成淑萍1，甘元彪2

　　(1.四川文理學院 智能制造學院，四川 達州 635001;2.國網重慶市電力公司 城口縣供電分公司，重慶 405900)

　　摘要：云計算環(huán)境下的僵尸網絡（BotCloud）是把傳統(tǒng)的僵尸網絡移植到云計算平臺下的新型僵尸網絡。利用云的優(yōu)勢將僵尸網絡的構建變得更容易、攻擊變得更有效、檢測變得更困難。分析了云計算平臺和傳統(tǒng)僵尸網絡結構上的相似性，介紹了BotCloud對云環(huán)境的平臺造成的威脅，分析了云計算環(huán)境下的僵尸網絡的相關檢測技術，為今后云計算環(huán)境下的僵尸網絡的檢測打下理論基礎。

　　關鍵詞：云計算；僵尸網絡；結構；檢測

　　中圖分類號：TP393.08文獻標識碼：ADOI： 10.19358/j.issn.1674-7720.2017.10.002

　　引用格式：成淑萍，甘元彪.云計算環(huán)境下的僵尸網絡［J］.微型機與應用，2017,36（10）：5-6，14.

0引言

　　近幾年來，云技術成為人們越來越接受的技術并成為信息技術產業(yè)快速增長的部分，它可使用戶大量減少基礎設施和操作的成本，提供公平的收費系統(tǒng)，可確保其所有的服務具有擴展性等眾多益處。云技術不僅向合法用戶提供這些優(yōu)勢服務，也同時為連接在Internet的第三方終端設備上部署攻擊的惡意用戶打開了一扇大門。合法用戶抵制外部攻擊一直是云技術安全問題的研究熱點問題［1］，但對將云平臺轉變成能發(fā)起攻擊的平臺的可能性很少關注［2］。僵尸網絡就是將云平臺轉換成攻擊支持的最大受益者之一，把通過云平臺發(fā)出攻擊的僵尸網絡稱為僵尸云網絡。

1云計算平臺與僵尸網絡

　　云計算平臺具有彈性服務、資源池化、按需服務、服務可計費、泛在接入［3］的特點。從圖1和圖2的云平臺和僵尸網絡的結構圖［4］中可以看出云計算平臺與傳統(tǒng)僵尸網絡的很多特征相似：

　?。?）兩者都是將分散的資源聚合在一起來完成某項任務，這中間整個任務的完成都十分依賴網絡流量，云計算平臺和僵尸網絡的資源都是基于大網絡流量和大數(shù)據(jù)的。

　　（2）兩者的結構都是基于一對多的控制，僵尸網絡的集中端為攻擊者、被攻擊者或僵尸網絡控制端，云平臺的集中端是云服務提供商。

　　（3）兩者都使計算機資源得到了充分的利用。

2云計算環(huán)境下僵尸網絡的威脅

　　隨著谷歌云、亞馬遜云、蘋果云、百度云等公有云、私有云應用的逐漸成熟，網絡已經全面進入云網絡時代。同時網絡威脅之一的僵尸網絡也進入了這一新時代，并迅速發(fā)展。在云環(huán)境中，僵尸網絡可以根據(jù)需求進行便捷設置，構建超大規(guī)模的僵尸網絡也不需要很多的時間，部署成本更加低廉［5］。現(xiàn)在某些非法用戶已經展示了如何在云平臺中構建一個僵尸云網絡并嘗試發(fā)起各種攻擊［6］。用戶可以以每小時9美元或者每天67美元的價格來租用僵尸云網絡。僵尸網絡主要被用來發(fā)起網絡安全中公認為最大威脅之一的分布式拒絕服務攻擊（DDoS），其中一項實驗研究即是如何在云環(huán)境中發(fā)起DDoS攻擊［7］。除此之外，垃圾郵件、鍵盤記錄、廣告程序、間諜程序、點擊欺詐、端口掃描等惡意行為在僵尸云網絡中得到更大發(fā)揮，給用戶帶來更大的經濟損失。

　　2009年僵尸網絡就已經對亞馬遜基于云計算的EC2(彈性計算云)服務發(fā)起了攻擊，引起了內部服務故障，2012年微軟也破獲了兩個zeus僵尸網絡服務器。這些都只是僵尸網絡被發(fā)現(xiàn)的冰山一角，還存在著大量的僵尸網絡沒有被發(fā)現(xiàn)，尤其是在云環(huán)境中。本文對僵尸云網絡構建和結構進行了一定的分析，在此基礎上更好地分析僵尸網絡特征影響因素。對于傳統(tǒng)僵尸網絡檢測研究已取得的一些成果，這也將對僵尸云網絡的檢測及驗證提供技術支撐。

3云計算平臺下僵尸網絡的檢測技術

　　傳統(tǒng)的僵尸網絡檢測機制有基于行為特征、基于蜜罐/蜜網技術、基于流量聚類分析等多種，這些檢測技術在傳統(tǒng)網絡中對僵尸網絡起到了較理想的檢測作用。但由于云計算平臺的特殊性，不能直接使用這些技術。只有快速、準確地檢測出僵尸云網絡,才能為僵尸云網絡的反制及破壞提供支持。

　　僵尸云網絡的被感染端發(fā)起攻擊時會出現(xiàn)與傳統(tǒng)僵尸網絡不同的指標特征， 2014年HAMMI B從一個系統(tǒng)的視角對僵尸云網絡發(fā)起攻擊時可能會產生的特征進行分析［8］，同時也提出了一種基于僵尸云網絡的行為檢測方法。由于僵尸云網絡所具有的云技術中的新特點，用傳統(tǒng)僵尸網絡的行為特征去檢測僵尸云網絡已經失去了作用，因此必須先分析出僵尸云網絡行為的新特征，再利用特征相似性來檢測僵尸云網絡。

　　僵尸網絡構建和攻擊的時候都會消耗巨大的網絡流量，可以監(jiān)控IP數(shù)據(jù)流，但取證分析成為這種方法的瓶頸。FRANCOIS J提出一種利用主機的分布式計算框架依賴模型的自適應算法進行取證分析［9］，并在開源的Hadoop集群中進行了實驗，可以檢測出僵尸網絡主機之間的關系，但云服務提供商之間的合作還有很多問題需要解決。

4結束語

　　綜上所述，云計算環(huán)境下的僵尸網絡的發(fā)展和帶來的危害已得到網絡安全人員的重視，但由于云計算平臺環(huán)境的特殊性，使目前僵尸網絡的檢測方法及技術不能直接應用。云計算環(huán)境下的僵尸網絡是未來新型僵尸網絡的主要發(fā)展趨勢之一，這會給僵尸網絡的檢測和反制帶來更大的挑戰(zhàn)，也將是今后研究工作的重點和難點。

參考文獻

　?。?］ KHORSHED H T, ABM A， WASIMI S A. A survey on gaps, threat remediation challenges and some thoughts for proactive attack detection in cloud computing［J］. Future Generation Computer Systems, 2012，28(6):833-851.

　?。?］ MODI C, PATEL D, BORISANIYA B, et al. A survey of intrusion detection techniques in cloud［J］. Journal of Network and Computer Applications, 2013，36(1): 42-57.

　?。?］ 羅軍舟，金嘉暉，宋愛波，等.云計算：體系結構與關鍵技術［J］.通信學報,2011,7(32):321

　?。?］ 成淑萍.基于網絡流量的僵尸網絡動態(tài)檢測平臺的研究［D］.成都：四川師范大學,2013.

　?。?］ BADIS H, KHATOUN R, DOYEN G. A factorial space for a systembased detection of botcloud activity［C］. Sixth IFIP International Conference on New Technologies, Mobility and Security (NTMS 2014). IFIP/IEEE, 2014：1-5.

　?。?］ CLARK K, WARNIER M, BRAZIER F. BotClouds: the future of cloudbased botnets［C］. Proceedings of the 1st International Conference on Cloud Computing and Services Science， Noordwijkerhout,2011:597-603.

　　［7］ PEDRAM H, JIA J, DARIA R. Botcloud an emerging platform for cyberattacks［EB/OL］.（2012-10-xx）［2016-1-30］ http://baesystemsdetica.blogspot.fr.

　?。?］ HAMMI B, DOYEN G， KHATOUN R. Understanding Botclouds from a system perspective: a principal component analysis［C］. The 14th IEEE/IFIP Network Operations and Management Symposium (NOMS 2014), Krakow, POLAND， 2014：5-9.