一种基于社交网络的移动僵尸网络研究
本文关键词:一种基于社交网络的移动僵尸网络研究,由笔耕文化传播整理发布。
计算机研究与发展
JournalofComuterResearchandDeveloment ppISSN10001239CN111777TP -? -?
():49Sul.1-8,2012pp
一种基于社交网络的移动僵尸网络研究
李 跃12 翟立东2 王宏霞1 时金桥2
12
,
()西南交通大学信息科学与技术学院 成都 611756()中国科学院信息工程研究所 北京 100093)(zhailidoniie.ac.cn@g
MobileBotnetBasedonSNS
12212
,LiYueZhaiLidonanHonxiaShiJiniao g,Wggq
12
,
()SchooloInormationScience&TechnoloSouthwestJiaotonUniversitChendu611756 ffgy,g y,g ()InstituteoInormation EnineerinChineseAcademoSciences,Beiin00093 ffgg,yf jg1
Abstractlonwiththeraiddevelomentofmobilenetwork,thebotnetisshiftinfromtraditional A gppg networktomobileone.Themobilebotnethasalreadbecomeafocusoffutureinternetsecurit. yy
,widealicationofthesocialnetworkandwithitscharacteristicsofrealtimeasnchronousandWith - ppy,loosecoulincommunicationthemobileinternetbecomesamorecontrollableandmoreconcealed pg informationcarrierforthemobilebotnet.Theforwardamobilebotnetbasedlatformaeruts ppppthesocialnetworkcontrol.TheBotmastercontrolstheentirebotnetthrouhservers.Atuonublic gpp
,theloicleveloftheserversthebotnetdislasastructureofP2Pwithmultiaccountsandthe - gpy,structuresofthebotnetcanbedecidedbtheBotMasteritself.Basedonthistheauthortooloical ypg
,utsforwardtwocommonalorithmfornetworktooloiesaccordintorealalicationenvironment pgpggpp ,trovesandwithsimulationanalsisheauthortheSNS(SocialNetworkService)controlbased --py
,mobilebotnetissueriorwithitsinvisibilitrobustnessandflexibilit. pyy;();;;KewordsobilebotnetSNSSocialNetworkServiceTwittermobileinternetnetworksecurit m yy 僵尸网络正在从传统互联网络向移动网络过渡,移动僵尸网络已摘 要 随着移动互联网的快速发展,
成为未来移动互联网安全急需关注的热点方向.而社交网络业务在移动互联网上的广泛应用以及实时异步松耦合的通信特点,为移动僵尸网络提供了控制能力更强、隐蔽性更好的控制信息平台载体.提出)了一种基于社交网络控制的移动僵尸网络,僵尸控制者(通过公共社交网络服务器控制整个Botmaster僵尸网络;在服务器的逻辑层,僵尸网络呈现多账号的P同时僵尸网络的拓扑结构可由2P结构,在此基础上,根据实际应用场景提出两种通用网络拓扑生成算法,通过仿真分析,Botmaster自主定义,
证明了基于社交网络控制的移动僵尸网络具有良好的隐蔽性、健壮性和灵活性.;社交网络服务;移动互联网;网络安全关键词 移动僵尸网络;Twitter
中图法分类号 TP393
僵尸网络的攻防研究一直是安全领域的热点问题,很多学者对僵尸网络进行定义和总结,方滨兴院士等认为僵尸网络是由四元组所构成,反映的是可被攻击者通过命令控制信道进行远程控制使之进入
--20120813 收稿日期:
1]
特定状态的计算集群[.1998年出现第1个以IRC
,,协议为代表的僵尸网络G之后陆续出现以TBot
[]
简单PHTTP协议、2P协议和Fastflux2技术为代-
表僵尸网络,近年来僵尸网络的发展进入对抗阶段,
;国家“八六三”高技术研究发展计划重大基金项目(中科院战略性先导科技专项课题2011AA010701,2011AA01A103) 基金项目:
(););)国家自然科学基金项目(国家科技支撑计划(XDA0603020061001742012bah37B04
2
[][]
出现DomainFlux3技术、URLFlux4技术、Hbrid y[]
健壮性的僵尸网络;随P2P5协议等能提高隐蔽性、
僵着移动网通信质量和智能手机性能不断的提高,
(计算机研究与发展 2增刊)012,49
在移动僵尸网络设计时应注意躲避这些防御角色的关注.
通过调研显示Twitter社交网络服务商最关注的是收发T在一个用户体witter消息的响应时间.当一个用户请求到达以后,应该在平验良好的网站,
均5而T00ms以内完成响应.witter服务的设计目标是达到200ms~300ms响应速度.Twitter工程而且往往师使用了大量的缓存来提高响应速度,
把听众较多的用户账号单独放在缓存中,提高响应时间.因此,在基于社交网络控制的僵尸网络设计时尽量不要使单个节点成为整必须考虑到这些特性,
个网络的中心,避免占用缓存资源而引起防御者的怀疑.
政府相关部门最关注的是通过僵尸网络的犯罪活动,对可能造成恶性事件的僵尸网络及时处理.
通过对以上防御方特性的分析,可得出防御方行为模型,如表2所示:
表2 防御行为模型
序号①②③④⑤⑥⑦⑧⑨
防御行为模型
用户不会在未发现异常费用和大量垃圾消息的情况下怀疑存在恶意程序.
用户认可由自身使用产生的流量费用.用户不在乎通过WiFi连接的流量.
移动网供应商认可一切不影响网络正常使用的流量.移动网供应关心在单点突发的大量数据流量.
Twitter服务商认可一切不影响Twitter的服务的流量.为其Twitter服务商关心具有大量听众的账号发出的消息,
分配高速缓存.
政府相关部门认可一切不造成大范围影响的僵尸网络.政府相关部门关心通过僵尸网络进行犯罪行为幕后指使.
尸网络正在逐渐向跨网域、多协议的融合僵尸网络
1]发展[.
学者对传统僵尸网络的研究,如传统僵尸网络
6]1]7]8]
、、、、的威胁[分类[传播模型[控制模型[检测模
型
[9]
等已经比较全面.但是,针对智能手机的移动僵
尸网络的研究才刚刚起步,如基于SMS短信信道建
]1011-
、立的移动僵尸网络[基于蓝牙通信建立的移动12]
等.僵尸网络[
本文以T提出一种基于社交网络witter为例,
控制的移动僵尸网络,旨在增强防御者对此类僵尸网络的了解,以及时应对.本文主要贡献如下:)提出利用T1witter服务来构建逻辑层为P2P结构的移动僵尸网络的方法,利用该方法可以很容易地把传统僵尸网络和移动僵尸网络进行有机的结实现融合网络的移动僵尸网络;合,
)在逻辑层面上,僵尸网络的拓扑结构可由僵2
尸控制者自由定义,大大提高了僵尸网络灵活性;
)对该类僵尸网络进行攻防分析,提出了该类3
僵尸网络的防御策略和未来发展方向.
1 防御方行为模型
防御方的防御行为模型也就是僵尸网络的威胁模型.本文提出的移动僵尸网络是构建在威胁模型之上的.因此,我们需首先讨论防御行为模型.
通过调研显示防御方角色为手机用户、移动网供应商、Twitter社交网络服务商和政府相关部门,如表1所示:
表1 防御角色表
序号①②③④
防御角色智能手机用户移动网供应商Twitter社交网络服务商
政府相关部门
关注焦点费用、通信质量通信质量、瞬时流量响应时间、用户体验恶意事件、犯罪活动
本文所提出的基于社交网络控制的移动僵尸网络,可抵抗表2所提出防御方的防御行为,具体分析在下文介绍中逐步阐释.
2 移动僵尸网络架构
Twitter业务在移动互联网上的广泛应用以及
为移动僵尸网络提供实时异步松耦合的通信特点,
了控制能力更强、隐蔽性更好的控制信息平台载体.Twitter服务已经帮助Botmaster解决了跨网域和
多协议支持等异构网络融合下的技术难点,因此通过Twitter服务平台不但可以建立移动僵尸网络,而且还可以巧妙地将传统互联网的僵尸网络和移动
通过调研得知,智能手机用户比较关心手机的移动网供应商的核心任务是维护费用和通信质量.
一个便捷快速的网络环境,因此他们首要关注移动网的通信质量.当某个或多个基站区域产生大量瞬时流量时,有可能会降低移动网服务质量,所以移动网供应商比较关注产生瞬时高峰流量的区域.因此
李 跃等:一种基于社交网络的移动僵尸网络研究
3
僵尸网络连接,实现异构网络中的融合僵尸网络.而Botmaster只需要了解如何通过僵尸程序调用但本文不对融合僵尸网络的具Twitter服务即可.体实现技术进行讨论.
从网络结构上看,僵尸网络的结构如图1所示,采用纯中心结构建立的僵尸网络类似于早期基于IRC控制命令信道的僵尸网络
.
式分析整个僵尸网络的拓扑结构(收听列表和被收列表)对于此问题我们通过为每个B.ot节点注册两所谓正交就是同一个正交的Twitter账号来解决.个Bot节点的两个账号在Twitter服务器端没有任何逻辑关系.设这两个账号为
,〉,botAccount=〈earAccountmouthAccount
其中账号e账号arAccount只负责收听僵尸命令,即mouthAccount只负责转发收听到的僵尸命令,该Bot的earAccount账号收听其他Bot的mouthAccount账号转发的命令,该Bot的mouthAccount在其他Bot端earAccount账号的收听列表中.通过此Bot的收听转发关系如图3所示.策略,防御者是无法通过挖掘Twitter收听列表的方法分析本僵尸网络的拓扑结构
.
图1 僵尸网络的网络结构
一般对于纯中心结构的僵尸网络防御策略主要,是“斩首行动”即关闭中心服务器,致使整个僵尸网但该僵尸网络构建于公共T络瘫痪.witter服务器
上,若采用关闭中心服务器的防御策略,将中断整个是不可行的.因此传统的“斩首行动”Twitter服务,防御策略无法应对构建与公共服务器上的僵尸网络.但如果让所有Bot节点同时收听一个或几个防御方可通过蜜罐分析Botmaster的Twitter账号,僵尸程序,查找到所有B采用封号otmaster的账号,即可彻底瓦解该类僵尸网络.本文提出的移的策略,
在T动僵尸网络并不是采用这种中心结构,witter服务器上表现出的逻辑结构是P如2P非中心结构.图2所示,每个Bot节点同时完成收听转发僵尸命令的任务
.
,〉图3 botAccount=〈earAccountmouthAccount
本文从攻防角度出发,提出了多种威胁该类僵并不断通过改进设计方案、应对尸网络的防御方法,策略,提出了总体设计架构.
接下来讨论僵尸B也就是一个ot的注册流程,僵尸节点在成为正式僵尸之前的初始化工作,该流程如图4所示.
当一个节点B首先注册ot被僵尸病毒感染后,,两个Twitter账号earAccount和mouthAccount然后用Botmaster的公钥分别对这个两个Twitter
账号加密,发送到指定的网盘、网络数据库或者邮箱中.之后该Bot节点只需登陆earAccount账号等待控制命令即可.具体流程如图5所示.
为B规划僵尸网络拓ot分配收听列表的任务,扑结构的工作由B具体过程如下:otmaster来完成.网络数据库Botmaster会定期到这些指定的网盘、或邮箱中读取新加入的b然otAccount信息并解密,后将账号交由账号管理服务器处理,账号管理服务器为新加入B在账号管理服务器ot分配收听列表.上有两个数据库,分别管理着earAccount账号和具体流程如图6所示.mouthAccount账号,
图6中分配收听列表是由拓扑生成算法计算得出的,该算法需要关联所有Bot节点的mouthAccount账号,具体实现方法在后文有详述.
图2 僵尸网络的逻辑结构
如果Bot端通过一个Twitter账号来收听和转发控制命令,那么防御者可通过挖掘收听列表的方
4
(计算机研究与发展 2增刊)012,49
图4 Bot
注册流程图
详细的分析,下面我们讨论该僵尸网络的控制模型.
研究控制模型我们不得不考虑到节点的两个状态,一个是没有控制命令时的状态,另一个是响应控制命令时节点的状态.定义每个Bot节点的两个状态为
〉,S=〈sleeactivep,
其中sleeactivep是没有控制命令时候的休眠状态;是执行控制命令时的响应状态.节点在sleep状态时,登陆e收听僵尸命令;在aarAccount账号,ctive
图5 Bot
端感染流程
状态时,执行恶意攻击行为和登陆mouthAccount账号转发僵尸命令.等待命令执行完毕,注销转为s等待新mouthAccount账号,leep休眠状态,的僵尸命令的到来.
()如图7所示,节点长期处于s等待aleep状态,有效控制命令到来,在图中用指向自身的箭头表示.当收到有效命令后,跳转到active状态完成响应事待响应完成,重新回到s件,leep状态.
()图7表示多个B当bot节点的状态迁移过程.(收到控制命令后,由sBotn-1)leectivep跳转到a
((状态,同时转发命令,节点收听到BBotn)otn-1)转发的命令后,进行同样的状态转移,把命令如接力棒一样传递下去,如此往复,这样所有节点都能收听到该控制命令.
状态转移的具体过程如图8所示,Bot节点在登陆e一直处于sleearAccount账号,p状态时,在每次收到消息waiting状态等待控制命令的到来.
首先判断命令是否有效,对于正常T时,witter消息,节点不作任何响应,仍然处于w等aiting状态,只有当收到携带控制命令的消待下一个消息到来.
息时,此时节点进入a读取消息,解析命ctive状态,令,执行命令,同时登出e登陆arAccount账号,
图6 Botmaster端感染流程
3 控制模型
上文已经对该僵尸网络的架构和初始化进行了
五星文库wxphp.com包含总结汇报、人文社科、资格考试、旅游景点、经管营销、文档下载、教学研究以及一种基于社交网络的移动僵尸网络研究等内容。
本文共2页12
本文关键词:一种基于社交网络的移动僵尸网络研究,由笔耕文化传播整理发布。
本文编号:132884
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/132884.html
