口 强2UJU年弟zj罨弟 期 Electronic Sci.&Tech./Nov.15.2010 基于异常行为特征的僵尸网络检测方法研究 杨摘要奇,何聚厚 (陕西师范大学计算机科学学院,陕西西安710062) 基于僵尸网络通信及网络流量的异常行为,可以有效检测出僵尸频道。介绍了通过对主机响应信息的异 常分析,进而判断出当前IRC频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型, 该模型分类提取IRC频道的主机响应信息,结合检测算法分析得出结论。实验结果验证了该模型的有效性。 关键词僵尸网络;僵尸频道;响应集群 TP393 文献标识码A 文章编号1007—7820(2010)11—109一o4 中图分类号Abnormal Behavior-Based Botnet Detection Algorithm Yang Qi,He Juhou (School of Computer Science,Shaanxi Normal University,Xi’an 710062,China) Abstract The zombie network communications and network traffic based abnormal behavior can detect the bot. net channel effectively.This paper describes an algorithm which can determine whether the current IRC channel is a botnet channel or not through the analysis of the information on the response.The Anomaly-based detection model a— bout the botnet channel is introduced,which extracts the information on the response and draws a conclusion by the testing algorithm.The experimental results verify the validity of the mode1. Keywords botnet;botnet channel;response clusters 僵尸网络是攻击者利用互联网秘密建立的可以集 中控制的计算机群 j,并由此可以进行大范围的分布 式拒绝服务攻击、发送垃圾邮件、网络仿冒等。快速 有效地检测到僵尸网络,可以预防和控制相关网络事 IRC僵尸网络检测方法 、德国RWTH亚琛大学 Goebel等提出的根据IRC用户昵称检测僵尸网络的方 法Rishi_6 和美国AT&T实验室Karasaridis等人提出的 大范围检测僵尸网络的方法 等等,尤其以乔治亚理 工学院的Gu等人完成的BotHunter 、BotSniffer 和 Bot Minerll 最具代表性。 文中提出了一种基于异常行为特征的IRC僵尸网 络检测方法,该方法基于网络流检测,提取IRC终端 件。但由于被控制计算机的覆盖面广、类型复杂多 样,则为僵尸网络的检测提出了挑战。 目前检测僵尸网络主要有3类方法:(1)基于蜜 罐蜜网技术。如德国的蜜网项目和北京大学的狩猎女 神项目 等。(2)基于终端信息的检测技术。僵尸终 端要通过命令与控制信道和控制者通信,因此僵尸终 端包含许多有意义的信息,采集这些信息对检测僵尸 网络非常重要。比较有特点的有美国哈佛大学Malan 等人提出的基于对端的快速检测算法 和英国诺丁汉 主机对控制命令的响应信息,进而分析一个频道是否 为僵尸频道,该方法的优点是不需要先验知识。 1 基于异常行为特征的僵尸频道检测模型 现有的僵尸网络检测算法主要针对IRC协议,且 绝大多数是根据网络流量的相关属性分析判断,这样 存在较大的局限性。 (1)IRC协议是正规的网络聊天协议,其网络流 量与正常的比较类似。 大学A1.Hammadi等人提出的基于日志相关性的检测 算法 J。(3)基于网络流的检测技术。僵尸网络拥有 大量的僵尸终端,控制者与僵尸终端之间的通信与正 常用户之间的通信有较大差异,通过监控网络流特征 有可能寻找到命令与控制信道。该类方法有美国 BBNTechnologies的Strayer等提出的基于机器学习的 收稿日期:2010.03.29 (2)通信过程中产生的网络流量很小,难以发现 只有极少数的bot存在的僵尸网络。 (3)通信过程中可以加密,增加了检测的难度。 针对以上问题,考虑从僵尸网络异常行为的角度 出发,提出一种基于僵尸网络异常行为特征的检测模 型,通过分析当前聊天频道内的异常行为检测僵尸网 109 作者简介:杨奇(1984一),男,硕士研究生。研究方向:计 算机网络安全。 杨奇,等:基于异常行为特征的僵尸网络检测方法研究 络的存在。 由于传统检测算法大部分是针对基于IRC协议的 僵尸网络,通过分析网络流量的相关属性得出结论 的,这样检测往往会遇到一些困难,比如IRC服务器 的端口是可以随意修改的并不总是6667,而僵尸呢 称是可以随意修改的。所以基于这些属性的检测方法 效果不佳好。而从基于异常行为的角度出发则会提高 僵尸网络检测的成功率,因为僵尸网络的存在势必要 fff f1 I Tir ff7 ff l ‘ TiI ]TiI ]fff ff f 进行一些恶意的攻击行为,只要能够检测出当前IRC 聊天频道下的恶意行为则可断定僵尸网络的存在。 在一个僵尸频道中如果存在多个bots对控制命令 做出响应,他们的响应将是相似的 J。在相同的时间 窗口(时问范围)内,如果bots发送相似的信息或有 相同的行为,如发送垃圾邮件…』,则把这些bots定 义为一个相似响应集。对于正常的网络服务而言,在 同一时间窗口下存在许多相似响应是不可能发生的。 这就是僵尸网络特有的异常行为特征。该算法研究目 的就是用来识别一个频道中是否存在这样的异常行 为,依次判断该频道是否是一个僵尸频道。1.1 僵尸网络异常行为特征描述 翟 鐾 氍 僵尸网络C&C(命令控制信道)中的bot对控制命 令的响应会有空间暂时的相关性和相似性。对于僵尸 网络中的主机来说,bots需要连接到C&C servers上 以获取命令。当接收到server的控制命令后bots会根 据命令做出反应。Bots的反应分为以下两种: (1)消息响应。bot接收到命令后会执行然后向所 在IRC信道发送执行后的结果,以便server控制者窃 取到bot主机的信息,资料等。图1描述了在同一个 IRC信道下不同hot对控制命令进行消息响应的情形。 (2)行为响应。bot接收到命令后执行攻击行为, 如DDos攻击,发送垃圾邮件,下载恶意代码等。图 2描述了在同一个IRC信道下不同的bot对控制命令 做出行为响应的情形。 盛 f f f TimE hot 1 l f Time bot 1 f f Time 1消息响应(e.g.,IRC PRIVMSG) 僵尸频道内主机消息响应集 110 f竹网络扫描lf发送垃圾邮件f下载恶意代码 图2僵尸频道内主机行为响应集 据统计 ,目前基于IRC僵尸网络中有53%的 控制命令是用来恶意扫描和进行DDos攻击用的, 14.4%是进行恶意代码的下载与传播,基于Http的 僵尸网络主要是用来发送垃圾邮件。所以,能够发现 bot主机对控制命令的行为响应将会提高检测到僵尸 网络的可能性。 1.2基于异常行为的僵尸频道检测模型 图3给出了基于异常行为的僵尸频道检测模型 图,要实现此检测模型,可分为如下3个步骤: (1)利用抓包工具获取网络流信息,过滤提取相 关的IRC协议信息。 (2)将过滤的信息根据主机的响应不同分为消息 响应和行为响应两种并分别存储于日志文件当中。 (3)定时提取日志中的两种主机响应信息采用响 应集密度检测算法分析,得出结论。 图3基于异常行为的僵尸频道检测模型 1.3 响应集群密集度检测算法描述 把连接到同一台server的计算机分成一个组,查 找同组中计算机的所有消息和活动响应行为,如果该 组存在的相同消息或相同行为的响应超过一个预先通 过观察或实验获得的阀值,则断定该组中做出响应的 计算机形成了一个密集的响应集。对于每一个时间窗 口,检查是否存在一个密集的响应集。 令待观察频道为c,令 表示第i个响应集是否 是一个密集响应集 , 『0,该响应集不密集 ,,、 【1,该响应集密集 杨奇,等:基于异常行为特征的僵尸网络检测方法研究 当获得观察】,。, , ,…时,利用TRW_8 算 法可以确定频道C是否为一个僵尸频道。TRW算法 是一种假设检验方法,支持两个假设 一 测原型系统方案设计,该系统框架如图4所示。本系 统分为4个工作模块:预处理模块,消息响应捕获模 块,行为响应捕获模块,分析检i贝0模块。 f0,假设频道C是正常频道 , 【z J /-/ =《 |/网络数/ 挺龟| ‘ 【1,假设频道c是僵尸频道 定义 、 Pr[ =0 I Ho=0]=00 P [ =1 I no=0]=1一 P,[ =0 I Ho=1]=0。 P,[ :1 I Ho=1]=1—0。 (3) (4) (5) (6) 其中,Oo>0。,表示如果频道是正常频道,那么频道内 响应集不密集的概率较高。给定两个假设之后,输出 结果有4种可能:接受假设 ,但该频道是僵尸频道, 这是漏报。接受假设 ,但该频道是正常频道,这是 误报。接受假设 ,该频道是正常频道,正解。接受 假设 ,该频道是僵尸频道,正解。为保证TRw算 法的检测性能,用误报率P,和检测率P。来进行。 用户指定参数ol和 ,算法的输出保证 PF≤ol,PD≥ (7) 随着新的响应集yl, ,…, 的加入,似然比 计算如下 : 八( )f八( )× ,Yi=l =? ~ (9) I^( )x 01,Yi=0 八(1,u)=1,i=1,2,… ,接受日。,^(Y)≥叩 算法输出={接受 ,^(’,)≤叼。 【继续下一轮,其他 (10) 文献 指出,当阀值满足 =昼Ol,叼。=时,即可保证P,≤ ,PD≥ 。 } 2实验和分析 本文提出了一种基于僵尸网络异常行为特征的检 表1正常IRC网络流检测结果 111 杨奇,等:基于异常行为特征的僵尸网络检测方法研究 -1 = 1J 1J2 1j3 1J4从实验结果可以看出,本文模型对正常的IRC网 络流检测取得了较好的效果,误报率低至0.03%。 2.2实验二 Conference on Local Computer Networks,2006:195—202. [6] Goebel J.Rishi:Identify bot Contaminated Hosts by IRC Nickname Evaluation[C].Cambridge,MA:Proceedings of the HotBots'07,Fistr Workshop on Hot Topics in Under- standing Botnets,2007. Karasaridis A,Rexroad B.Wide—scale Botnet Detection 本实验在已经植入bots的虚拟环境下进行,对部 署好的僵尸频道进行检测。实验结果如表2。 表2僵尸频道检测结果 and Characterization[C].Cambridge,MA:Proceedings 实验对植入了3种常见的bot的IRC僵尸频道进 行了检测,通过对其网络流的提取分析,在较短的时 间内就能检测到僵尸网络的存在,检测率为100%。 从实验结果可以看出,模型对常见bot的僵尸频道也 能达到较好的检测效果。 3 结束语 基于异常行为特征的僵尸网络检测算法,通过对 僵尸频道中存在的异常行为进行分析,可以判别并检 测出僵尸频道的存在。 参考文献 杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信, 2005,7(5):9—13. 诸葛建伟,韩心慧,周勇林,等.HoneyBow:一个基于 高交互式蜜罐技术的恶意代码自动捕获器[J].通信学 报,2007,28(12):8—13. Malan D J.Rapid Detection of Botnets Through Collabora— tive Networks of Peers[D].Cambridge,Massachusetts: Harvard University,2007. A1一Hammadi Y,Aickelin U.Detecting Botnets Through Log Correlation[C].Tuebingen,Germany:Proceedings of the IEEE/IST Workshop on Monitoring,Attack Detection and Mitigation,2006:97—100. Strayer W T,Walsh.Detecting Botnets with Tight Command and Control[C].Tampa,FL:Proceedings of the 31st IEEE 112 of the HotBots'07,First Workshop on Hot Topics in Under- standing Botnets,2007. [8] Gu G,Porras P,Yegneswaran V.BotHunter:Detecting Malware Infection Through Ids—driven Dilaog Correlation [C].Boston,Massachusetts:Proceedings of the 16 USENIX Security Symposium(Security'07),2007:167 一l82. [9] Gu G,Zhang J,Lee W.BotSnifer:Detecting Botnet Corn— mand and Control Channels in Network Traffic『C].San Die— go,CA:Proceedings of the 15 Annual Network and Distrib— uted System Security Symposium(NDSS'08),2008:269 —286. [10] Gu G,Perdisct R,Zhang J,et a1.BotMiner:Clustering Analysis of Network Traffic for Protocol and Structure・・inde・- pendent Botnet Detection[C].San Jose,CA:Proceedings of the 17th USENIX Security Symposium(Security'08), 2008:139—154. Ramachandran A,Feamster N,Vempala S.Filtering Spam with Behavioral Blacklisting[c].In Proc.ACM Confer- ence on Computer and Communications Security (CCS'07),2007. [12] Zhuge J,Holz T,Han X,et a1.Characterizing the Irc・ based Botnet Phenomenon[M].Beijing:Peking University &University of Mannheim Technical Repo ̄.2007. [13] Jung J,Paxson V,Berger A W,et a1.Fast Portscan Detec— tion Using Sequentila Hypothesis Testing[C].Oaklnad, CA:In IEEE Symposium on Security and Privacy,2004. [14] Wald A.Sequential Tests of Statistical Hypotheses[J]. The Annals of Mathematical Statistics,1945,16(2):117 —186. [15] Barford P,Yegneswaran V.An Inside Look at Botnets [M].Springer Verlag:Special Workshop on Malware De— teetion,Advances in Information Security,2006.
