2.僵尸网络的相关概念
2.1僵尸网络的定义
关于僵尸网络的概念,一种定义为僵尸网络是攻击者通过远程来控制受害主机组成的网络;而另一种定义为僵尸网络是攻击者通过一对多的命令与控制信道,以实现对感染僵尸程序主机的控制[2]。被感染主机所组成的网络即僵尸网络。然而随着新型黑客技术的发展,未来高级僵尸网络不仅超出了这些定义的范畴,而且给网络安全带来更大的威胁。为了更好的预防和清除僵尸网络,必须对僵尸网络有更加清晰和准确的认知。
与之前定义不同的是,新的定义在概念内涵上更关注僵尸网络的整体控制机制,同时紧紧围绕新型僵尸网络的未来发展方向[2]。例如,注重网络的拓扑特性,从而分别定义僵尸网络的受控结点和控制结构;根据僵尸结点的存在角色差异,来划分不同的受控程序的类型,同时,强调操作设施在僵尸网络发布命令的中的重要作用;最后根据僵尸结点的获取权限方式的不同,划分出授权类型和非授权类型僵尸网络,以授权类型的僵尸网络涵盖了志愿僵尸网络(指用户自愿安装僵尸程序而形成的网络)和自部署僵尸网络(指攻击者使用自有网络结点而构建的网络)等新形态。
2.2僵尸网络关键性能
(1)透明性。透明性是指攻击者将整个僵尸网络作为一个整体来操控,用来发起攻击或文护升级,所以可以忽略内部细节。透明性主要由控制结构来实现,过程为攻击者将控制信息和命令发布到控制结构中,然后由控制结构再传递到各个僵尸结点,以控制整个僵尸网络。僵尸网络操纵者与僵尸结点不用直接联系,对僵尸结点发布命令的过程完全透明。
(2)攻击容量。攻击容量是指所有被攻击者操纵的僵尸网络资源总和。其中,网络规模、带宽资源是影响僵尸网络攻击强度的主要因素。网络规模的增大,使得能够利用的网络地址就增多,攻击来源就越分散,受到的制约越小,带宽资源越丰富,攻击者能够发起的攻击流量就越强大。
(3)抗毁性。抗毁性是指僵尸结点被破坏时仍具有一定的攻击能力的特性。僵尸网络的生存能力必须依赖抗毁性,抗毁性的提高,攻击者获得对僵尸结点行为特征更改的间隙,不至于僵尸网络完全失效。僵尸网络抗毁性的提高主要通过构造更稳健的网络结构来实现。僵尸结点被破坏产生的威胁要远远小于其控制结构的破坏。所以控制结构的抗毁性就显得尤为重要。
3.僵尸网络的不同形态分析
3.1基于网络结构的划分
根据整个僵尸网络结构中心,是否具有控制服务器这一原则。将其分为中心式、非中心式和复合式。
(1)中心式僵尸网络每次发布命令与控制信息所用的操纵设施位置相对固定,形成较为明显的中心服务器,一般呈现出星型结构。中心式僵尸网络采用最多的通信协议是IRC协议与HTTP协议。中心式僵尸网络在集中控制方面表现出较为明显的优势,但容易出现单点失效的问题。
(2)非中心式僵尸网络因为不具有中心服务器,所以每次发布命令与控制信息所用的网络结点不固定。而且单点失效问题不明显。攻击者不需要固定的操纵设施,操纵与控制就显得更加灵活。非中心式僵尸网络的主要优点在于抗毁性高,但主要弱点在于难以应对Sybil攻击。
(3)复合式僵尸网络是指同时使用中心式和非中心式两种基本结构构造出的僵尸网络。复合式僵尸网络是两种控制方式的融合,虽然在控制便利性和生存能力方面有所提高,但是同时面临着单点失效和Sybil攻击的问题。 僵尸网络检测与测量技术研究(2):http://www.youerw.com/jisuanji/lunwen_16851.html