面向殭屍網路的網路協同行為機理分析與檢測方法研究

本項目以當前網際網路的大規模安全威脅殭屍網路作為研究載體，以大量真實案例為基礎，從殭屍網路命令與控制的本質共性出發，採用理論建模、仿真實驗與實證測試相結合的方式，研究殭屍網路所蘊含的基本科學問題：大規模網路中的網路協同行為機理分析與檢測方法。具體的，研究網路協同行為的形式化建模、度量指標體系，並基於網路協同行為，研究適用於大規模網路的殭屍網路檢測方法，能夠有效在大規模網路中檢測具有同步性協同、周期性協同、異步性協同等協同行為的殭屍網路。本項目以在西安交通大學校園網活躍的近30例殭屍網路和累計上萬個殭屍主機作為真實案例，保證了問題來源的實際性以及研究成果的實用性；同時，從實際案例中抽象出共性科學問題，保證了本項目的研究具有相對廣泛適用性；最終，本項目有望研發適用於大規模網路的獨立於殭屍網路具體的命令與控制結構的殭屍網路檢測方法，有很好的市場套用前景和重大的國家網路信息安全戰略意義。

本項目以殭屍網路作為研究對象，結合真實網路流量和殭屍網路樣本分析，從殭屍網路檢測、規模估計、主動防禦三個角度開展研究。所提出方法從整體上考慮殭屍網路的隱蔽性、協同性、分散式等命令與控制特徵，儘可能兼顧大規模網路中的可擴展性、多個網路數據的融合、隱私泄漏風險規避、易於部署等套用需求，最終在實際網路中驗證所提方法的可行性。本項目主要工作如下： （1）殭屍網路檢測：一方面，在現有研究的基礎上，進一步用多種方法對比分析基於Nick Name特徵的IRC殭屍網路檢測，提出數據包序列周期性的IRC殭屍網路行為新特徵，該特徵不依賴於數據包負載，能夠檢測更加隱蔽的IRC殭屍網路。另一方面，提出基於惡意行為多網蹤跡關聯的外包式殭屍網路檢測模式，通過匯聚關聯不同網路的粗粒度數據，以較大的全局可見度（global visibility）挖掘殭屍網路惡意蹤跡，為參與外包的單個網路提供殭屍網路檢測服務。所提外包式殭屍網路檢測模式兼顧性能和隱私問題，不僅具有良好的檢測效果，相比傳統黑名單方法可儘早發現殭屍網路。 （2）殭屍網路規模估計：研究基於DNS快取探測技術的主動式殭屍網路規模估計技術，通過遠程探測分布在不同網路中的遞歸DNS伺服器的快取，依據快取狀態的動態變化估計相應網路中殭屍網路的規模。相比傳統的流量被動鏡像方式，該技術在損失少量精度的情況下，以一種非常輕量級、低成本、不侵犯隱私、極易部署維護的方式實現殭屍網路規模估計。通過測量真實DNS流量，採用超指數分布模型刻畫殭屍網路域名請求的時間間隔分布特徵，採用更新過程（renewal process）等理論，提出了基於超指數分布的估計算法，相比傳統的指數分布誤差顯著性降低。 （3）殭屍網路主動防禦：提出基於分散式蜜網的殭屍網路主動防禦技術，通過在每個網路中部署蜜網，分析該網路遭受到的殭屍網路歷史攻擊，關聯融合不同蜜網的數據，為每個網路預測個性化的未來最有可能的殭屍網路攻擊，從而達到主動防禦的目的。所提技術一改蜜網只用於攻擊行為捕獲的傳統，將蜜網套用於殭屍網路的主動防禦，在一定程度上提升了安全防禦的主動性，改善了網路安全攻守博弈的不平衡。 基於相關研究成果，研發了殭屍網路監控系統，包括“西安交通大學校園網殭屍網路檢測系統”和“全球殭屍網路規模估計系統”，這些系統已經部署於西安交通大學校園網內並已運行多年，取得了良好的實際套用效果。