第九章+系統(tǒng)安全-惡意代碼

第九章系統(tǒng)安全-惡意代碼1一、惡意代碼類型二、反病毒技術(shù)三、僵尸網(wǎng)絡(luò)四、惡意代碼的關(guān)鍵技術(shù)五、惡意代碼的防范

2一、惡意代碼類型1.1惡意代碼概述中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調(diào)工作組認(rèn)為術(shù)語"惡意軟件"用作一個集合名詞，來指代故意在計算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。病毒概念的泛化：早期病毒：具有對宿主感染能力的惡意代碼現(xiàn)在：一切具有主觀危害和極可能客觀破壞效果的惡意代碼統(tǒng)稱病毒，而惡意代碼則是對病毒的學(xué)術(shù)表達(dá)。惡意代碼通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染計算機(jī)的數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。3一、惡意代碼類型感染類必須依賴實際應(yīng)用程序、工具程序或者系統(tǒng)程序才可以運(yùn)行的程序碎片。PE和其它格式的感染式文件功能是有些限制。病毒程序不可能很大獨(dú)立程序正常編譯的可執(zhí)行程序加殼的可執(zhí)行程序腳本文件4惡意程序的術(shù)語名稱描述病毒當(dāng)執(zhí)行時向可執(zhí)行代碼傳播自身副本的惡意代碼；傳播成功時，可執(zhí)行程序被感染。當(dāng)被感染代碼執(zhí)行時，病毒也執(zhí)行。蠕蟲可獨(dú)立執(zhí)行的程序，并可以向網(wǎng)絡(luò)中其他主機(jī)傳播自身副本。邏輯炸彈入侵者植入軟件的程序。邏輯炸彈潛藏到觸發(fā)條件滿足為止；則該程序激發(fā)一個未授權(quán)的動作。木馬貌似有用的計算機(jī)程序，但也包含能夠規(guī)避安全機(jī)制的潛藏惡意功能，有時利用系統(tǒng)的合法授權(quán)引發(fā)木馬程序。后門、陷門（backdoor/trapdoor)能夠繞過安全檢查的任意機(jī)制,允許對未授權(quán)的功能訪問。可移動代碼（mobilecode)能夠不變的植入各種不同平臺，執(zhí)行時有身份語義的軟件（如，腳本、宏或者其他可移動代碼）5名稱描述利用（Exploits）針對某一漏洞或一組漏洞的代碼。下載者（downloader)可以在遭受攻擊的機(jī)器上安裝其他條款的程序。通常，下載者是通過電子郵件傳遞的自動啟動程序（auto-rooter)用于遠(yuǎn)程入侵到未被感染的機(jī)器中的惡意攻擊工具病毒生成工具包一組用于自動生成新病毒的工具垃圾郵件程序用于發(fā)送大量不必要的電子郵件泛流占用大量網(wǎng)絡(luò)資源對網(wǎng)絡(luò)計算機(jī)系統(tǒng)進(jìn)行攻擊從而實現(xiàn)DOS攻擊鍵盤日志捕獲被感染系統(tǒng)中的用戶按鍵rootkit當(dāng)攻擊者進(jìn)入計算機(jī)系統(tǒng)并獲得低層通路后，使用的工具僵尸（Zombie，bot)活躍在被感染的機(jī)器上并向其他機(jī)器發(fā)射攻擊的程序。間諜軟件（spyware)從一種計算機(jī)上收集信息并發(fā)送到其他系統(tǒng)的軟件6邏輯炸彈:計算機(jī)中的“邏輯炸彈”是指在特定邏輯條件滿足時，實施破壞的計算機(jī)程序，該程序觸發(fā)后造成計算機(jī)數(shù)據(jù)丟失、計算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。是嵌入到某些合法程序中的代碼段，當(dāng)遇到某些特定條件時爆發(fā)。引爆條件有多樣：某些特定文件存在與否、日期、星期、某特定用戶運(yùn)行應(yīng)用程序等。邏輯炸彈爆炸，將修改或刪除文件中的數(shù)據(jù)甚至整個文件，引起系統(tǒng)停機(jī)或其他危害。7可移動代碼能夠不變的植入各種不同平臺，執(zhí)行時有身份語義的軟件（如，腳本、宏或者其他可移動代碼）從遠(yuǎn)程系統(tǒng)傳送到本地系統(tǒng)，且在沒有用戶明確指令的情況下在本地系統(tǒng)執(zhí)行。常采用與病毒、蠕蟲、木馬類似的機(jī)制傳向用戶工作站。也可利用漏洞來執(zhí)行自身的動作，例如未授權(quán)數(shù)據(jù)的接收或超級用戶權(quán)限。載體有javaapplets,activeX、javaScript和VBScript。使用可移動代碼在本地系統(tǒng)進(jìn)行惡意操作最常見的方式有跨站腳本攻擊、互動和動態(tài)網(wǎng)站、E-mail附件以及從不可信地址下載不可信軟件。8多威脅惡意代碼有多種操作方式、多種傳播及感染方式等。如多組分病毒、復(fù)合型攻擊等。復(fù)合型攻擊的一個例子是NIMDA攻擊，經(jīng)常誤認(rèn)為是一種蠕蟲。NIMDA使用四種分發(fā)方式：E-mail：有漏洞主機(jī)的用戶打開一個受感染的E-mail附件；NIMDA搜尋主機(jī)上的E-mail地址并向這些地址發(fā)送副本。窗口共享：Nimda尋找不安全的窗口文件共享，然后使用NETBIOS作為傳輸機(jī)制來感染該主機(jī)上的文件，以期用戶運(yùn)行受感染文件引發(fā)該主機(jī)上的Nimda。Web服務(wù)器：Nimda掃描Web服務(wù)器，尋找MicrosoftIIS中的已知漏洞，如果發(fā)現(xiàn)一個有漏洞的服務(wù)器，Nimda傳送副本到服務(wù)器，感染服務(wù)器及其文件。Web用戶：有漏洞的Web用戶訪問被Nimda感染的Web服務(wù)器，則用戶工作站也會被感染。9間諜軟件他們以主動收集用戶個人信息、相關(guān)機(jī)密文件或隱私數(shù)據(jù)為主，搜集到的數(shù)據(jù)會主動傳送到指定服務(wù)器。間諜軟件發(fā)展之初，多被一些在線廣告商以及Kazaa等音樂交換網(wǎng)站使用，這些公司將一些監(jiān)控程序放在用戶電腦內(nèi)監(jiān)視其網(wǎng)上行為、收集其興趣愛好，或者在空閑時間進(jìn)行其它操作。這些公司以讓用戶上網(wǎng)免費(fèi)賺錢或免費(fèi)獲得音樂為幌子，吸引了眾多用戶下載，而這些軟件中所帶的間諜程序便悄悄地收集用戶信息，然后根據(jù)這些信息發(fā)送廣告，或者把這些收集的信息轉(zhuǎn)賣給其他廣告公司獲取利益。10間諜軟件的傳播方式軟件捆綁和嵌套瀏覽網(wǎng)站（惡意網(wǎng)頁或網(wǎng)頁木馬）郵件發(fā)送利用漏洞進(jìn)行主動傳播和植入（多隱身于蠕蟲之中）。11發(fā)展趨勢逐漸融合了各種病毒、蠕蟲、木馬、甚至Rootkit的技術(shù)和特點，無處不在，危害特別巨大。功能越來越就有針對性和目的性。自我隱藏技術(shù)則會越來越先進(jìn)。這將給間諜軟件的檢測帶來巨大挑戰(zhàn)。12間諜軟件檢測工具1.SpybotSearchandDestroy(簡稱：SpyBotS&D)：能掃描你的硬盤，然后找出你硬盤里面的廣告和間諜程序并移除，支持常用的所有瀏覽器。2.SpySweeper：能在瀏覽網(wǎng)頁、瀏覽郵件、下載軟件的時候給予用戶充足的保護(hù)，免受間諜軟件的入侵，保護(hù)個人的信息。3.SpywareDoctor：可以檢查并從你的電腦移走間諜軟件、廣告軟件、木馬程序、鍵盤記錄器和追蹤威脅。13間諜軟件檢測工具4.SpyRemover：專門為清除悄悄安裝在你的電腦里的間諜程序而設(shè)計的一個計算機(jī)網(wǎng)絡(luò)安全工具。它可以幫助你快速的在系統(tǒng)組件中搜索已知的間諜程序的蹤跡，并可以幫助你安全的清除他們。全面保護(hù)你的網(wǎng)絡(luò)安全。支持多國語言。5.微軟：AntiSpyware。6.McAfee企業(yè)版反間諜軟件。其可有效偵測及降低遭受間諜程序(spyware)、廣告軟件(adware)、色情撥號程序(dialers)、鍵盤記錄軟件(keyloggers)、cookies文件和遠(yuǎn)程控制程序等潛在惡意程序(PUPs)的襲擊。14RootkitRootkit作為一個名詞最早出現(xiàn)于二十世紀(jì)90年代初。Rootkit是攻擊者用來隱藏自己的蹤跡和維持遠(yuǎn)程管理員訪問權(quán)限的工具，而不是用來獲得系統(tǒng)管理員訪問權(quán)限的工具。一個典型Rootkit通常包括：以太網(wǎng)嗅探器程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。特洛伊木馬程序，例如inetd或者login，為攻擊者提供后門。隱藏攻擊者的目錄和進(jìn)程的程序，例如ps、netstat、rshd和ls等。日志清理工具.15Rootkit技術(shù)

Windows系統(tǒng)下的Rootkit關(guān)鍵技術(shù)

進(jìn)程隱藏技術(shù)①遠(yuǎn)程線程注入技術(shù)；②基于SPI的進(jìn)程隱藏技術(shù)；③基于svchost服務(wù)的進(jìn)程隱藏技術(shù)；④基于修改活動進(jìn)程鏈表的進(jìn)程隱藏技術(shù)；⑤基于HookSSDT的進(jìn)程隱藏技術(shù)文件隱藏技術(shù)16Rootkit技術(shù)

Linux系統(tǒng)下的Rootkit關(guān)鍵技術(shù)

Linux系統(tǒng)下的Rootkit關(guān)鍵技術(shù)是LKMs技術(shù)。隱藏文件隱藏進(jìn)程隱藏網(wǎng)絡(luò)連接重定向可執(zhí)行文件隱藏sniffer隱藏LKMs本身17二、反病毒技術(shù)1．異常情況判斷計算機(jī)工作時，如出現(xiàn)下列異常現(xiàn)象，則有可能感染了病毒：（1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。（2）揚(yáng)聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。（4）硬盤不能引導(dǎo)系統(tǒng)。18（5）磁盤上的文件或程序丟失。（6）磁盤讀/寫文件明顯變慢，訪問的時間加長。（7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有的出現(xiàn)“寫保護(hù)錯”提示。（8）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動現(xiàn)象。（9）原來運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯提示。（10）連接的打印機(jī)不能正常啟動。觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資源受到了病毒侵襲，為進(jìn)一步診斷和清除做好準(zhǔn)備。192．檢測的主要依據(jù)（1）檢查磁盤主引導(dǎo)扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）檢查特征串203．計算機(jī)病毒的檢測手段（1）特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下：

采集已知病毒樣本。

在病毒樣本中，抽取特征代碼。能夠唯一標(biāo)識病毒的指令序列表示典型功能或一部分典型功能因編碼規(guī)律產(chǎn)生的結(jié)構(gòu)特征

打開被檢測文件，在文件中搜索病毒特征代碼。特征代碼法的特點：

速度慢

誤報警率低

不能檢查多形性病毒

不能對付隱蔽性病毒21（2）校驗和法將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。

特征長度的對齊優(yōu)點：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)。缺點：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。22（3）行為監(jiān)測法利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：A.占有INT13HB.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量C.對COM、EXE文件做寫入動作D.病毒程序與宿主程序的切換

優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報未知的多數(shù)病毒。

缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。234.反病毒引擎框架引擎：指用于控制所有相關(guān)功能的主程序。反病毒引擎：依賴于對應(yīng)的可維護(hù)的數(shù)據(jù)結(jié)構(gòu)，對待檢測對象進(jìn)行病毒檢測和處理的一組程序模塊的統(tǒng)稱，即控制和集成所有相關(guān)組件，實現(xiàn)對病毒的特征提取、分析、清除的系統(tǒng)。24病毒庫對象檢測對象獲取對象處理2526艾倫.所羅門引入了偏移量的概念，通過病毒入口直接跳轉(zhuǎn)到惡意代碼部分進(jìn)行匹配，解決了全文匹配問題2728大量的清除分支的組合分支量太大時的可行性如何？處置參數(shù)化把引擎的主要模塊轉(zhuǎn)化成了病毒庫記錄，轉(zhuǎn)化成了有條件入口、可以相互調(diào)用的記錄。29791.a7B097）2301E）000000000000清除模塊分流器：實現(xiàn)是對無毒格式的跳過3031鑒定器多種冗余的檢測機(jī)制，且檢測規(guī)則存在沖突，應(yīng)該有一表決裝置，還需要有一個基于檢測結(jié)果對未知病毒進(jìn)行判定的裝置。未知檢測：形成一些加權(quán)的判定點，這些判定點是帶有權(quán)值的，如果命中這些判定點，就進(jìn)行相應(yīng)的加分與減分，從而來形成是否是惡意代碼、是否有惡意傾向的判定。鑒定器：未知病毒判定與病毒檢測表決裝置的統(tǒng)稱。3233鑒定器：對各個檢查點進(jìn)行檢測，進(jìn)行單點跳出或加分減分，最后進(jìn)行仲裁。歸一化：將一批異構(gòu)的復(fù)雜問題降維轉(zhuǎn)化為同構(gòu)的簡單問題。3435363738優(yōu)勢：資源是幾乎無限木馬泛濫、規(guī)則鼓脹感染式與變形問題預(yù)處理機(jī)制劣勢：規(guī)則的魯棒性較低39三、僵尸網(wǎng)絡(luò)基本概念“bot程序”是指實現(xiàn)惡意控制功能的程序代碼；“僵尸計算機(jī)”就是被植入bot的計算機(jī)；“控制服務(wù)器（ControlServer）”是指控制和通信的中心服務(wù)器，在基于IRC（互聯(lián)網(wǎng)中繼聊天）協(xié)議進(jìn)行控制的Botnet中，就是指提供IRC聊天服務(wù)的服務(wù)器。僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。40僵尸網(wǎng)絡(luò)為DDoS攻擊提供了所需的“火力”帶寬和計算機(jī)以及管理攻擊所需的基礎(chǔ)架構(gòu)。41僵尸網(wǎng)絡(luò)特點僵尸網(wǎng)絡(luò)是從傳統(tǒng)蠕蟲和木馬發(fā)展而來的一種新的攻擊形式，僵尸網(wǎng)絡(luò)是結(jié)合了木馬和蠕蟲兩者優(yōu)勢、彌補(bǔ)了兩者不足而形成的產(chǎn)物．僵尸網(wǎng)絡(luò)實現(xiàn)了控制邏輯與攻擊任務(wù)的分離．位于僵尸主機(jī)上的僵尸程序負(fù)責(zé)控制邏輯，真正的攻擊任務(wù)由控制者按需動態(tài)分發(fā)．這種方法的核心要點是將完整的威脅實體分割為多個部分，從而既可以為任務(wù)分發(fā)提供良好的靈活性，又可以提高僵尸網(wǎng)絡(luò)的可生存性．42僵尸網(wǎng)絡(luò)特點利用各種新技術(shù)的漏洞來構(gòu)建僵尸網(wǎng)絡(luò)的控制器是僵尸網(wǎng)絡(luò)構(gòu)建的核心要素之一．例如，公共ＩＲＣ聊天室、無需認(rèn)證的Web2.0服務(wù)可被用作僵尸網(wǎng)絡(luò)的命令控制信道、一些缺乏信息安全立法的國家所提供的服務(wù)器托管服務(wù)也經(jīng)常被用作僵尸網(wǎng)絡(luò)控制服務(wù)器．僵尸網(wǎng)絡(luò)充分利用了密碼學(xué)的成果，從理論上確保了其控制權(quán)不可被對抗僵尸網(wǎng)絡(luò)的人所接管．僵尸網(wǎng)絡(luò)的研究可歸納為檢測（detection)、追蹤（tracking）、測量（measurement）、預(yù)測（prediction)和對抗（countermeasurement)５個部分.43僵尸網(wǎng)絡(luò)發(fā)展Botnet是隨著自動智能程序的應(yīng)用而逐漸發(fā)展起來的。在早期的IRC聊天網(wǎng)絡(luò)中，有一些服務(wù)是重復(fù)出現(xiàn)的，如防止頻道被濫用、管理權(quán)限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。于是在1993年，在IRC聊天網(wǎng)絡(luò)中出現(xiàn)了Bot工具——Eggdrop，這是第一個bot程序，幫助用戶方便地使用IRC聊天網(wǎng)絡(luò)。然而這個設(shè)計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot工具，開始對大量的受害主機(jī)進(jìn)行控制，利用他們的資源以達(dá)到惡意目標(biāo)。20世紀(jì)90年代末，隨著分布式拒絕服務(wù)攻擊概念的成熟，出現(xiàn)了大量分布式拒絕服務(wù)攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機(jī)，發(fā)動分布式拒絕服務(wù)攻擊。而這些被控主機(jī)從一定意義上來說已經(jīng)具有了Botnet的雛形。44僵尸網(wǎng)絡(luò)發(fā)展1999年，在第八屆DEFCON年會上發(fā)布的SubSeven2.1版開始使用IRC協(xié)議構(gòu)建攻擊者對僵尸主機(jī)的控制信道，也成為第一個真正意義上的bot程序。隨后基于IRC協(xié)議的bot程序的大量出現(xiàn)，如GTBot、Sdbot等，使得基于IRC協(xié)議的Botnet成為主流。2003年之后，隨著蠕蟲技術(shù)的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術(shù)，從而能夠快速構(gòu)建大規(guī)模的Botnet。著名的有2004年爆發(fā)的Agobot/Gaobot和rBot/Spybot。同年出現(xiàn)的Phatbot則在Agobot的基礎(chǔ)上，開始獨(dú)立使用P2P結(jié)構(gòu)構(gòu)建控制信道。從良性bot的出現(xiàn)到惡意bot的實現(xiàn)，從被動傳播到利用蠕蟲技術(shù)主動傳播，從使用簡單的IRC協(xié)議構(gòu)成控制信道到構(gòu)建復(fù)雜多變P2P結(jié)構(gòu)的控制模式，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網(wǎng)絡(luò)，給當(dāng)前的網(wǎng)絡(luò)安全來了不容忽視的威脅。45僵尸網(wǎng)絡(luò)工作過程Botnet的工作過程包括傳播、加入和控制三個階段。一個Botnet首先需要的是具有一定規(guī)模的被控計算機(jī)，而這個規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴(kuò)散而形成的，在這個傳播過程中有如下幾種手段：（1）主動攻擊漏洞。其原理是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán)，并在Shellcode執(zhí)行bot程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機(jī)。屬于此類的最基本的感染途徑是攻擊者手動地利用一系列HACKER和腳本進(jìn)行攻擊，獲得權(quán)限后下載bot程序執(zhí)行。攻擊者還會將僵尸程序和蠕蟲技術(shù)進(jìn)行結(jié)合，從而使bot程序能夠進(jìn)行自動傳播，著名的bot樣本AgoBot，就是實現(xiàn)了將bot程序的自動傳播。（2）郵件病毒。bot程序還會通過發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內(nèi)容中包含下載執(zhí)行bot程序的鏈接，并通過一系列社會工程學(xué)的技巧誘使接收者執(zhí)行附件或點擊鏈接，或是通過利用郵件客戶端的漏洞自動執(zhí)行，從而使得接收者主機(jī)被感染成為僵尸主機(jī)。46僵尸網(wǎng)絡(luò)工作過程（3）即時通信軟件。利用即時通信軟件向好友列表發(fā)送執(zhí)行僵尸程序的鏈接，并通過社會工程學(xué)技巧誘騙其點擊，從而進(jìn)行感染，如2005年年初爆發(fā)的MSN性感雞（Worm.MSNLoveme）采用的就是這種方式。（4）惡意網(wǎng)站腳本。攻擊者在提供Web服務(wù)的網(wǎng)站中在HTML頁面上綁定惡意的腳本，當(dāng)訪問者訪問這些網(wǎng)站時就會執(zhí)行惡意腳本，使得bot程序下載到主機(jī)上，并被自動執(zhí)行。（5）木馬。偽裝成有用的軟件，在網(wǎng)站、FTP服務(wù)器、P2P網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。通過以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復(fù)雜的間諜軟件很相近。47僵尸網(wǎng)絡(luò)分類按照拓?fù)浣Y(jié)構(gòu)將僵尸分為４類：純中心結(jié)構(gòu):只采用客戶端－服務(wù)器（C/S）模式，即所有僵尸程序連接到中心控制服務(wù)器以獲取控制命令。分為：靜態(tài)中心結(jié)構(gòu)和動態(tài)中心結(jié)構(gòu)。純P2P結(jié)構(gòu)：只采用peer-to-peer模式，即每個僵尸程序既充當(dāng)客戶端又充當(dāng)服務(wù)器，不存在專用的服務(wù)器組合結(jié)構(gòu)包括２種情況：1)以C/S為主的組合結(jié)構(gòu)．邏輯上是C/S結(jié)構(gòu)，但服務(wù)器部分在物理實現(xiàn)上又是純P2P結(jié)構(gòu)（圖(a));2)以P2P為主的組合結(jié)構(gòu)．邏輯上是P2P結(jié)構(gòu)，但每個Peer在物理實現(xiàn)上又是C/S(圖(b))結(jié)構(gòu)．混合結(jié)構(gòu)混合結(jié)構(gòu)同時采用了一種以上上述結(jié)構(gòu)，從而實現(xiàn)了命令控制信道的容災(zāi)及可生存性.48僵尸網(wǎng)絡(luò)檢測技術(shù)“發(fā)現(xiàn)僵尸網(wǎng)絡(luò)”包括３方面的含義：1）在單機(jī)上發(fā)現(xiàn)了僵尸程序樣本并監(jiān)測到Ｃ＆Ｃ通信；２）通過網(wǎng)絡(luò)邊界流量監(jiān)測或單點探測發(fā)現(xiàn)控制服務(wù)器的存在；３）在網(wǎng)絡(luò)安全事件日志或網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)若干主機(jī)或賬號的行為疑似由僵尸網(wǎng)絡(luò)產(chǎn)生．可見，檢測環(huán)節(jié)通?？梢耘卸ń┦W(wǎng)絡(luò)的存在，發(fā)現(xiàn)部分僵尸節(jié)點，但不能掌握大部分僵尸主機(jī)的地址，也不能掌握僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、規(guī)模和行為等特征．49檢測僵尸網(wǎng)絡(luò)的主要方法可歸納為４類：１）終端檢測．首先利用蜜罐獲取惡意代碼樣本，然后對捕獲的惡意代碼進(jìn)行主機(jī)層面的分析進(jìn)而篩選出僵尸程序．２）網(wǎng)絡(luò)流量分析檢測．利用僵尸網(wǎng)絡(luò)Ｃ＆Ｃ通信具有時空相似性的特性進(jìn)行檢測．所謂時空相似性，指的是大量僵尸程序在維持連接、收發(fā)控制命令和執(zhí)行攻擊任務(wù)時經(jīng)常表現(xiàn)出協(xié)同性，使得多個僵尸程序會在同一時間窗內(nèi)進(jìn)行內(nèi)容相似的通信．網(wǎng)絡(luò)流量分析一般與網(wǎng)絡(luò)安全事件檢測聯(lián)動來篩選可疑流并對流進(jìn)行聚類分析．３）協(xié)議特征檢測．有些僵尸網(wǎng)絡(luò)具有個性化的協(xié)議特征，可以利用這些特性檢測此類僵尸網(wǎng)絡(luò)．４）基于增值網(wǎng)絡(luò)攻擊檢測．某些特定安全事件有很大概率是由僵尸網(wǎng)絡(luò)發(fā)起的，定位到這些安全事件的源頭，就可能發(fā)現(xiàn)僵尸程序．50僵尸網(wǎng)絡(luò)追蹤技術(shù)追蹤的目的是發(fā)現(xiàn)控制者的攻擊意圖和僵尸網(wǎng)絡(luò)的內(nèi)部活動，即掌握控制者發(fā)布的控制命令及其觸發(fā)的僵尸程序動作．追蹤僵尸網(wǎng)絡(luò)需要解決：１）Ｃ＆Ｃ協(xié)議提取的正確性、高效性和全面性．目前實用化的方法是人工分析，但這種方法對人員的技術(shù)水平要求很高，而且既耗時又易錯．２）加密Ｃ＆Ｃ協(xié)議的適應(yīng)性．很多僵尸網(wǎng)絡(luò)采用加密Ｃ＆Ｃ信道———控制命令經(jīng)過簽名，敏感信息經(jīng)過加密。此時，追蹤的準(zhǔn)備工作不僅包括掌握Ｃ＆Ｃ協(xié)議的語法和語義，還需要掌握加解密所需的密鑰和算法．３）追蹤過程的隱秘性與匿名性．僵尸程序?qū)γ總€控制命令都有確定的響應(yīng)規(guī)則，僵尸程序維持Ｃ＆Ｃ也具有一定的通信特征，防御者在追蹤過程中稍有不慎，就可能被控制者察覺．51追蹤方法可歸納為２類：１）以滲透的方式加入到僵尸網(wǎng)絡(luò)中以求掌握僵尸網(wǎng)絡(luò)內(nèi)部活動情況，這種滲透的行為主體稱之為僵尸網(wǎng)絡(luò)滲透者；２）在可控環(huán)境中運(yùn)行sandbot．上述２種追蹤方法都需要先掌握Ｃ＆Ｃ協(xié)議，且滲透方式需掌握更全面細(xì)致的Ｃ＆Ｃ協(xié)議．52僵尸網(wǎng)絡(luò)測量技術(shù)測量的目的是為了刻畫僵尸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、活躍規(guī)模（activesize,處于在線狀態(tài)的僵尸主機(jī)數(shù)量）、完全規(guī)模（totalsize，全部被控制了的主機(jī)，無論在線與否）等可度量屬性及其動態(tài)變化軌跡，展現(xiàn)出僵尸網(wǎng)絡(luò)的輪廓和特征．測量需要解決若干問題：１）當(dāng)僅采用正當(dāng)技術(shù)手段時，IRC和HTTP僵尸網(wǎng)絡(luò)原理上不可測量，因為不存在測量接入點．雖然已有研究工作曾經(jīng)成功測量IRC僵尸網(wǎng)絡(luò)，但針對的是存在配置缺陷的情況．對HTTP僵尸網(wǎng)絡(luò)的測量需要借助協(xié)調(diào)手段（如域名重定向、物理服務(wù)器控制權(quán)接管）才有可能．２）測量P2P僵尸網(wǎng)絡(luò)時可能會受到合法P2P

節(jié)點、研究者部署的節(jié)點（如Crawler,Sybil,Poisoner)以及DHCP\NAT和防火墻等因素的干擾．其中，合法P2P節(jié)點、Crawler節(jié)點、Sybil節(jié)點和ＤＨＣＰ會使得測量結(jié)果偏大，而ＮＡＴ和防火墻又會使得測量結(jié)果偏小，Poisoner節(jié)點對測量結(jié)果的影響不可確定，取決于污染策略．３）僵尸網(wǎng)絡(luò)會受到所處時區(qū)、開關(guān)機(jī)、新感染與被查殺、復(fù)制與遷移、防御者遏制等因素的影響，導(dǎo)致僵尸網(wǎng)絡(luò)的活躍規(guī)模的劇烈抖動．實踐證明，針對同一僵尸網(wǎng)絡(luò)采用不同的測量方法，產(chǎn)生的結(jié)果可能相差一個數(shù)量級．所以，測量結(jié)果必須輔之以特定環(huán)境、特定策略、特定方法等的上下文說明才有參考意義．53僵尸網(wǎng)絡(luò)測量技術(shù)當(dāng)前的測量方法可歸納為５類：１）基于Crawler思想的測量；２）基于Sybil思想的測量；３）基于PeerlistPoisoner的測量；４）基于Sinkhole思想的測量；５）基于協(xié)議特性的局部測量．無論哪種測量方法，都需要先獲得和分析僵尸程序樣本，掌握其C&C協(xié)議．54模擬真實僵尸程序的C&C協(xié)議主動聯(lián)系Peer，記錄該P(yáng)eer返回的其它地址后，重復(fù)執(zhí)行上述操作，從而可以遍歷整個P2P網(wǎng)絡(luò)。被動測量基于DHT的P2P僵尸網(wǎng)絡(luò)，Sybil節(jié)點在公開IP地址的機(jī)器上，模仿大量的僵尸主機(jī)被動等待來自其它Peer的通信請求，從而可以記錄Peer的地址。針對自定義、需交換PeerList的P2P僵尸網(wǎng)絡(luò)，可以偽裝為具有公網(wǎng)可達(dá)的IP的僵尸主機(jī)向其它Peer推送虛假Peerlist，從而污染其Peerlist，當(dāng)僵尸網(wǎng)絡(luò)聯(lián)系虛假Peer時，地址將被記錄。中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)一般通過硬編碼在僵尸程序內(nèi)部的域名（或通過域名生成算法）來尋址中心控制服務(wù)器，因此可通過域名重定向或域名搶注將控制服務(wù)器域名解析到防御者部署的服務(wù)器（Sinkhole）上，進(jìn)而在Sinkhole上記錄與之聯(lián)系的Peer地址?；贗RC和HTTP協(xié)議的僵尸網(wǎng)絡(luò)，僵尸程序在解析控制服務(wù)器域名時，在其查詢的域名服務(wù)器緩存中，會留下查詢記錄，防御者可以探測大量域名服務(wù)器緩存，非遞歸地查詢特定僵尸網(wǎng)絡(luò)控制服務(wù)器域名。僵尸網(wǎng)絡(luò)預(yù)測僵尸網(wǎng)絡(luò)區(qū)分于其他網(wǎng)絡(luò)攻擊形式的獨(dú)特屬性是其具有命令控制信道，命令控制信道面臨的潛在威脅來自執(zhí)法部門、ＣＥＲＴ組織、域名注冊商、網(wǎng)絡(luò)提供商、研究機(jī)構(gòu)和競爭者等．因此可以預(yù)期，控制者必須持續(xù)設(shè)計更優(yōu)的命令控制信道以對抗各種潛在攻擊，確保即使在跨國、跨部門協(xié)作時，依然可以將控制命令在可容忍時間內(nèi)分發(fā)給絕大部分僵尸程序．因此，作為防御者，必須預(yù)先考慮未來僵尸網(wǎng)絡(luò)可能的構(gòu)建方法并提前考慮應(yīng)對方法．僵尸網(wǎng)絡(luò)預(yù)測的對象就是命令控制信道可能的設(shè)計方法．當(dāng)前，預(yù)測研究包括２個方向：１）以個人計