僵尸網絡實驗設計論文范文

本站小編為你精心準備了僵尸網絡實驗設計論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1實驗環境構建

筆者結合南開大學信息安全專業實驗室的軟硬件環境和已有的實驗方案，設計了僵尸網絡分析實驗環境，其基礎架構如圖1所示。在上述硬件環境的基礎上，搭建了自動化、系統性的僵尸程序監控分析平臺，其結構如圖2所示。該分析平臺運行在Ubuntu10．04／12．04操作系統下，主要由4個部分組成。（1）僵尸程序執行過程監控平臺。該平臺負責僵尸程序的運行監控、執行軌跡的捕獲、污點傳播分析、符號執行及約束求解等實驗任務。該監控平臺的主要部分是二進制代碼分析平臺BitBlaze，包括動態分析部分TEMU和靜態分析部分VINE。（2）執行軌跡分析工具包。該工具包由Perl語言實現，完成對執行軌跡的分析實驗，比如分析僵尸程序代碼空間中的代碼覆蓋情況，分析僵尸程序執行過程中與系統交互情況等。（3）控制命令挖掘工具包。控制命令挖掘工具包也由Perl語言實現，通過和執行軌跡分析工具的結合，利用部分僵尸程序執行邏輯的先驗知識，可以進行對僵尸網絡未知控制命令進行挖掘，并在此基礎上對僵尸網絡的命令控制機制進行進一步的分析研究。（4）僵尸程序行為監控工具包。該工具包由文件系統監視軟件FileMon和網絡分析軟件Wireshark等成熟的系統監控軟件組成，工作在Windows系統的僵尸主機下，用于對僵尸程序的宏觀行為進行跟蹤和監控。

2實驗步驟

（1）熟悉監控環境和分析平臺的使用。熟悉監控環境的使用，并在其中運行僵尸程序，嘗試和僵尸網絡命令與控制服務器進行連接和通信；熟悉二進制代碼分析平臺BitBlaze的使用，學習利用其動態分析組件TEMU進行軌跡捕獲、二進制代碼插裝的技術和方法，熟悉利用靜態分析組件VINE進行二進制代碼的執行軌跡反匯編及符號執行、約束求解等分析方法。（2）僵尸程序執行軌跡捕獲。執行軌跡是僵尸程序路徑空間中一條路徑的執行過程的詳細記錄。在BitBlaze平臺的TEMU中運行僵尸程序，監控其執行過程，并將從命令與控制信道中接收到的網絡數據標記為污點，捕獲得到僵尸程序的執行軌跡文件。可以分別捕獲僵尸程序在與控制命令服務器無網絡交互、有網絡交互及接收到不同控制命令等情況的幾組不同的執行軌跡，以便于進行對比分析，并用BitBlaze平臺中的VINE將這些二進制的執行軌跡文件轉換成匯編語言格式。（3）僵尸程序執行軌跡文件分析。對捕獲到的執行軌跡文件進行處理和簡化，然后編寫程序對其進行分析：統計分析僵尸程序執行軌跡中的線程個數及線程號、污點傳播過程等信息；分析僵尸程序代碼空間中的代碼覆蓋情況，計算代碼覆蓋率并分析其特點；統計分析系統API調用情況；從執行軌跡文件構造僵尸程序的控制流圖。通過分析，對執行軌跡的特點和僵尸程序的執行邏輯有更加清晰的認識。（4）僵尸網絡控制命令提取。根據步驟（3）中的分析結果，結合僵尸程序的固有特點，從執行軌跡中定位到僵尸程序中對控制命令進行判斷、處理的命令控制邏輯代碼段。定位的方法可以結合參考文獻［3］中提出的規律，也希望學生探索和發現新的特點和規則。然后，在可控環境中執行僵尸程序，當執行到命令控制邏輯代碼段時，利用代碼插裝等二進制代碼動態分析技術［13］提取出僵尸程序可執行的控制命令。（5）僵尸程序行為分析。在可控環境中再次運行僵尸程序，利用FileMon和Wireshark等軟件對僵尸程序的行為進行跟蹤監控。其一，在沒有與命令控制服務器交互時，分析僵尸程序執行后會有怎樣的行為表現，例如自刪除、修改系統文件、修改注冊表選項、試圖連接命令與控制服務器等；其二，在和命令與控制服務器進行交互時，利用步驟（4）中提取出的僵尸網絡命令，觸發僵尸程序運行，再監控其會有怎樣的行為，并總結控制命令與僵尸行為的對應關系。通過多次實驗和觀察，對僵尸程序的行為和特征進行歸納總結。（6）僵尸網絡命令與控制機制的進一步思考和探索。思考上述從僵尸程序二進制文件中挖掘未知命令方法的優缺點，并探索新的改進方法。根據提取出的控制命令及其對應的行為，分析僵尸程序和命令與控制服務器通信的方式，從整體上對該僵尸網絡的命令與控制機制進行認識和思考。在上述步驟中，步驟（3）“執行軌跡文件分析”和步驟（4）“控制命令的提取”涉及較多的專業知識和二進制代碼分析技術，是本實驗的難點。

3實例分析

在TEMU中運行Zeus僵尸程序，在和命令與控制服務器進行通信時，動態捕獲了Zeus僵尸程序的3條執行軌跡，其中的線程數、匯編指令總數和系統API調用個數見表1．對3個執行軌跡進行分析，了解Zeus僵尸程序的執行邏輯，利用執行軌跡中的代碼塊覆蓋率特征，從中定位到滿足參考文獻［3］中提出的覆蓋率規律的代碼塊，其所在代碼區域就是僵尸程序的命令控制邏輯代碼段。根據此方法，可以定位到的代碼段地址范圍為0x26e877c—0x26e87a2，其中調用了系統比較函數lstrcmpiw來進行比較，它是一個循環結構（見圖3）。將Zeus僵尸程序再次放在TEMU中運行。當僵尸程序運行到命令判定循環的入口地址0x26e877c時，開始監控是否調用判定函數lstrcmpiw。如果發生調用，則修改輸入命令為隨機數據，使程序進入判定循環。在判定過程中，通過獲取用來和輸入數據比較的參數，動態捕獲了Zeus僵尸網絡的25個控制命令。提取出控制命令以后，就可以用這些控制命令作為網絡輸入來觸發Zeus僵尸程序，使其表現出相應的行為。掌握了僵尸網絡的命令與控制機制以后，也可以嘗試偽造Zeus命令與控制服務器并向僵尸主機發送bot＿uninstall等命令來卸載、刪除僵尸程序，瓦解僵尸網絡。

4結束語

本文根據僵尸網絡的特點，結合南開大學信息安全專業實驗室的軟件和硬件環境，設計了僵尸網絡分析的實驗教學平臺，并提出了實驗目的、方法和步驟。利用本實驗平臺，學生可以進行僵尸程序行為特征分析、僵尸網絡命令與控制機制研究的實驗。通過實驗，學生可以更加深入理解僵尸網絡的基本原理和行為特征，掌握僵尸網絡分析的相關技術，進而進行僵尸網絡分析與防治的新方法、新途徑的探索。本實驗環境為信息安全專業學生的實踐動手能力和創新能力的培養提供了良好的實驗條件。

作者：高敏芬蔡亞運單位：南開大學數學科學學院南開大學計算機與控制工程學院