技術領域

本發明涉及網絡通信安全領域，尤其涉及IRC僵尸網絡的檢測方法。

背景技術

僵尸網絡是一群被僵尸程序(bot)感染的僵尸主機(zombie)的集合，分布于家庭、企業、政府機構等各種場合，接收來自僵尸控制者(botmaster或botherder)的指令，進行DDoS、信息竊取、網絡釣魚、垃圾郵件、廣告濫點、非法投票等多種攻擊行為。由于攻擊手段豐富多樣、隱蔽性強、有能力發動大規模攻擊、以經濟利益為目的等特點，僵尸網絡已成為黑客產業鏈中的一個重要環節，受到新聞媒體、安全業界和學術機構的廣泛關注。

根據命令與控制(Command?and?Control，簡稱C&C)結構的不同，僵尸網絡分為集中式和非集中式兩大類。IRC僵尸網絡屬于集中式C&C結構，它依賴于C&C服務器實現僵尸控制者與僵尸主機之間的通信，其結構簡單，易于部署，常采用IRC協議實現通信。IRC(Internet?Relay?Chat)協議由RFC1459定義，是基于TCP協議的應用層協議，其基本功能是使人們能夠利用IRC頻道(Channel)實現相互之間的實時對話。圖1所示為典型的IRC僵尸主機與C&C服務器之間的通信狀態遷移圖。主機感染IRC僵尸程序后，經過NICK、USER等一系列協議行為，加入到僵尸網絡控制者指定的C&C服務器頻道。同時，僵尸控制者采用IRC客戶端軟件加入到同一個C&C服務器頻道，向各個僵尸主機發送自定義格式的控制命令，而僵尸主機在接收到控制命令之后會解析并執行?；贗RC協議的C&C服務器為僵尸網絡提供了有效的通信方式。從攻擊者的角度，IRC僵尸網絡具有如下優點：1)IRC僵尸網絡功能強大豐富，能滿足黑客需求；2)IRC僵尸網絡技術門檻和成本低，各種黑客論壇和社區免費提供大量IRC僵尸程序代碼的下載，很容易被各種技術水平參差不齊的人惡意利用；3)互聯網上的許多主機防護措施不到位，存在各種漏洞，許多用戶缺乏基本的安全防護意識和技術；4)某些國家和地區網絡安全的相關法律法規不健全。因此，以IRC僵尸網絡為代表的集中式僵尸網絡給互聯網造成的威脅不容忽視。

IRC僵尸網絡和正常聊天同屬IRC協議的應用。然而，如圖2所示，IRC僵尸網絡的客戶端為IRC僵尸程序，IRC聊天客戶端為具有社會屬性的自然人。無論IRC僵尸主機或IRC聊天用戶，在圖1所示的流程中，都首先需要通過NICK字段向服務器注冊，以向服務器表明自己的身份。以下將NICK字段的內容稱為NICKNAME。一般情況下，正常的IRC聊天客戶端常采用諸如Eric、Brown、Alice等具有人名特征的單詞作為NICKNAME，而僵尸網絡控制者為了便于直觀的掌握所控制的僵尸主機的基本信息，常采用類似[0]CHN|2K-SP4[O]880424、XERION-45632、[0|KOR|43724]等形式的字符串作為IRC僵尸主機的NICKNAME。與IRC聊天用戶相比，IRC僵尸主機使用的NICKNAME更具結構性和規律性。NICK是IRC協議的字段之一，也是IRC僵尸網絡通常具備的字段。事實上，IRC僵尸網絡除了NICK字段，還有PING、PONG、PRIVMSG、PUBMSG等字段，但相比NICK字段，其內容的結構性和規律性較弱。另一方面，如圖1所示，NICK字段是主機被感染之后主動連接C&C服務器的第一步，可在主機被控制后獲取攻擊指令之前的第一時間及時檢測IRC僵尸網絡。因此，NICKNAME是一種較為典型的IRC協議特征?；贜ICKNAME檢測IRC僵尸網絡面臨以下難點：如何從大量僵尸主機NICKNAME樣本中抽取針對性和適應性均較強的特征，即不僅可檢測已知NICKNAME特征的僵尸網絡，而且可檢測新型的NICKNAME變種特征的僵尸網絡，同時特征的生成不依賴人工的參與。