本站原创摘 要:僵尸网络已经给当前的计算机网络安全带来严重的安全威胁,特别是僵尸网络在融合对等网络作为通信技术之后,僵尸网络大大提高了其生存能力,为有效降低采用P2P技术的僵尸网络带来的安全威胁,如何有效检测出基于P2P技术的僵尸网络成为一个热点.针对这种现状提出了一种基于P2P技术的Bot检测模型.
关 键 词:僵尸网络;检测模型;对等网络;模糊逻辑
中图分类号:TP309.5文献标识码:A文章编号:16727800(2012)009014802
0引言
僵尸网络是一个由大量被感染了僵尸程序的主机所构成的重叠网络.攻击者借助各种手段使得主机感染僵尸程序,比如缓冲区溢出攻击、电子邮件、钓鱼网站等.感染了僵尸程序的主机通过各种组网协议构成僵尸网络.根据僵尸网络的组网协议分类,僵尸网络可分为集中控制的僵尸网络,基于P2P技术的僵尸网络.其中前者又分IRC僵尸网络和HTTP僵尸网络,相应的有Rbot、Zeus等.而基于P2P技术的僵尸网络又分为非结构化的僵尸网络、结构化僵尸网络、层次化的僵尸网络,相应的有Sinit、Phatbot、Storm等.本文主要讨论后者即基于P2P技术的僵尸网络检测,当前常见的检测方法有两大类:一种是基于流量分析的方法,一种基于异常行为的检测方法.
1僵尸网络的特征
僵尸网络的组网以及攻击时都会有大量特征存在.特征一:文献指出僵尸网络会产生大量异常报文.首先在僵尸主机通过引导结点加入网络时,由于引导结点的动态波动性,造成部分引导结点的IP失效,所以网络中会出现大量的ARP报文,其次如果目的节点最终不可到达还会有ICMP报文大量出现,最后僵尸主机在加入网络进行攻击时,会发送大量的恶意邮件,会造成大量TP报文的出现;特征二:感染的结点具有相似的特征.加入网络的僵尸主机接受的是相同的任务命令,在攻击时也会表现出一些共同的特征,因此,也会造成通信数据具有相同的特点.
2僵尸网络的检测模型
僵尸网络的特征为检测僵尸网络带来部分依据,然而这些特征很难精确地去检测,因此,结合模糊逻辑的相关理论,提出了一种新型的僵尸网络检测模型RLDB.在RLDB检测模型中,假设特征一用K表示,特征二用L表示.检测僵尸网络就是变成了检测网络是否符合(K,L)特征.
2.1语言变量“符合”的定义以及表示
模糊集合的定义如下:设论域为非空集合U,对于任意的u∈U可存在以下的映射φA:U→[0,1];u→φA(u);则称集合A等于{u|φA(u)},u∈U为U上的模糊集合,φA(u)称为隶属度函数,φA(u)值越接近1表示u隶属A的程度越大.
一个语言变量可以用五元组来表示:
定义一:{X,T(X),U,G,M},期中X表示语言变量,T(X)表示语言变量的值的集合,U表示论域,G用来产生语言量的名字,是一种语法规则.M用来产生语言值的集合隶属度函数.
假设,模糊语言变量符合的论域UF等于{1,2,3,4},表示被检测网络符合僵尸网络特征的等级.
T(X)等于{不符合,有点符合,几乎符合,完全符合},G是用来从变量的论域产生对应的语言变量的修饰词的规则.比如,O→不符合,M则是被检测对象与具体语言变量值的隶属度函数.
定义二:被检测网络与僵尸网络的符合程度如下:
F1等于MF("不符合")等于(1,0,0,0)
F2等于MF("有点符合")等于(0,1,0,0)
F3等于MF("几乎符合")等于(0,0,1,0)
F4等于MF("完全符合")等于(0,0,0,1)
2.2K特征符合程度度量
将K特征具体数字化,ARP异常报文.异常度值0、0.5或者1,ICMP报文异常度取值0、0.5或者1,ICMP报文异常度取值0、0.5或者1.则K的取值({0,0.5,1,1.5,2,2.5,3).那么K特征的符合度如图1.
2.3L特征符合程度度量
对L特征进行数字化,L特征主要包含数据包大小相似程度,取值为0、0.5和1,和数据内容相似程度0、0.5、1,所以L取值为(0,0.5,1,1.5,2).那么L特征的符合度如图2.
3僵尸网络的检测结果衡量
被检测网络对于僵尸网络的综合符合度是F等于K+hL,其中h为权重.因此如何选取合理的权重h显得尤为重要.为此我们可以通过相关实验进行测试权重的参数.通过在NS2上进行模拟实验,模拟的结点为3000个,选取Sinit作为僵尸网络.模拟的结果见图3,结果显示h的合理参数应该在0.6~0.8.