來源于：《Bots and Botnets: An Overview of Characteristics,Detection and Challenges》，2012 IEEE International Conference on Control System, Computing and Engineering, 23 - 25 Nov. 2012, Penang, Malaysia

一、Botnets的特性

１、僵尸網絡生命周期和僵尸主控機活動

僵尸網絡可以有不同的大小或結構，但是，一般來說，它們在生命周期中經歷相同的階段[4,5]。圖1描述了僵尸網絡生命周期的一般視圖。僵尸網絡生命周期和僵尸主控機活動。

1)感染和傳播:僵尸網絡的生命周期始于感染過程，在此過程中，僵尸主控機使用不同的方法和技術來感染新的目標(如電腦、移動設備)，并將其轉化為僵尸[6]。在垃圾郵件或即時消息、惡意的url、P2P文件共享網絡甚至其他僵尸網絡中，被感染的代碼可以作為向量的樣本，在目標設備中傳播僵尸[5]。大多數僵尸的目標都是不受監控的計算機，比如高帶寬連接、大學服務器和家用電腦。一般來說，僵尸主控機利用那些對網絡安全知之甚少或缺乏知識的人來獲取他們的設備，并在不被檢測到的情況下讓他們的僵尸存活很長一段時間[7]。

2)聚集:這是僵尸第一次連接到C&C服務器，向僵尸主控機顯示它已經成功地建立了一個僵尸[8]。此外，這些機器人還會收到一些基本信息的更新，比如相關的C&C服務器的IP地址列表[9]。

3)命令和報告:在此階段，僵尸監聽C&C服務器，或定期與它們連接，以獲得來自僵尸主控機botmaster的新命令。一個新的指令，當被僵尸檢測到時，被當作一個命令。他們執行命令，結果報告給C&C服務器，然后僵尸等待新的命令[4,6]。

4）放棄：當一個僵尸不再可使用（例如它的帶寬太低），或者botmaster決定這個特定的僵尸不再合適時，它可能會被botmaster拋棄。如果任何單個僵尸被禁用，僵尸網絡仍然可用。當所有的僵尸被檢測到或被拋棄，或者C&C服務器被檢測和阻塞時，僵尸網絡將被完全摧毀。

5)保護僵尸網絡:保持整個僵尸網絡安全的持續努力是僵尸網絡生命周期中的重要問題之一。僵尸網絡和僵尸具有動態和靈活的性質。他們不斷被更新，而他們的后代代碼每天都在變化。此外，botmasters總是嘗試不同的技術來保護他們的僵尸不受現有的檢測解決方案的影響[10]。

２、命令和控制(C&C)機制

命令和控制機制在僵尸、C&C服務器和botmaster之間創建一個接口，以便在它們之間傳輸數據。對于botmasters來說，在他們自己、C&C服務器和受感染的計算機之間建立一個萬無一失的連接是至關重要的[3]。有三種類型的僵尸網絡命令和控制架構——集中的、分散的和混合的——基于通信的實現方式[6]。圖2說明了集中化和分散的C&C機制之間的區別。

1)集中的C&C:在集中指揮和控制方法中，僵尸被連接到中央C&C服務器獲取命令和更新。根據設置，C&C服務器可能提供一些服務來注冊可用的僵尸，這將使跟蹤它們的活動成為可能。當然，一個botmaster必須連接到C&C服務器來控制僵尸并分發它的命令和任務，然而，集中的模型有一個失敗的點，他們是最常見的僵尸網絡因為他們用簡單的步驟來創建和管理僵尸并且響應速度是快的[12]。集中化的C&C機制根據其用于建立連接的通信協議分為IRC和HTTP類型。

　　基于IRC的命令和控制機制:IRC或Internet中繼聊天是計算機用戶在實時模式下進行在線交流或聊天的一種系統。這種方法在第一代僵尸中使用，在這些僵尸中，botmasters使用IRC服務器和相關的通道來分發他們的命令[13]。每個僵尸連接到由botmaster選擇的IRC服務器和通道，并等待命令。在此設置中，botmaster與所有連接的僵尸建立實時通信并控制它們。IRC僵尸遵循PUSH方法，這意味著當IRC僵尸連接到選定的通道時，它仍然處于連接模式[11]。

????? 基于HTTP的命令和控制機制: HTTP命令和控制是一種新技術，它允許僵尸程序通過使用HTTP協議[13]來控制他們的僵尸。在此技術中，僵尸使用由botmaster定義的特定URL或IP地址，連接到特定的web服務器，該服務器扮演C&C服務器角色。與基于irc的僵尸使用的PUSH方法不同，HTTP僵尸采用了PULL方法。在連接到C&C服務器的第一次連接后，它們不會繼續留在連接模式中。在PULL方法中，botmasters在某些web服務器上發布命令，而僵尸會定期訪問這些web服務器以更新自己或獲得新的命令。該過程以由botmaster[1,14]定義的規則間隔繼續。

2)分散的C&C:分散指揮和控制架構基于點對點(P2P)網絡模型。在這個模型中，一個被感染的計算機充當一個僵尸，同時作為一個C&C服務器[15]。事實上，在P2P僵尸網絡中，每一個僵尸都扮演著服務器的角色，將命令發送給鄰近的僵尸，而不是中央C&C服務器。botmaster向一個或多個僵尸發送命令，接收命令的僵尸將它們發送給其他僵尸。每個接收新命令的僵尸重復這個過程。與中央集權的僵尸網絡;創建和管理P2P僵尸網絡涉及復雜的程序，需要高水平的專業知識[6,14]。

3)混合C&C:如上所述，每一種C&C機制都有一套優點和缺點，對使用和管理的易用性以及檢測和廢棄的難度都有一定的限制。為了利用每個C&C模型的優點，采用不同的協議和體系結構來形成混合的方法。例如，HTTP2P botnets[15]與HTTP協議進行通信，以繞過P2P結構的防火墻，以消除中央C&C服務器的傳統缺陷?；旌戏椒ú⒉痪窒抻谀承┓栈蝮w系結構的使用;實際上，botmasters可以使用任何適用的協議來實現這個模型。例如，AHP2P[16]是一種先進的混合P2P僵尸網絡，它使用web2.0技術將其通信隱藏到社交網站中。

3、僵尸網絡惡意活動

僵尸網絡的大小從一個龐大的僵尸網絡，有數千個僵尸(大型僵尸網絡)到一個擁有數百個或更少數量的僵尸(小型僵尸網絡)的小型僵尸網絡。不管它們的大小如何，與它們的復雜性和目的有直接的聯系，僵尸網絡主要是在計算機網絡中進行惡意活動[5]。它們不僅是對計算機網絡和互聯網的危險威脅，而且還涉及其他類型的威脅和攻擊[17]。這些攻擊的一些例子如下:

1)DDOS:這是通過發送大量的UDP數據包、ICMP請求或TCP同步洪水來實現的分布式拒絕服務或DOS攻擊，它的目的是使用特定服務器的資源并迫使它們關閉。當botmasters控制僵尸網絡時，他們可以通過在同一個僵尸網絡中的被感染的計算機上發送一個特定的命令，來從數千個不同的地方執行這類攻擊[3,12]。

2)垃圾郵件，垃圾郵件指的是不請自來的信息，有相同的內容，但被發送到不同的媒介，比如郵件，即時信使，博客或新聞小組的評論，[18]。基于卡巴斯基實驗室報告[19]，大約85%的垃圾郵件活動是由僵尸網絡生成的。因此，僵尸網絡可以被認為是收集受感染計算機的不同電子郵件地址、生成和發送垃圾郵件的主要平臺。每個僵尸平均每秒發送三封垃圾郵件或假消息。因此，Koobface botnet[20]擁有290萬臺被感染的計算機，每秒可以產生超過800萬條的假消息。

3)盜竊個人信息:雖然盜竊個人信息一直被認為是最值得注意的網絡威脅之一，僅Zeus botnet感染了近350萬臺電腦，并試圖竊取敏感信息[20]。botmaster使用botnet來盜取信息，并使用它們自身利益。他們可以為僵尸設置一個觸發器，并讓他們掃描那些重要信息輸入的網站[17]。此外，其他應用程序，如按鍵記錄器，通過機器人來傳播，以獲取諸如個人密碼和網上銀行等金融數據等重要信息[21]。

4）非法托管、出售或出租服務：擁有大型存儲空間和高帶寬連接的計算機或服務器可以成為僵尸主控器的目標，從而獲得控制和用于文件共享和非法托管。在任何需要的時間內，僵尸網絡程序和托管服務都可以用于惡意目的的銷售或出租。這些服務的目的之一就是在他們的客戶和執法部門之間設置更多的障礙和隔閡，[18,22]。

5）點擊欺詐和廣告軟件：僵尸網絡和其他網絡威脅的主要區別之一是，僵尸網絡可以通過點擊欺詐來賺錢。Botmasters可以通過在網站上點擊支付一小筆錢，或者每次點擊廣告就能賺到很多錢。彈出式廣告也可以被僵尸下載、安裝或顯示，以迫使用戶訪問特定的網站[18]。

除了上面討論的攻擊，僵尸網絡還可以用來傳播不同類型的計算機威脅，如病毒、木馬、后門、蠕蟲等等。這意味著僵尸網絡不僅是威脅，而且是其他惡意軟件的傳播平臺。

二、僵尸網絡檢測

有幾種方法和技術用于跟蹤僵尸網絡活動，并檢測它們，例如基于簽名的檢測、honeypots、分析DNS流量和行為分析(如主動和被動):

１、基于簽名的僵尸網絡檢測方法

簽名是指入侵者對計算機系統的威脅的已知模式或特征。通過對這些模式或特征的分析和比較，可以將惡意行為與正常行為區分開來。一些研究提出了基于簽名的僵尸網絡檢測方法[23,24]。但是，由于這種方法不能識別新的行為、模式或特征，所以很少使用簽名來檢測僵尸網絡。該方法是基于對現有機器人的預定義特性的簡單比較。因此，這種方法對檢測知名機器人有好處，但對檢測新零日機器人的意義不太大[3]。

２、蜜罐和蜜網

蜜罐是用來收集僵尸的信息和活動的工具，用來檢測僵尸網絡。這些信息可以用來更多地了解僵尸的行為或僵尸主控機的意圖[25]。蜜罐有兩種類型：低互動蜜罐和高互動蜜罐[26]。它們之間的主要區別是系統資源、服務和功能的訪問權限級別[27]。低交互的蜜罐被部署在計算機和僵尸主控機之間有限的互動中。因此，它們可能不會完全被破壞，收集的信息可能不足以用于分析僵尸網絡。為了提供更多的信息，高交互性的蜜罐模擬了真正的系統和服務，這使得botmasters有了更多的控制。雖然這種方法能夠為僵尸網絡的檢測提供有用的信息，但是botmasters能夠完全控制安裝了高交互的蜜罐的計算機。此外，最近，botmasters使用了許多技術來檢測和避開蜜罐[25,28]。

３、通過DNS流量監視檢測

使用蜜罐提供了有用的僵尸網絡流量，但它提供的關于DNS查詢的信息較少。監視和分析僵尸產生的DNS流量及其與正常DNS查詢的差異，已被用作檢測僵尸網絡的技術[9]。這些方法不再有效，因為新一代的僵尸網絡已經被設計用來產生最少數量的DNS查詢。此外，分析DNS流量的過程非常復雜[1,10]。最后，DNS分析技術無法提供關于僵尸網絡傳播的信息以及它們感染目標的方式[6]。

４、行為分析檢測

為了提供一種分析和檢測僵尸網絡的有效方法，一些研究提出了行為分析。該方法查找網絡流量中的異常模式，而不考慮傳輸信息的內容[29]。這種技術的主要優點之一是能夠探測未知的僵尸網絡威脅[30]。行為分析有以下幾種形式:

1)攻擊行為分析:在此方法中，攻擊的特征和行為比其他問題(如僵尸的行為[6])更受關注。這種方法的主要缺點在于它只適用于僵尸網絡已經傳播、建立和攻擊開始的情況下。此外，該方法采用了一種干擾正常通信的主動行為分析，這使得botmaster能夠意識到觀察和檢測過程[28]。

2)操作行為分析:與上述方法不同，操作行為分析主要集中在僵尸的特性、C&C服務器和通信方法、botmaster行為和意圖上。因此，許多關于僵尸網絡檢測的研究都采用了行為分析方法，通過收集特定時期的網絡流量(即被動方法)，并對其進行分析，以確定僵尸和僵尸網絡活動的任何證據[6]。

三、目前的挑戰和建議

本節討論當前的僵尸網絡檢測需要解決的挑戰。它還強調了一些主要問題，并提出了一些未來研究的建議。

１、一般的僵尸網絡檢測的挑戰

僵尸網絡有幾個特點(例如由熟練的開發人員開發，動態特性和高靈活性)，這使得它們難以分析和檢測。它們發布得非?？欤鴅otmasters總是嘗試不同的技術來保護他們的僵尸[10]。

1)變化的技術和環境:正如McAfee研究實驗室所指出的，在幾乎所有的檢測算法中，成功都是短暫的，因為botmasters不斷改變他們的技術和操作環境。此外，McAfee研究實驗室預測，網絡社區將面臨更廣泛的分布式和更有彈性的僵尸網絡，這很難被發現[33]。

建議:為了對未來的僵尸網絡攻擊做好準備，研究人員應該繼續學習一些高級技術和基礎設施(例如:云和移動)，這些技術和基礎設施可以被botmasters使用。因此，對僵尸網絡的檢測尤其是新一代的研究是一個有待進一步研究的領域。

2)小型和單僵尸檢測:如Bailey等[6]所指出的，基于對僵尸網絡機器人的合作行為的分析，設計了大量的當前僵尸網絡檢測方法。這些技術在大型僵尸網絡檢測中更有效，在僵尸網絡中有大量的機器人(即被感染的目標)，因此，對小型僵尸網絡和單個僵尸的檢測仍然可以被認為是一個挑戰[11]。

建議:對僵尸網絡活動的早期檢測是一個重要的問題，因為它的進一步傳播和損害可以得到響應和阻止[34]。因此，需要對單個僵尸和僵尸網絡進行檢測，以便在其生命周期的早期檢測和防止僵尸網絡。

3)僵尸網絡響應、預防和緩解:據我們所知，目前關于僵尸網絡的研究大多只在檢測方面進行討論。因此，應急、預防和緩解是進一步研究的開放領域。

建議:需要對僵尸網絡感染和傳播系統進行更多的研究，以設計預防和緩解方法。此外，任何其他方法，如檢測單個僵尸，可以幫助在早期發現它們并快速響應它們。

２、基于http的僵尸網絡檢測挑戰

Botmasters使用HTTP協議將他們的活動隱藏在正常的web流中，并且很容易避免像防火墻這樣的當前檢測方法。由于使用的HTTP服務范圍很廣，不像IRC和P2P那樣，阻止這項服務是不容易的[13]。此外，該服務通常被互聯網上的正常應用程序和服務使用，因此，對低錯誤率警報(例如假陰性和假陽性)的HTTP僵尸網絡的檢測已經成為一個值得注意的挑戰[3]。

1)假警報率:基于HTTP bot周期性地連接到特定的命令和控制服務器以獲取命令和更新(即拉式)的事實，設計了許多當前的檢測方法[11,13]。正如在[1,14]中所觀察到的，一些正常的應用程序和服務，如Gmail會話(定期檢查新郵件)、自動更新器、基于HTTP的下載管理器、自刷新頁面和一些瀏覽器的工具欄都可以生成相同的周期模式，并在檢測結果中增加假正率。

建議:必須進行進一步的研究，以設計和提出新的濾波算法，以減少不必要和無用的數據，從而減少流量(在分析過程中)。此外，還需要新的分類算法來區分正常的web流與bot生成的流。對不同類型的僵尸網絡特性的審查表明，基于http的僵尸網絡有一組屬性，它們很難被檢測到。另一方面，針對基于http的僵尸網絡的檢測的研究數量相對于基于irc和P2P的僵尸網絡的數量相對較低[1]。因此，在這方面還需要進一步的研究。

３、新的僵尸網絡檢測挑戰。

云和移動基礎設施最近成為僵尸網絡活動的一個新平臺。由于它們還沒有得到充分的研究，因此需要進一步的研究來設計一種基于其特定特征的合適的檢測方法。然而，云被云服務提供商動態監控和保護，與其他類型相比，僵尸網絡更容易關閉[35]。另一方面，與計算機和計算機網絡相比，移動設備沒有得到適當的保護，其用戶對安全更新的關注較少[12]。

1)特定的移動特性和資源限制:有一些特定的移動特性，與計算機相比有不同的移動安全管理特性，比如機動性，嚴格的個性化，不同類型的連接性，技術融合，以及各種能力[2]。除此之外，諸如CPU、內存和電池壽命等移動設備的資源限制，使得本文所討論的現有僵尸網絡檢測解決方案難以實現[17]。

2)缺乏中央安全管理:除了上述特點之外，移動安全的主要挑戰是缺乏中央安全管理，因為它可以跟蹤和監控安全威脅，并相應地更新移動設備上的安全策略[36]。此外，如前所述，目前的檢測方法主要依賴于分析同一僵尸網絡中僵尸產生的異常或惡意活動的相似性。[6]。事實上，在移動設備上，沒有集中的安全管理來記錄和分析這些相似性。

本文概述了僵尸和僵尸網絡的現狀。與其他類型的惡意軟件不同，僵尸網絡是由熟練的僵尸控制主機精心組織和控制的。他們采用各種各樣的策略來保證他們的僵尸安全并且盡可能的隱藏。因此，僵尸網絡檢測是網絡安全管理的一大挑戰。有幾種方法和技術用于跟蹤僵尸網絡活動并檢測它們。每種方法都有一些優點和缺點。此外，這些技術是基于計算機和計算機網絡的規范設計的，可能不完全適用于新一代的僵尸網絡。移動和云僵尸網絡還沒有得到充分的研究，因此需要進一步的研究來設計基于這些環境特征的合適的檢測方法。