李金猛　王劍　唐朝京

摘 要： 梳理了P2P流量識(shí)別與基于流量分析的P2P僵尸網(wǎng)絡(luò)檢測(cè)的若干方法，在深入分析其各自優(yōu)點(diǎn)與局限性的基礎(chǔ)上提出了一種復(fù)合檢測(cè)系統(tǒng)模型CAID。CAID模型由捕獲、分析、識(shí)別和檢測(cè)四部分組成，該模型針對(duì)P2P僵尸網(wǎng)絡(luò)，通過(guò)流量的獲取、識(shí)別與分析構(gòu)建了完整的檢測(cè)預(yù)警機(jī)制，為后續(xù)處理打下了堅(jiān)實(shí)基礎(chǔ)。最后，對(duì)該模型進(jìn)行了實(shí)驗(yàn)分析。

關(guān)鍵詞： 僵尸網(wǎng)絡(luò)； 流量分析； 檢測(cè)模型； P2P

中圖分類號(hào)： TN711?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）19?0106?04

Abstract： The methods of P2P flow identification and P2P botnet detection based on flow analysis are introduced. A composite detection system model CAID is put forward on the basis of analyzing the advantages and limitations of the methods. The model is consisted of capture， analysis， identification and detection. The integrated detection and early warning mechanism was constructed by flow acquisition， identification and analysis for P2P botnet， which builds a solid foundation for the subsequent processing. This model was conducted with experimental analysis.

Keywords： botnet； flow analysis； detection model； P2P

0 引 言

僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過(guò)一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)[1]。僵尸網(wǎng)絡(luò)為攻擊者提供了發(fā)送垃圾郵件、DDoS攻擊、竊取用戶信息、點(diǎn)擊欺詐、網(wǎng)絡(luò)仿冒、傳播惡意軟件與保存非法文件等多種攻擊方式的平臺(tái)，迅速發(fā)展成互聯(lián)網(wǎng)最嚴(yán)重的安全威脅之一。早期的僵尸網(wǎng)絡(luò)多是基于IRC聊天協(xié)議或是HTTP協(xié)議搭建集中式的命令與控制信道，盡管搭建簡(jiǎn)單、可擴(kuò)展性強(qiáng)、命令傳遞效率高，但都存在單點(diǎn)失效的缺陷。

與傳統(tǒng)客戶機(jī)/服務(wù)器模式不同，P2P網(wǎng)絡(luò)采用分布式結(jié)構(gòu)，利用網(wǎng)絡(luò)邊緣節(jié)點(diǎn)傳遞控制命令、管理信息和資源，網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)既是客戶機(jī)又是服務(wù)器。P2P僵尸網(wǎng)絡(luò)作為新一代僵尸網(wǎng)絡(luò)，采用P2P協(xié)議構(gòu)建其命令與控制機(jī)制使得它們更有隱蔽性和魯棒性，其功能和結(jié)構(gòu)不斷翻新，并通過(guò)十來(lái)年的發(fā)展已經(jīng)構(gòu)成了越來(lái)越大的網(wǎng)絡(luò)安全威脅，國(guó)內(nèi)外各研究機(jī)構(gòu)和反病毒廠商紛紛展開(kāi)了對(duì)它的跟蹤與研究。

針對(duì)P2P僵尸網(wǎng)絡(luò)的檢測(cè)研究已經(jīng)在多個(gè)方面深入開(kāi)展，但由于P2P僵尸網(wǎng)絡(luò)較強(qiáng)的個(gè)性特征，一直缺乏有效通用的檢測(cè)方法。當(dāng)前檢測(cè)方法主要分為基于流量分析的檢測(cè)方法和基于異常行為的檢測(cè)方法。本文主要探討基于流量分析的檢測(cè)方法。

基于流量分析的檢測(cè)方法通過(guò)分析P2P僵尸網(wǎng)絡(luò)在各個(gè)生命周期產(chǎn)生的特殊網(wǎng)絡(luò)數(shù)據(jù)，找出P2P僵尸網(wǎng)絡(luò)的流量和行為特征并生成特征向量，然后用機(jī)器學(xué)習(xí)的方法對(duì)P2P僵尸網(wǎng)絡(luò)進(jìn)行檢測(cè)，以此來(lái)判斷網(wǎng)絡(luò)流量中是否存在P2P僵尸流量。

Thorsten Holz等人通過(guò)反匯編僵尸病毒的二進(jìn)制代碼，剖析其傳播機(jī)制、惡意行為與加密方式等特征，進(jìn)而實(shí)現(xiàn)對(duì)P2P僵尸網(wǎng)絡(luò)的跟蹤、檢測(cè)與反制[2]。

Saad等人從網(wǎng)絡(luò)流和通信模式中提取17種特征建立特征組，使用10倍交叉驗(yàn)證技術(shù)來(lái)評(píng)估和比較5種常見(jiàn)的機(jī)器學(xué)習(xí)技術(shù)，發(fā)現(xiàn)SVM的正確檢測(cè)率大約為97.8%，可用于構(gòu)建僵尸網(wǎng)絡(luò)檢測(cè)框架[3]。

Liu等定義一組指標(biāo)作為數(shù)據(jù)挖掘的參數(shù)來(lái)區(qū)分僵尸主機(jī)流量、正常P2P流量、游戲流量和一般網(wǎng)絡(luò)流量。分析和測(cè)試結(jié)果表明，數(shù)據(jù)挖掘技術(shù)可以在同一主機(jī)的各種混合流中發(fā)現(xiàn)Peacomm僵尸網(wǎng)絡(luò)流，檢測(cè)率在87%～98%之間[4]。該方法能檢測(cè)加密的P2P僵尸網(wǎng)絡(luò)流量，但需處理大量的流信息，復(fù)雜度高[5]。

文獻(xiàn)[6]提出基于TCP連接成功檢測(cè)算法動(dòng)態(tài)分析快速定位僵尸網(wǎng)絡(luò)，通過(guò)從交換機(jī)鏡像端口采集數(shù)據(jù)，定義時(shí)間滑動(dòng)窗口為100 s，很好地區(qū)分了P2P僵尸網(wǎng)絡(luò)、傳統(tǒng)應(yīng)用和P2P應(yīng)用三種不同流量[6]。然而問(wèn)題是該實(shí)驗(yàn)為定制環(huán)境，并未經(jīng)受實(shí)際網(wǎng)絡(luò)環(huán)境檢驗(yàn)，所針對(duì)的也是個(gè)別僵尸網(wǎng)絡(luò)，并且對(duì)數(shù)據(jù)采集有很高的要求。

本文著眼于利用P2P僵尸網(wǎng)絡(luò)不同生命周期階段中產(chǎn)生的特征流量來(lái)檢測(cè)P2P僵尸網(wǎng)絡(luò)，基于豐富而有效的流量分析識(shí)別技術(shù)，結(jié)合惡意網(wǎng)絡(luò)行為特征的檢測(cè)，構(gòu)建一種新的P2P僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)模型并給予實(shí)驗(yàn)驗(yàn)證。

1 P2P流量分析與識(shí)別

到目前為止，已知的P2P網(wǎng)絡(luò)流量分析與識(shí)別方法主要有以下四種：基于固定端口識(shí)別、基于內(nèi)容特征識(shí)別、基于流行為特征識(shí)別以及基于機(jī)器學(xué)習(xí)識(shí)別。下面簡(jiǎn)要說(shuō)明各識(shí)別方法的相關(guān)特點(diǎn)。

（1） 基于固定端口識(shí)別方法

根據(jù)各個(gè)應(yīng)用協(xié)議在IANA（The Internet Assigned Numbers Authority）注冊(cè)的端口號(hào)來(lái)標(biāo)識(shí)協(xié)議，其基本原理是通過(guò)TCP/IP模型的傳輸層UDP數(shù)據(jù)包或者TCP數(shù)據(jù)包中的源、目的端口號(hào)來(lái)識(shí)別一些網(wǎng)絡(luò)流量。由于算法簡(jiǎn)單、所需信息少，而且在第一代的集中式P2P網(wǎng)絡(luò)中，P2P應(yīng)用大多使用固定的端口進(jìn)行通信，因而端口識(shí)別成了最早的P2P流量識(shí)別方法。然而，隨著技術(shù)的發(fā)展，一些P2P應(yīng)用使用隨機(jī)端口或偽裝使用一些傳統(tǒng)應(yīng)用端口進(jìn)行通信，TCP/UDP端口識(shí)別方法的準(zhǔn)確率[7]已經(jīng)低于50%。endprint

（2） 基于內(nèi)容特征識(shí)別方法

即深度包檢測(cè)技術(shù)（Deep Packet Inspection，DPI），其主要原理是對(duì)P2P應(yīng)用載荷進(jìn)行報(bào)文特征分析，提取特征關(guān)鍵詞串，再對(duì)特征串根據(jù)應(yīng)用層協(xié)議進(jìn)行定義（定義的一般原則[8]為：選擇某一P2P協(xié)議特有的，在實(shí)際數(shù)據(jù)交互過(guò)程中必須出現(xiàn)且出現(xiàn)頻率最高的關(guān)鍵詞串），建立特征庫(kù)。然后對(duì)基于五元組的網(wǎng)絡(luò)數(shù)據(jù)流，采用模式匹配算法判斷其是否存在特征庫(kù)中的特征串，如果匹配成功，那么該網(wǎng)絡(luò)數(shù)據(jù)流就是P2P應(yīng)用的流量。該方法識(shí)別精準(zhǔn)、穩(wěn)定可靠，存在的問(wèn)題是對(duì)未知或加密流量均無(wú)能為力，并且時(shí)空開(kāi)銷也比較大。

（3） 基于流行為特征識(shí)別方法

該識(shí)別方法主要是通過(guò)節(jié)點(diǎn)之間的連接模式識(shí)別P2P流量，如通過(guò)節(jié)點(diǎn)角色、{源IP，目的IP}協(xié)議對(duì)、{IP，Port}對(duì)等檢測(cè)。該方法不需要檢測(cè)應(yīng)用載荷特征，其檢測(cè)對(duì)象主要是網(wǎng)絡(luò)中的節(jié)點(diǎn)，在P2P節(jié)點(diǎn)之間傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)流被認(rèn)為是P2P流。這種識(shí)別方法在實(shí)際應(yīng)用中面臨的問(wèn)題主要有：僅能粗粒度地識(shí)別P2P和非P2P應(yīng)用，一般不能區(qū)分出具體的P2P應(yīng)用；提取P2P網(wǎng)絡(luò)行為特征的時(shí)間開(kāi)銷和空間開(kāi)銷較大[9]。

（4） 基于機(jī)器學(xué)習(xí)識(shí)別方法

首先觀測(cè)流量數(shù)據(jù)樣本（這些網(wǎng)絡(luò)流量應(yīng)當(dāng)是具有一些統(tǒng)計(jì)特征的，例如流的持續(xù)時(shí)間、數(shù)據(jù)包大小、數(shù)據(jù)包方差等統(tǒng)計(jì)信息，這些統(tǒng)計(jì)特征對(duì)某些特定的應(yīng)用來(lái)說(shuō)是獨(dú)特并鮮明的，可以使不同的應(yīng)用互相區(qū)別開(kāi)來(lái)）。然后，根據(jù)這些網(wǎng)絡(luò)流量的各種統(tǒng)計(jì)屬性特征進(jìn)行訓(xùn)練，構(gòu)建訓(xùn)練模型，最后通過(guò)學(xué)習(xí)和預(yù)測(cè)分類出新的數(shù)據(jù)類型。該方法具有良好的適應(yīng)性，不論是根據(jù)預(yù)定義還是聚類的方法設(shè)計(jì)出的識(shí)別分類系統(tǒng)，在面對(duì)新的應(yīng)用時(shí)都能方便地獲得應(yīng)用特征。

基于以上分析，新的檢測(cè)系統(tǒng)模型在P2P流量識(shí)別這一步將綜合采用固定端口、內(nèi)容特征以及流行為特征識(shí)別方法，結(jié)合各方法的優(yōu)點(diǎn)，有效過(guò)濾出P2P網(wǎng)絡(luò)流量。P2P僵尸網(wǎng)絡(luò)檢測(cè)模塊采用基于機(jī)器學(xué)習(xí)識(shí)別方法，并選用支持向量機(jī)算法。

2 CAID檢測(cè)模型

CAID檢測(cè)模型由捕獲、分析、識(shí)別和檢測(cè)四部分組成，如圖1所示。通過(guò)捕獲從實(shí)時(shí)高速網(wǎng)絡(luò)環(huán)境中獲取數(shù)據(jù)包，通過(guò)分析將數(shù)據(jù)包按照五元組匯聚成流，通過(guò)識(shí)別過(guò)濾出P2P流量，通過(guò)對(duì)流量的分析最后檢測(cè)出P2P僵尸網(wǎng)絡(luò)。

2.1 CAID檢測(cè)模型的捕獲

模型的捕獲部分主要完成對(duì)實(shí)際高速網(wǎng)絡(luò)的實(shí)時(shí)抓包功能，采用Winpcap平臺(tái)將網(wǎng)卡設(shè)置為混雜模式或者直接利用交換機(jī)鏡像端口獲取實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包。具體實(shí)現(xiàn)流程如圖2所示。

2.2 CAID檢測(cè)模型的分析

模型分析部分的主要工作是對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行鏈路層、IP層和傳輸層的協(xié)議分析，提取出五元組信息，即源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型，并以此將捕獲到的數(shù)據(jù)包匯聚成不同的數(shù)據(jù)流。其過(guò)程如圖3所示。

2.3 CAID檢測(cè)模型的識(shí)別

針對(duì)協(xié)議分析部分匯聚出的數(shù)據(jù)流，依次采用基于固定端口、內(nèi)容特征以及流行為特征識(shí)別方法識(shí)別出P2P流量，圖4為實(shí)現(xiàn)流程框圖。這種復(fù)合識(shí)別方法由簡(jiǎn)入繁，有效發(fā)揮各種識(shí)別方法的優(yōu)點(diǎn)，高效利用了有限的計(jì)算資源，能較快地從實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流中過(guò)濾出P2P流量。

2.4 CAID檢測(cè)模型的檢測(cè)

本部分在協(xié)議識(shí)別的基礎(chǔ)上，繼續(xù)分析P2P流量及其行為特征，運(yùn)用支持向量機(jī)技術(shù)將結(jié)果判決為P2P僵尸網(wǎng)絡(luò)或者非僵尸網(wǎng)絡(luò)（一般合法P2P應(yīng)用）。支持向量機(jī)（SVM）在解決小樣本、非線性及高維模式識(shí)別中表現(xiàn)出許多特有的優(yōu)勢(shì)[10]，其實(shí)現(xiàn)思想是通過(guò)非線性映射（核函數(shù)）將非線性樣本問(wèn)題轉(zhuǎn)化為某個(gè)高維空間中的線性問(wèn)題，進(jìn)而在此變換空間構(gòu)造出分類超平面。

本模型采用在高維特征空間中實(shí)現(xiàn)最優(yōu)分類超平面的簡(jiǎn)單兩層支持向量機(jī)，如圖6表示。決策規(guī)則為[y=sgni=1naiyiKxi，x+b，]權(quán)值為[a1y1，a2y2，…，anyn]。

對(duì)于檢測(cè)出的P2P僵尸網(wǎng)絡(luò)，系統(tǒng)會(huì)自動(dòng)生成報(bào)告，以便進(jìn)一步采取測(cè)量甚至反制等安全對(duì)抗措施。

3 實(shí)驗(yàn)分析

采用200臺(tái)高性能計(jì)算機(jī)，樹形拓?fù)浣Y(jié)構(gòu)進(jìn)行模擬實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境配置為：硬件：CPU Intel 酷睿i5，內(nèi)存4 GB；軟件：各計(jì)算機(jī)應(yīng)用VMware虛擬機(jī)安裝5個(gè)操作系統(tǒng)，均為WinXP，選用P2P僵尸程序?yàn)镻eacomm，獨(dú)立進(jìn)行實(shí)驗(yàn)10次。采集特征：?jiǎn)挝粫r(shí)間內(nèi)數(shù)據(jù)包數(shù)（npps）、單位時(shí)間內(nèi)字節(jié)數(shù)（nbps）和單位數(shù)據(jù)包所含字節(jié)數(shù)（nbpp）。采用交叉驗(yàn)證方法，應(yīng)用Libsvm工具，根據(jù)檢測(cè)成功率數(shù)據(jù)繪制的實(shí)驗(yàn)結(jié)果如圖7所示。

實(shí)驗(yàn)結(jié)果表明，CAID檢測(cè)模型的檢測(cè)成功率隨節(jié)點(diǎn)增加而逐漸下降，最后穩(wěn)定在85%左右，CAID模型檢測(cè)效果良好。

4 結(jié) 語(yǔ)

本文在流量分析識(shí)別的基礎(chǔ)上提出了CAID檢測(cè)模型，針對(duì)模型的捕獲、分析、識(shí)別與檢測(cè)等部分分別進(jìn)行設(shè)計(jì)和描述。模型運(yùn)用Winpcap機(jī)制從實(shí)時(shí)網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，經(jīng)協(xié)議分析匯聚成流，再通過(guò)一個(gè)復(fù)合識(shí)別機(jī)制過(guò)濾出P2P流量，最后將P2P流量提交檢測(cè)部分，采用支持向量機(jī)方法檢測(cè)出P2P僵尸網(wǎng)絡(luò)流量。通過(guò)模擬實(shí)驗(yàn)的分析，模型檢測(cè)效果良好。進(jìn)一步的工作將是優(yōu)化識(shí)別與檢測(cè)算法，拓展并檢驗(yàn)?zāi)Ｐ偷倪m用性。

參考文獻(xiàn)

[1] 諸葛建偉，韓心慧，周勇林，等.僵尸網(wǎng)絡(luò)研究[J].軟件學(xué)報(bào)，2008，19（3）：702?715.

[2] 王明麗.基于主機(jī)的P2P僵尸病毒檢測(cè)技術(shù)研究[D].成都：電子科技大學(xué)，2009.

[3] SAAD S， TRAORE I， GHORBANI A， et al. Detecting P2P botnets through network behavior analysis and machine learning [C]// Proceedings of 2011 the 9th IEEE Annual International Conference on Privacy， Security and Trust. Piscataway： IEEE， 2011： 174?180.

[4] LIU J， XIAO Y， GHABOOSI K， et al. Botnet： classification， attacks， detection， tracing， and preventive measures [J]. Eurasip Journal on Wireless Communications and Networking， 2009， 2009 （1）： 53?56.

[5] 唐雅娟，柳雪娟.P2P僵尸網(wǎng)絡(luò)的檢測(cè)方法[J].計(jì)算機(jī)安全，2013（9）：32?36.

[6] 劉建波.基于流量分析的P2P僵尸網(wǎng)絡(luò)檢測(cè)[J].計(jì)算機(jī)與數(shù)字工程，2011（3）：90?91.

[7] ROUGHAN M， SUBHABRATA S， SPATSCHECK O， et al. Class?of?service mapping for QoS： a statistical signature?based approach to IP traffic classification [C]// Proceedings of 2004 ACM SIGCOMM Internet Measurement Conference. New York： ACM Press， 2004： 135?148.

[8] 陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別[J].計(jì)算機(jī)工程與應(yīng)用，2006（24）：16?19.

[9] 龍濤.一種改進(jìn)的P2P流量識(shí)別方法的研究與實(shí)現(xiàn)[D].重慶：重慶郵電大學(xué)，2013.

[10] 張學(xué)工.關(guān)于統(tǒng)計(jì)學(xué)習(xí)理論與支持向量機(jī)[J].自動(dòng)化學(xué)報(bào)，2000，26（1）：32?42.endprint