑自　由的提出来，这样才能够保证工会更好地实现管理和改革。　二、工会在新时期的现代管理　作为管理理论在新时期下的新兴产物，现代管理充分的适应　了急剧变化的环境，因此其在工会管理当中具有十分重要的作　用。现代管理的实施有利于创新管理的实现，要想在工会管理中　推行现代管理的方法，首先，就要将现代管理理论充分地应用在　工会的发展和改革过程中，通过运用现代管理理论能够将员工的　积极性有效地激发出来，使员工的角色影响得以充分发挥，实现　优胜劣汰，最终能够对工会的发展起到有效的推动作用【２］。其　一次，在工会的日常管理中绩效评估具有非常重要的作用，建立科　学合理的绩效评估体系能够更加科学地开展工会管理工作，并且　、及时的修改其中的一些错误和问题，有效的监督和检查工会的日　常工作，防止出现重大失误。因此工会必须要建立科学合理的绩　效评估体系，准确地把握绩效评估指标，这样才能够对工会的发　展产生更加有利的作用，并且将合理的决策方向提供给决策者。　三、工会在新时期的创新管理　要想使工会在现代经济发展的形势下更好的将自身的作用　充分的发挥出来，更好地服务于人民，工会必须要做到不断的创　新，与时俱进。首先，要积极地改进群众工作，这是由于群众工　作是工会的基础性工作，创新的基础就是群众思想，因此只有将　群众工作做好才能够促进工会改革创新的实现。其次，要想与时　代的进步相适应，工会在日常的管理中必须要做到民主管理，只　有这样才能够充分的适应新时期工会工作的要求，除此之外，工　会还要做到集思广益，对工会的规章制度进行不断的完善，对所　有职工的利益进行充分的考虑，科学有效地开展工会管理工作　［３】。再次，需要深入的了解工会管理工作，出于长远的角度，　并且与现代的实际情况相结合，开展工会创新管理，最终能够在　当前法规和政策的正确科学指导下对创新方案进行不断的优化。　最后，工会管理职业思想的变动是工会管理创新的关键，现在整　个社会都在追求创新，因此工会职工必须要不断的努力，从而真　正的跟进时代发展的步伐，不断的提升自身的创新意识，积极的　发展自我的超前意识，最终能够将工会在新时期发展的大致方向　更好地掌握住。　四、结语　工会管理在新时期经济发展的过程中变得越来越复杂，要想　更好的开展工会管理工作，就必须要在工会管理中积极的推行民　主管理、现代管理以及创新管理，只有这样才能够使工会更加有　效的履行本身的义务，行使自我的权利。总之，只有有效地结合　这三种管理，才能够使工会职工将布置的任务更好的完成，并且　充分地保证职工等基层人员的利益，最终对社会的稳定和谐发展　起到有效的推动作用。　参考文献：　【１］王天华．浅谈新时期工会信息化管理…．北方经济．　２０１２（１２）　【２】田心．浅析新时期工会的作用…．中小企业管理与科技　（下旬刊）．２０１３（０７）　ＢｏｔＧｒｅｐ：Ｆｉｎｄｉｎｇ　Ｐ２Ｐ　ｂｏｔｓ　ｗｉｔｈ　ｓｔｒｕｃｔｕｒｅｄ　ｇｒａｐｈ　ａｎａｌｙｓｉ　Ｓ．　Ｉｎ：Ｐｒｏｃ．ｏｆ　ｔｈｅ　１９ｔｈ　ＵＳＥＮＩＸ　Ｃｏｎｆ．ｏｎ　Ｓｅｃｕｒｉｔｙ．Ｗａｓｈｉｎｇｔｏｎ：　（上接第２４５页）初步形成整体的防御体系，但目前仍然不能有　效地遏制僵尸网络的发展态势，可想而知我们依然还存在技术和　非技术两个方面的问题。因此，我们对于如何有效地遏制僵尸网　络威胁仍然需要持续而深入的研究。　参考文献：　ＵＳＥＮＩＸ　Ａｓｓｏｃｉａｔｉｏｎ．２０１０．７．ｈｔｔｐ：／／ｄ１．ａｃｍ．ｏｒｇ／ｃｉｔａｔｉｏｎ．　ｃｆｍ？ｉｄ＝ｌ９２９８２０．１９２９８　３０　【３】Ｂａｃｈｅｒ　Ｐ，Ｈｏｌｚ　Ｔ　Ｋｏｔｔｅｒ　Ｍ　ｅｔ　ａ【＿Ｋｎｏｗ　ｙｏｕｒ　ｅｎｅｍｙ：　Ｔｒａｃｋｉｎｇ　ｂｏｔｎｅｔＳ．ＩＥＥＥ　Ｓｅｃｕｒｉｔｙ＆Ｐｒｉｖａｃｙ，２００５，１（１）：　３２－３７．　［１］江健，诸葛建伟，段海新，昊建平．僵尸网络机理与防　御技术・．　软件学报，２０１２，２３（１）：８２—９６．　【２］Ｎａｇａｒａｊａ　Ｓ，Ｍｉｔｔａｌ　Ｐ，Ｈｏｎｇ　ＣＹ，Ｃａｅｓａｒ　Ｍ，ＢｏｒｉＳＯＶ　Ｎ．　时代报告２０１５．２　５９