僵尸網(wǎng)絡(luò)（BOTNET）是互聯(lián)網(wǎng)網(wǎng)絡(luò)的重大安全威脅之一，本文對僵尸網(wǎng)絡(luò)的蔓延、通信和攻擊模式進行了介紹，對僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、監(jiān)測和控制方法進行了研究。針對目前最主要的基于IRC 協(xié)議僵尸網(wǎng)絡(luò)，設(shè)計并實現(xiàn)一個自動識別系統(tǒng)，可以有效的幫助網(wǎng)絡(luò)安全事件處理人員對僵尸網(wǎng)絡(luò)進行分析和處置。
關(guān)鍵詞：僵尸網(wǎng)絡(luò), IRC, 網(wǎng)絡(luò)安全
僵尸網(wǎng)絡(luò)是近年來興起的危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全重大安全威脅之一。據(jù)CNCERT/CC 統(tǒng)
計，中國內(nèi)地被控僵尸網(wǎng)絡(luò)數(shù)量全球排名第一，2005 年發(fā)現(xiàn)的規(guī)模超過5000 臺的僵尸網(wǎng)絡(luò)達143 個，2006 年上半年發(fā)現(xiàn)的規(guī)模超過5000 臺的僵尸網(wǎng)絡(luò)數(shù)量達188 個。這些僵尸網(wǎng)絡(luò)的控制服務(wù)器很多位于國外，對我公共互聯(lián)網(wǎng)的安全造成了嚴重的威脅[1]。
僵尸網(wǎng)絡(luò)(Botnet)能夠在攻擊者指令下統(tǒng)一行動，利用宿主機資源執(zhí)行各種網(wǎng)絡(luò)攻擊活
動，最典型的如分布式拒絕服務(wù)(DDoS)攻擊、傳播蠕蟲、發(fā)送垃圾郵件，以及竊取宿主機敏感信息等。對僵尸網(wǎng)絡(luò)的機理和監(jiān)控手段研究成為網(wǎng)絡(luò)安全領(lǐng)域的重要課題之一。國內(nèi)外很多研究機構(gòu)開始對僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)、跟蹤和控制方法進行研究。CNCERT/CC在2004年12月開始進行僵尸網(wǎng)絡(luò)監(jiān)測與控制方面的研究，清華大學(xué)CCERT惡意代碼研究項目組于2005年3月開始深入分析和跟蹤僵尸網(wǎng)絡(luò)，并開展了對CERNET網(wǎng)絡(luò)中存在的僵尸網(wǎng)絡(luò)的研究工作，通過對發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)的跟蹤和深入分析，提出了一個能夠有效識別IRC僵尸網(wǎng)絡(luò)控制端的方法，并在CERNET中進行了測試，分析了當(dāng)前CERNET中僵尸網(wǎng)絡(luò)的存在情況，為進一步的跟蹤和捕獲提供有效的依據(jù)。
本文首先對僵尸網(wǎng)絡(luò)的機理進行的深入分析，然后對僵尸網(wǎng)絡(luò)監(jiān)控技術(shù)做了全面的介
紹。在此基礎(chǔ)上，提出了一套僵尸網(wǎng)絡(luò)控制端識別系統(tǒng)方案，并給出了實際監(jiān)控的效果。本研究得到科技部國家高技術(shù)研究發(fā)展計劃（863）“國家公共互聯(lián)網(wǎng)安全監(jiān)測、預(yù)警與危機控制關(guān)鍵技術(shù)研究”課題支持（編號：2006AA01Z451）。