本發(fā)明公開了一種基于LLMNR協(xié)議的本地網(wǎng)絡(luò)同類Bot間命令控制信息分享機(jī)制，包括BTL選舉階段、BTL獲取C&C信息階段及C&C信息分發(fā)階段，在BTL選舉階段，每個Bot將自己的評價指標(biāo)數(shù)值通過LLMNR協(xié)議告知其它Bot，再利用D?S證據(jù)理論融合這些評價指標(biāo)數(shù)值以選舉最優(yōu)Bot作為BTL；然后BTL查找C&C信息地址并與之取得通信，并利用PULL或PUSH模式以較為隱蔽的方式從C&C信息獲取最新命令控制信息；最后，BTL再次利用LLMNR協(xié)議將所獲取的命令控制信息分發(fā)給本地網(wǎng)絡(luò)的其它Bot。本發(fā)明能有效選舉出BTL，完成與本地網(wǎng)絡(luò)內(nèi)多個同類Bot的命令控制信息共享。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于LLMNR協(xié)議的本地網(wǎng)絡(luò)同類Bot間命令控制信息分享機(jī)制。

背景技術(shù)

近年來，由僵尸網(wǎng)絡(luò)(Botnet)引發(fā)的網(wǎng)絡(luò)安全事件層出不窮，危及我國公共互聯(lián)網(wǎng)安全運(yùn)行，對國家信息安全造成嚴(yán)重危害。僵尸網(wǎng)絡(luò)是一個高度受控平臺，其核心思想都是借助專用惡意代碼感染智能手機(jī)、平板、計算機(jī)等設(shè)備，使其變?yōu)槭芸毓?jié)點(Bot)，攻擊者通過命令與控制服務(wù)器(Command and Control Server，C&C Server)向Bot主動推送命令控制信息(PUSH模式)，或者Bot主動從C&C Server上獲取命令控制信息(PULL模式)，來對這些Bot進(jìn)行管理。在Bot得到命令控制信息后，可根據(jù)相應(yīng)指令對指定目標(biāo)實施信息竊取、DDoS攻擊、垃圾郵件轟炸、會話劫持等惡意行為。

可見，攻擊者與Bot之間能安全傳送命令控制信息是保證Botnet正常工作的基本要素。從目前已有公開文獻(xiàn)來看，多數(shù)Bot獲取命令控制信息仍采用先通過某種途徑獲得C&C Server IP地址或域名，并與C&C Server通信，然后再以PUSH模式或PULL模式從C&CServer獲取命令控制信息。由于該方式是讓Bot直接從C&C Server處獲取命令控制信息，當(dāng)位于同一局域網(wǎng)的多個主機(jī)感染相同惡意代碼而成為同類Bot后(例如，同實驗室多人打開本實驗室 QQ群共享中含有惡意代碼的文件，某部門的多位人員通過公司域名下郵箱收到相同的附件中攜帶偽裝惡意代碼的郵件等)，這些同類Bot必須各自獨立重復(fù)執(zhí)行該方式才能獲取命令控制信息。在此情況下，網(wǎng)絡(luò)監(jiān)管者根據(jù)這些同類 Bot所產(chǎn)生網(wǎng)絡(luò)流量的行為相似性來識別和追蹤C(jī)&C Server，同時也容易導(dǎo)致局域網(wǎng)中Bot位置的暴露和檢測，進(jìn)而破壞Botnet正常運(yùn)作過程，使其威脅性和危險性大大降低，甚至失去實用價值。

針對上述問題，僵尸網(wǎng)絡(luò)控制者會利用各種技術(shù)手段盡量模糊化或隨機(jī)化Bot產(chǎn)生的流量特征，以避逃避檢測和追蹤，其中借用現(xiàn)有網(wǎng)絡(luò)協(xié)議秘密地進(jìn)行命令控制信息收發(fā)就是一種常用方法，而且多個本地網(wǎng)絡(luò)同類型Bot間還可利用組播性質(zhì)的協(xié)議來收發(fā)命令控制信息，以避免網(wǎng)絡(luò)流量行為相似性檢測，提高傳輸效率。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明提供了一種基于LLMNR(Link-Local Multicast NameResolution)協(xié)議的本地網(wǎng)絡(luò)同類Bot間命令控制信息分享機(jī)制，首先定義了開機(jī)時間比和CPU利用率比兩個評價Bot性能指標(biāo)，其次本地網(wǎng)絡(luò)中多個同類Bot利用LLMNR Query包將各自兩個指標(biāo)值通告給其它Bot，并借用 D-S證據(jù)理論選舉出Bot臨時代表(Bot TemporaryLeader,BTL)，接著僅被選為BTL的Bot與C&C Server通信并從C&C Server獲取命令控制信息，最后， BTL再次通過LLMNR Query包將所獲取的命令控制信息分發(fā)給其它Bot，并進(jìn)行了相關(guān)實驗測試，結(jié)果表明，該機(jī)制能有效選舉出BTL，完成與本地網(wǎng)絡(luò)內(nèi)多個同類Bot的命令控制信息共享。

為實現(xiàn)上述目的，本發(fā)明采取的技術(shù)方案為：