基于SMTP协议分析的僵尸网络检测技术研究

摘要

僵尸网络是攻击者采用一种或多种传播手段，使大量主机感染僵尸程序，在控制者和被感染主机之间形成的一个一对多的控制网络。其可用来实施网络信息窃取，分布式拒绝服务攻击、点击欺诈、网络仿冒、发送垃圾电子邮件等目的。
　　 僵尸网络的核心是命令与控制机制。这也是其与其它已知各类恶意代码的关键区别。基于控制技术，攻击者能够协调成千上万的计算机发动大规模灾难性的攻击。随着控制技术的发展，僵尸网络从以往基于IRC协议逐渐转移到基于HTTP协议和各种不同类型的P2P协议，隐蔽性和健壮性得到了很大程度的增强。在传播技术上，僵尸网络借鉴并融合了各类恶意代码的传播方式，包括使用通讯软件和P2P文件共享软件进行传播，并通过认证和信道加密机制对僵尸程序进行多态化和变形混淆，使得僵尸的传播活动更加广泛和隐蔽。
　　 SPAM BOTNET(Sbotnet)是以发送垃圾邮件为主要功能的僵尸网络。基于对国内外研究现状的分析和实验环境下对Sbotnet活动的监测，提出了一种新的检测Sbot的方法，并实现了该方法的原型系统，同时在检测的基础上对Sbotnet的活动规模进行测量。
　　 通过对僵尸网络的结构，功能以及命令与控制机制的详细分析，对基于不同命令与控制机制的僵尸网络的特点进行剖析，对目前僵尸网络检测技术以及各个技术的特点进行分析的基础上，认为相对于一般的僵尸网络，Sbotnet的网络活动一个最明显的特征是使用SMTP协议发送大量的垃圾邮件。根据该特性，提出了基于SMTP协议分析的Sbotnet检测技术。同时还对Sbotnet的规模进行测量，即通过对僵尸主机发送的邮件进行追踪，统计满足发送相似邮件内容(URL)的主机数量，进而确定其规模。依据论文中的算法，实现的原型系统在实验环境中完全能够检测Sbot的活动，而且也能够在一定程度上确定Sbotnet的规模。