成淑萍1，甘元彪2

　　(1.四川文理學(xué)院 智能制造學(xué)院，四川 達(dá)州 635001;2.國(guó)網(wǎng)重慶市電力公司 城口縣供電分公司，重慶 405900)

　　摘要：云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)（BotCloud）是把傳統(tǒng)的僵尸網(wǎng)絡(luò)移植到云計(jì)算平臺(tái)下的新型僵尸網(wǎng)絡(luò)。利用云的優(yōu)勢(shì)將僵尸網(wǎng)絡(luò)的構(gòu)建變得更容易、攻擊變得更有效、檢測(cè)變得更困難。分析了云計(jì)算平臺(tái)和傳統(tǒng)僵尸網(wǎng)絡(luò)結(jié)構(gòu)上的相似性，介紹了BotCloud對(duì)云環(huán)境的平臺(tái)造成的威脅，分析了云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)的相關(guān)檢測(cè)技術(shù)，為今后云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)的檢測(cè)打下理論基礎(chǔ)。

　　關(guān)鍵詞：云計(jì)算；僵尸網(wǎng)絡(luò)；結(jié)構(gòu)；檢測(cè)

　　中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：ADOI： 10.19358/j.issn.1674-7720.2017.10.002

　　引用格式：成淑萍，甘元彪.云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)［J］.微型機(jī)與應(yīng)用，2017,36（10）：5-6，14.

0引言

　　近幾年來，云技術(shù)成為人們?cè)絹碓浇邮艿募夹g(shù)并成為信息技術(shù)產(chǎn)業(yè)快速增長(zhǎng)的部分，它可使用戶大量減少基礎(chǔ)設(shè)施和操作的成本，提供公平的收費(fèi)系統(tǒng)，可確保其所有的服務(wù)具有擴(kuò)展性等眾多益處。云技術(shù)不僅向合法用戶提供這些優(yōu)勢(shì)服務(wù)，也同時(shí)為連接在Internet的第三方終端設(shè)備上部署攻擊的惡意用戶打開了一扇大門。合法用戶抵制外部攻擊一直是云技術(shù)安全問題的研究熱點(diǎn)問題［1］，但對(duì)將云平臺(tái)轉(zhuǎn)變成能發(fā)起攻擊的平臺(tái)的可能性很少關(guān)注［2］。僵尸網(wǎng)絡(luò)就是將云平臺(tái)轉(zhuǎn)換成攻擊支持的最大受益者之一，把通過云平臺(tái)發(fā)出攻擊的僵尸網(wǎng)絡(luò)稱為僵尸云網(wǎng)絡(luò)。

1云計(jì)算平臺(tái)與僵尸網(wǎng)絡(luò)

　　云計(jì)算平臺(tái)具有彈性服務(wù)、資源池化、按需服務(wù)、服務(wù)可計(jì)費(fèi)、泛在接入［3］的特點(diǎn)。從圖1和圖2的云平臺(tái)和僵尸網(wǎng)絡(luò)的結(jié)構(gòu)圖［4］中可以看出云計(jì)算平臺(tái)與傳統(tǒng)僵尸網(wǎng)絡(luò)的很多特征相似：

　　（1）兩者都是將分散的資源聚合在一起來完成某項(xiàng)任務(wù)，這中間整個(gè)任務(wù)的完成都十分依賴網(wǎng)絡(luò)流量，云計(jì)算平臺(tái)和僵尸網(wǎng)絡(luò)的資源都是基于大網(wǎng)絡(luò)流量和大數(shù)據(jù)的。

　?。?）兩者的結(jié)構(gòu)都是基于一對(duì)多的控制，僵尸網(wǎng)絡(luò)的集中端為攻擊者、被攻擊者或僵尸網(wǎng)絡(luò)控制端，云平臺(tái)的集中端是云服務(wù)提供商。

　?。?）兩者都使計(jì)算機(jī)資源得到了充分的利用。

2云計(jì)算環(huán)境下僵尸網(wǎng)絡(luò)的威脅

　　隨著谷歌云、亞馬遜云、蘋果云、百度云等公有云、私有云應(yīng)用的逐漸成熟，網(wǎng)絡(luò)已經(jīng)全面進(jìn)入云網(wǎng)絡(luò)時(shí)代。同時(shí)網(wǎng)絡(luò)威脅之一的僵尸網(wǎng)絡(luò)也進(jìn)入了這一新時(shí)代，并迅速發(fā)展。在云環(huán)境中，僵尸網(wǎng)絡(luò)可以根據(jù)需求進(jìn)行便捷設(shè)置，構(gòu)建超大規(guī)模的僵尸網(wǎng)絡(luò)也不需要很多的時(shí)間，部署成本更加低廉［5］?，F(xiàn)在某些非法用戶已經(jīng)展示了如何在云平臺(tái)中構(gòu)建一個(gè)僵尸云網(wǎng)絡(luò)并嘗試發(fā)起各種攻擊［6］。用戶可以以每小時(shí)9美元或者每天67美元的價(jià)格來租用僵尸云網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)主要被用來發(fā)起網(wǎng)絡(luò)安全中公認(rèn)為最大威脅之一的分布式拒絕服務(wù)攻擊（DDoS），其中一項(xiàng)實(shí)驗(yàn)研究即是如何在云環(huán)境中發(fā)起DDoS攻擊［7］。除此之外，垃圾郵件、鍵盤記錄、廣告程序、間諜程序、點(diǎn)擊欺詐、端口掃描等惡意行為在僵尸云網(wǎng)絡(luò)中得到更大發(fā)揮，給用戶帶來更大的經(jīng)濟(jì)損失。

　　2009年僵尸網(wǎng)絡(luò)就已經(jīng)對(duì)亞馬遜基于云計(jì)算的EC2(彈性計(jì)算云)服務(wù)發(fā)起了攻擊，引起了內(nèi)部服務(wù)故障，2012年微軟也破獲了兩個(gè)zeus僵尸網(wǎng)絡(luò)服務(wù)器。這些都只是僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)的冰山一角，還存在著大量的僵尸網(wǎng)絡(luò)沒有被發(fā)現(xiàn)，尤其是在云環(huán)境中。本文對(duì)僵尸云網(wǎng)絡(luò)構(gòu)建和結(jié)構(gòu)進(jìn)行了一定的分析，在此基礎(chǔ)上更好地分析僵尸網(wǎng)絡(luò)特征影響因素。對(duì)于傳統(tǒng)僵尸網(wǎng)絡(luò)檢測(cè)研究已取得的一些成果，這也將對(duì)僵尸云網(wǎng)絡(luò)的檢測(cè)及驗(yàn)證提供技術(shù)支撐。

3云計(jì)算平臺(tái)下僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)

　　傳統(tǒng)的僵尸網(wǎng)絡(luò)檢測(cè)機(jī)制有基于行為特征、基于蜜罐/蜜網(wǎng)技術(shù)、基于流量聚類分析等多種，這些檢測(cè)技術(shù)在傳統(tǒng)網(wǎng)絡(luò)中對(duì)僵尸網(wǎng)絡(luò)起到了較理想的檢測(cè)作用。但由于云計(jì)算平臺(tái)的特殊性，不能直接使用這些技術(shù)。只有快速、準(zhǔn)確地檢測(cè)出僵尸云網(wǎng)絡(luò),才能為僵尸云網(wǎng)絡(luò)的反制及破壞提供支持。

　　僵尸云網(wǎng)絡(luò)的被感染端發(fā)起攻擊時(shí)會(huì)出現(xiàn)與傳統(tǒng)僵尸網(wǎng)絡(luò)不同的指標(biāo)特征， 2014年HAMMI B從一個(gè)系統(tǒng)的視角對(duì)僵尸云網(wǎng)絡(luò)發(fā)起攻擊時(shí)可能會(huì)產(chǎn)生的特征進(jìn)行分析［8］，同時(shí)也提出了一種基于僵尸云網(wǎng)絡(luò)的行為檢測(cè)方法。由于僵尸云網(wǎng)絡(luò)所具有的云技術(shù)中的新特點(diǎn)，用傳統(tǒng)僵尸網(wǎng)絡(luò)的行為特征去檢測(cè)僵尸云網(wǎng)絡(luò)已經(jīng)失去了作用，因此必須先分析出僵尸云網(wǎng)絡(luò)行為的新特征，再利用特征相似性來檢測(cè)僵尸云網(wǎng)絡(luò)。

　　僵尸網(wǎng)絡(luò)構(gòu)建和攻擊的時(shí)候都會(huì)消耗巨大的網(wǎng)絡(luò)流量，可以監(jiān)控IP數(shù)據(jù)流，但取證分析成為這種方法的瓶頸。FRANCOIS J提出一種利用主機(jī)的分布式計(jì)算框架依賴模型的自適應(yīng)算法進(jìn)行取證分析［9］，并在開源的Hadoop集群中進(jìn)行了實(shí)驗(yàn)，可以檢測(cè)出僵尸網(wǎng)絡(luò)主機(jī)之間的關(guān)系，但云服務(wù)提供商之間的合作還有很多問題需要解決。

4結(jié)束語(yǔ)

　　綜上所述，云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)的發(fā)展和帶來的危害已得到網(wǎng)絡(luò)安全人員的重視，但由于云計(jì)算平臺(tái)環(huán)境的特殊性，使目前僵尸網(wǎng)絡(luò)的檢測(cè)方法及技術(shù)不能直接應(yīng)用。云計(jì)算環(huán)境下的僵尸網(wǎng)絡(luò)是未來新型僵尸網(wǎng)絡(luò)的主要發(fā)展趨勢(shì)之一，這會(huì)給僵尸網(wǎng)絡(luò)的檢測(cè)和反制帶來更大的挑戰(zhàn)，也將是今后研究工作的重點(diǎn)和難點(diǎn)。

參考文獻(xiàn)

　　［1］ KHORSHED H T, ABM A， WASIMI S A. A survey on gaps, threat remediation challenges and some thoughts for proactive attack detection in cloud computing［J］. Future Generation Computer Systems, 2012，28(6):833-851.

　?。?］ MODI C, PATEL D, BORISANIYA B, et al. A survey of intrusion detection techniques in cloud［J］. Journal of Network and Computer Applications, 2013，36(1): 42-57.

　?。?］ 羅軍舟，金嘉暉，宋愛波，等.云計(jì)算：體系結(jié)構(gòu)與關(guān)鍵技術(shù)［J］.通信學(xué)報(bào),2011,7(32):321

　?。?］ 成淑萍.基于網(wǎng)絡(luò)流量的僵尸網(wǎng)絡(luò)動(dòng)態(tài)檢測(cè)平臺(tái)的研究［D］.成都：四川師范大學(xué),2013.

　　［5］ BADIS H, KHATOUN R, DOYEN G. A factorial space for a systembased detection of botcloud activity［C］. Sixth IFIP International Conference on New Technologies, Mobility and Security (NTMS 2014). IFIP/IEEE, 2014：1-5.

　?。?］ CLARK K, WARNIER M, BRAZIER F. BotClouds: the future of cloudbased botnets［C］. Proceedings of the 1st International Conference on Cloud Computing and Services Science， Noordwijkerhout,2011:597-603.

　?。?］ PEDRAM H, JIA J, DARIA R. Botcloud an emerging platform for cyberattacks［EB/OL］.（2012-10-xx）［2016-1-30］ http://baesystemsdetica.blogspot.fr.

　?。?］ HAMMI B, DOYEN G， KHATOUN R. Understanding Botclouds from a system perspective: a principal component analysis［C］. The 14th IEEE/IFIP Network Operations and Management Symposium (NOMS 2014), Krakow, POLAND， 2014：5-9.