郭曉軍 程 光 胡一非 戴 冕

?

基于LLMNR協(xié)議與證據(jù)理論的本地網(wǎng)絡C&C信息分享機制

郭曉軍①②③程 光*①③胡一非①③戴 冕①③

①(東南大學計算機科學與工程學院 南京 210096)②(西藏民族大學信息工程學院 咸陽 712082)③(東南大學計算機網(wǎng)絡和信息集成教育部重點實驗室 南京 210096)

僵尸主機(Bot)安全隱蔽地獲取控制命令信息是保證僵尸網(wǎng)絡能夠正常工作的前提。該文針對本地網(wǎng)絡同類型Bot隱蔽地獲取控制命令信息問題，提出一種基于LLMNR協(xié)議與證據(jù)理論的命令控制信息分享機制，首先定義了開機時間比和CPU利用率兩個評價Bot性能的指標。其次本地網(wǎng)絡中多個同類Bot間利用LLMNR Query包通告各自兩個指標值，并利用D-S證據(jù)理論選舉出僵尸主機臨時代表BTL(Bot Temporary Leader)。接著僅允許BTL與命令控制服務器進行通信并獲取命令控制信息。最后，BTL通過LLMNR Query包將命令控制信息分發(fā)給其它Bot。實驗結(jié)果表明，該機制能使多個同類Bot完成命令控制信息的共享，選舉算法能根據(jù)Bot評價指標實時有效選舉出BTL，在網(wǎng)絡流量較大時仍呈現(xiàn)較強的魯棒性，且選舉過程產(chǎn)生流量也具有較好隱蔽性。

網(wǎng)絡安全；僵尸網(wǎng)絡；命令控制；D-S證據(jù)理論；LLMNR協(xié)議

1 引言

近年來，由僵尸網(wǎng)絡(Botnet)[1]引發(fā)的網(wǎng)絡安全事件層出不窮，危及我國公共互聯(lián)網(wǎng)安全運行，對國家信息安全造成嚴重危害。僵尸網(wǎng)絡是一個高度受控平臺，其核心思想都是借助專用惡意代碼感染智能手機、平板、計算機等設備，使其變?yōu)槭芸毓?jié)點(Bot)，攻擊者通過命令與控制(Command and Control Server, C&C)服務器向Bot主動推送命令控制信息(Push模式)，或者Bot主動從C&C服務器上獲取命令控制信息(Pull模式)，來對這些Bot進行管理。在Bot得到命令控制信息后，可根據(jù)相應指令對指定目標實施信息竊取，DDoS攻擊、垃圾郵件轟炸、會話劫持等惡意行為。

可見，攻擊者與Bot之間能安全傳送命令控制信息是保證Botnet正常工作的基本要素。從目前已有公開文獻來看，多數(shù)Bot獲取命令控制信息仍采用先通過某種途徑獲得C&C服務器IP地址或域名，并與C&C服務器通信，然后再以Push模式或Pull模式從C&C服務器獲取命令控制信息。由于該方式是讓Bot直接從C&C服務器處獲取命令控制信息，當位于同一局域網(wǎng)的多個主機感染相同惡意代碼而成為同類Bot后(例如，同實驗室多人打開本實驗室QQ群共享中含有惡意代碼的文件，某部門的多位人員通過公司域名下郵箱收到相同的附件中攜帶偽裝惡意代碼的郵件等)，這些同類Bot必須各自獨立重復執(zhí)行該方式才能獲取命令控制信息。在此情況下，網(wǎng)絡監(jiān)管者根據(jù)這些同類Bot所產(chǎn)生網(wǎng)絡流量的行為相似性來識別和追蹤C&C 服務器，同時也容易導致局域網(wǎng)中Bot位置的暴露和檢測，進而破壞Botnet正常運作過程，使其威脅性和危險性大大降低，甚至失去實用價值。

針對上述問題，僵尸網(wǎng)絡控制者會利用各種技術(shù)手段盡量模糊化或隨機化Bot產(chǎn)生的流量特征而避逃避檢測和追蹤，以讓僵尸網(wǎng)絡在隱蔽性增強的同時更加高效地工作，其中借用現(xiàn)有網(wǎng)絡協(xié)議秘密地進行命令控制信息收發(fā)就是一種常用方法，而且多個本地網(wǎng)絡同類型Bot間還可利用組播性質(zhì)的協(xié)議來收發(fā)命令控制信息，以避免網(wǎng)絡流量行為相似性檢測，提高傳輸效率。因此，本文提出一種基于LLMNR(Link-Local Multicast Name Resolution)協(xié)議[21]的本地網(wǎng)絡同類Bot間命令控制信息分享機制，首先定義了開機時間比和CPU利用率兩個評價Bot性能指標，其次本地網(wǎng)絡中多個同類Bot利用LLMNR Query包將各自兩個指標值通告給其它Bot，并借用D-S證據(jù)理論[22]選舉出 Bot臨時代表BTL(Bot Temporary Leader)，接著僅被選為BTL的Bot與C&C服務器通信并從C&C服務器獲取命令控制信息，最后，BTL再次通過LLMNR Query包將所獲取的命令控制信息分發(fā)給其它Bot，并進行了相關(guān)實驗測試。

本文第1節(jié)介紹安全隱蔽地獲取C&C信息對于僵尸網(wǎng)絡中Bot的重要性和關(guān)鍵性；第2節(jié)針對本地網(wǎng)絡多個同類Bot間安全隱蔽地獲得C&C信息問題，提出基于LLMNR協(xié)議和D-S證據(jù)理論C&C信息分享機制CCISLE(C&C Information Sharing scheme based on LLMNR protocol and Evidential theory)，并給出該機制相關(guān)細節(jié)；第3節(jié)對CCISLE機制的關(guān)鍵部分--BTL選舉算法的有效性、魯棒性及隱蔽性等進行評估；第4節(jié)討論了CCISLE機制的局限性；最后給出結(jié)論，并指出后續(xù)的研究方向。

2 CCISLE分享機制

CCISLE分享機制可分為BTL選舉、BTL的獲取C&C信息及C&C信息分發(fā)3個階段，如圖1所示。

圖1 CCISLE機制過程

在BTL選舉階段，每個Bot將自己的評價指標數(shù)值通過LLMNR 協(xié)議告知其它Bot，再利用D-S證據(jù)理論融合這些評價指標數(shù)值以選舉最優(yōu)Bot作為BTL；然后BTL查找C&C服務器地址并與之取得通信，并利用PULL或PUSH模式以較為隱蔽的方式從C&C服務器獲取最新命令控制信息；最后，BTL再次利用LLMNR協(xié)議將所獲取的命令控制信息分發(fā)給本地網(wǎng)絡的其它Bot。

2.1 基于D-S證據(jù)理論的BTL選舉過程

BTL是本地網(wǎng)絡多個同類Bot的代表，負責從Internet上獲取C&C信息，并分發(fā)給其他同類Bot。由于各Bot所在受害主機的開機時間、軟硬件資源配置等方面存在差異，因此需要擇優(yōu)選出較好的Bot作為BTL。

2.1.1 評價指標 本文選擇Bot開機時間比與CPU使用率作為該Bot能否成為BTL的評價指標。在Bot開機時間比相同的情況下，CPU使用率越小，說明該Bot可使用的硬件資源越充足，所以應優(yōu)先選擇CPU使用率小的Bot作為BTL；在CPU使用率相同的情況下，Bot開機時間比越大，說明該Bot正常工作時間越穩(wěn)定，所以應優(yōu)先選擇Bot開機時間比越大的Bot作為BTL。

(1)Bot開機時間比： 在BTL選舉中，Bot開機時間越長，表示該Bot所在的受害主機能正常持續(xù)運行的時間越長，處于活躍狀態(tài)，越有利于該Bot成為BTL。此處用Bot開機時間比來衡量第個Bot的開機時間，定義為

(2)CPU利用率： 在BTL選舉中，Bot所在受害主機CPU利用率小，表示能被該Bot所利用的主要硬件資源越多，Bot代碼執(zhí)行時給受害主機所造成負擔較輕，不易引起受害主機用戶的覺察，增加了Bot的隱蔽性，有助于該Bot成為BTL。CPU利用率定義為在觀察時間長度為內(nèi)的CPU利用率平均值，記為。

2.1.2 融合評判 為消除兩種評價指標下選擇BTL結(jié)果的不一致性，本文借用D-S證據(jù)理論合成規(guī)則將兩種指標的結(jié)果進行融合判決，以選舉出合適的BTL。選擇過程如圖2所示。

(4)

(6)

(8)

(10)

2.1.3 選舉過程步驟 基于D-S證據(jù)理論的BTL選舉過程分為如下3個步驟：

(1)各Bot利用LLMNR協(xié)議的Query包在本地網(wǎng)內(nèi)通告自己的開機時間比與CPU使用率兩個指標值，其他Bot收到該Query包后記錄下兩個指標及源IP地址。

本文將兩個指標以“btlvote+指標1+指標2”的格式放置在LLMNR Query包的Name字段中。例如Name字段為“btlvote8623”時，“btlvote”為關(guān)鍵字，表示該Query包的作用是選舉BTL，“86”與“23”分別表示該Bot的與指標值。由于LLMNR協(xié)議采用組播工作方式，這能夠保證本地網(wǎng)絡內(nèi)的Bot都能收到其它Bot發(fā)出的Query包。

(2)各Bot根據(jù)收到所有Bot的兩個指標值，利用2.1.2節(jié)中D-S證據(jù)理論計算出BTL集合。

當BTL失效時，重新進行BTL選舉過程。

2.2 BTL獲取C&C信息

BTL在被選舉出之后，需要通過一定的方式從Internet上獲取C&C信息。為提高BTL獲取C&C信息過程的隱蔽性，本文此處借鑒文獻[23,24]中思想，通過含有隱藏信息的博文內(nèi)容來獲取C&C信息。攻擊者借用信息隱藏手段事先將要發(fā)布的C&C信息隱藏于某個知名博客博文內(nèi)容的HTML代碼中，然后BTL利用嵌入在惡意代碼中的博客地址構(gòu)造算法產(chǎn)生出含有C&C信息的博客鏈接，最后BTL通過該鏈接訪問該博客，并恢復出隱藏于該博客博文HTML代碼中的C&C信息，從而BTL完成獲取C&C信息的過程。

2.3 基于LLMNR協(xié)議的C&C信息分發(fā)

當BTL獲得C&C信息時，組成形成C&C信息列表，列表中的每項控制命令信息都是獨立的，如圖1中“C&C信息”部分所示。BTL在分發(fā)控制命令信息時，以“ccinfoXXSSF +命令控制信息內(nèi)容”格式嵌入在LLMNR Query包的Name字段中(類似2.1.3節(jié)中BTL選舉時的Query包格式)。其中，ccinfo為關(guān)鍵字，表示C&C信息，XXSSF為標識位，其含義如表1所示。

由于有些控制命令信息比較長，可能包含多個參數(shù)，為防止命令信息內(nèi)容在Name字段中過長而引發(fā)檢測，可將較長的控制命令信息其拆分成多個段，并添加XXSSF標識后，分別嵌入在不同LLMNR Query包的Name字段中進行傳輸，當Bot接收到這些Query包后可通過XXSSF標識恢復出該控制命令信息。例如，對于命令控制信息“ddos. sysflood ftp.example.com -p 21 –t 30”，可將其拆分為：01000ddos.sysflood, 01010ftpexample.com, 01020p21 和 01031t30，并分別作為LLMNR Query包的Name字段發(fā)送。

表1 分發(fā)標識位含義

3 實驗與分析

本文將實驗室所在局域網(wǎng)作為圖1所示的本地網(wǎng)絡環(huán)境。主要程序代碼通過Python來實現(xiàn)，并借用Scapy工具[25]來實現(xiàn)LLMNR Query包的構(gòu)造與解析功能。由于選舉BTL是本文所提機制的核心部分所在，因此，本實驗主要針對基于D-S證據(jù)理論的BTL選舉過程進行了測試。根據(jù)多次實驗測試的結(jié)果，式(2)~式(4)中參數(shù)較為合理的值為,,,,,,,,，式(6)~式(8)中參數(shù)較為合理的值為,,,,,。觀察時間窗口長度。實驗室計算機的軟硬件配置均為AMD A10-5800K 3.8 GHz (CPU), 4 GB(內(nèi)存)，250 GB (硬盤)，RTL8168/8111/8112 Gigabit Ethernet(網(wǎng)卡)，操作系統(tǒng)為Ubuntu 14.04(64位)。

3.1 BTL選舉有效性

為測試基于D-S證據(jù)理論BTL選舉算法的有效性，本文此處測試了不同Bot總數(shù)(BotNum)下，在使用本文中D-S證據(jù)理論方法選舉BTL后，BTL集合，模糊Bot集合和普通Bot集合所包含Bot數(shù)量占全部Bot數(shù)量的比例，如圖3所示?？梢钥闯?，對不同Bot總數(shù)執(zhí)行BTL選舉過程后，普通Bot集合所包含的Bot數(shù)量最多，所占比例均超過65%，相比之下BTL集合與模糊Bot集合所占比例較小，這樣比例情況較為合理。隨著Bot總數(shù)的增加，屬于BTL集合的Bot數(shù)量比例大約在10%~15%，基本可以保證有充足數(shù)量的Bot作為BTL。

3.2 BTL選舉時效性與魯棒性

本文主要從含有BTL選舉關(guān)鍵字“btlvote”的LLMNR Query包發(fā)送速率與背景流量影響兩個角度對BTL選舉算法的時效性與魯棒性進行了實驗。圖4展示出了在不同Bot數(shù)量下，含有“btlvote”LLMNR Query包發(fā)送速率與選舉算法選出BTL所花費時間的關(guān)系。從圖4中來看，不同Bot數(shù)量下，BTL選舉時間會隨著含有“btlvote”LLMNR Query包的發(fā)送速率的增加而迅速下降，且呈現(xiàn)平穩(wěn)趨勢。當含有“btlvote”LLMNR Query包發(fā)送速率為0~ 400 pps(packet per second)時，BTL選舉時間會隨著含有“btlvote”LLMNR Query包發(fā)送速率的增大而急劇減小。這主要是由于含有“btlvote” LLMNR Query包發(fā)送速率小，各Bot需要較長時間才能從網(wǎng)絡中捕獲并過濾出該類型的LLMNR Query包，占據(jù)了大部分的BTL選舉時間開銷。而當大于400 pps時，Bot能快速發(fā)送含有“btlvote”LLMNR Query包，再加上LLMNR協(xié)議采用組播工作方式，使得各Bot能在極短時間內(nèi)從網(wǎng)絡中捕獲和過濾其它Bot發(fā)送含有“btlvote”LLMNR Query包，極大降低了因捕獲該類型包而耗費的時間，而此時通過D-S證據(jù)理論計算BTL過程則成為時間開銷的主要因素，且每增加10個Bot，時間開銷大約增加0.1 s。

另外，本文在不同本地網(wǎng)絡背景流量下BTL選舉算法的魯棒性進行了測試，結(jié)果如圖5所示，含有“btlvote” LLMNR Query包發(fā)送速率為500 pps。局域網(wǎng)背景流量采用工具iPerf[26]生成。從圖5可看出，在Bot數(shù)量BotNum保持不變情況下，網(wǎng)絡背景流量bg的增大對選舉BTL時間的影響并不明顯。這主要是由于一方面Scapy工具借助實驗主機上的千兆網(wǎng)卡能以極高的效率捕獲局域網(wǎng)背景流量，并能按照設定的過濾規(guī)則，結(jié)合主機千兆網(wǎng)卡充足的硬件資源優(yōu)勢，高效過濾出含有“btlvote”標識的LLMNR Query包；另一方面BTL選舉算法基于D-S證據(jù)理論，計算過程時間復雜度較低，在得到各Bot的開機時間比與CPU利用率兩個指標后，能以較快的速度計算出BTL。此外，圖5也說明隨著局域網(wǎng)內(nèi)Bot數(shù)量的增加，選舉出BTL所花費時間也在以近似線性的方式增加，這也印證了圖4中所展示的實驗結(jié)果。

3.3 BTL選舉過程安全性

BTL選舉過程安全性主要體現(xiàn)在BTL選舉過程所產(chǎn)生流量的隱蔽性上。隱蔽性此處是指含有“btlvote”LLMNR Query包在所有本地網(wǎng)絡的LLMNR Query包中出現(xiàn)的隨機程度，可反映出BTL選舉算法抗檢測能力的強弱。本文此處采用含有“btlvote” LLMNR Query包的自信息來描述。自信息可用于表示某個事件出現(xiàn)的概率與其不確定性(即隨機性)的關(guān)系，若該事件出現(xiàn)概率較大，則其自信息較大，隨機性較小，反之就大，其計算公式如式(11)所示。

(12)

另外，由于當前多數(shù)本地網(wǎng)絡采用百兆以上以太網(wǎng)技術(shù)，各種網(wǎng)絡應用和網(wǎng)絡管理任務(如HTTP, QICQ, TCP, STP等)所產(chǎn)生的網(wǎng)絡流量，無論持續(xù)時間還是數(shù)據(jù)包數(shù)量方面也遠大于BTL選舉過程產(chǎn)生的LLMNR Query流量。這些大量持續(xù)數(shù)據(jù)包的產(chǎn)生進一步降低了BTL選舉過程的LLMNR Query流量在本地網(wǎng)絡流量中所占的比例，極大增加了從本地網(wǎng)絡流量中觀測含有“btlvote”LLMNR Query包的難度，在很大程度上起到了掩護“btlvote”LLMNR Query包的作用，從而進一步提高了BTL選舉過程LLMNR Query流量的隱蔽性。

圖3 BTL選舉算法產(chǎn)生的各集合Bot數(shù)量比例關(guān)系

圖4 btlvote LLMNR Query包速率對BTL選舉時間影響

圖5 本地網(wǎng)絡背景流量對BTL選舉時間影響

圖6 自信息I(p)與嗅探持續(xù)時間T的關(guān)系

4 局限性討論

本文針對本地網(wǎng)絡內(nèi)同類Bot間共享C&C信息機制進行了初步探究，但還存在以下局限性與不足：

(1)本文所提機制的存在性。截止本文完成時，雖然通過公開文獻未見到類似機制的報道，但從本文分析與模擬實驗可以看出，攻擊者是完全可以通過現(xiàn)有的局域網(wǎng)網(wǎng)絡協(xié)議與技術(shù)方法來實現(xiàn)該機制的。因此，本文認為CCISLE完全可能成為一種新的C&C信息獲取途徑。

(2)BTL選舉和C&C信息分發(fā)過程所使用的LLMNR Query包中Name字段內(nèi)容(如“btlvote ####”)仍為明文，存在容易遭到入侵和滲透的問題。若專門針對LLMNR流量進行抓取和分析，則含有“btlvote####”的 LLMNR Query包容易引起懷疑，從而可能暴露出BTL選舉過程。由于本文是對CCISLE機制的初步研究，為簡單起見，故而采用了明文方式。下一步將研究如何采用隱蔽的方法(如加密等)傳輸Name字段內(nèi)容，避免直接使用明文，以提高安全性。

(3)未給出針對本文所提機制的檢測方法。由于本文所提機制在BTL選舉及C&C信息過程中，LLMNR Query包的Name字段含有明文形式的關(guān)鍵字(如“btlvote”,“ccinfo”)，相應的檢測方法也比較簡單，如可使用DPI(Deep Packet Inspection)方法[27]對本地網(wǎng)絡LLMNR Query流量進行檢測。下一步本文將在解決問題(2)的基礎上，再深入研究針對隱蔽性提高后的Name字段的檢測方法。

5 結(jié)束語

為避免檢測和追蹤，Bot需要安全隱蔽地獲取控制命令信息，本文提出一種基于LLMNR協(xié)議與證據(jù)理論的本地網(wǎng)絡同類型Bot間命令控制信息分享機制CCISLE，其核心思想是各Bot首先通過本地網(wǎng)絡常用的LLMNR協(xié)議通告各自的兩個Bot性能評價指標，并應用證據(jù)理算法論選出BTL, BTL使用較為隱蔽的方式從C&C Server處獲取命令控制信息，最后BTL再通過LLMNR協(xié)議將獲取的命令控制信息分發(fā)給其它Bot。實驗結(jié)果也表明該機制能有效選舉出BTL，完成與本地網(wǎng)絡內(nèi)多個同類Bot的命令控制信息共享。但也存在一些不足，下一步研究工作將在進一步提高CCISLE的安全性與隱蔽性，考慮針對CCISLE的檢測方法等方面展開。

[1] 王天佐, 王懷民, 劉波, 等. 僵尸網(wǎng)絡中的關(guān)鍵問題[J]. 計算機學報, 2012, 35(6): 1192-1208. doi: 10.3724/SP.J.1016.2012. 01192.

WANG Tianzuo, WANG Huaimin, LIU Bo,. Some critical problems of Botnets[J]., 2012, 35(6): 1192-1208. doi: 10.3724/SP.J.1016.2012.01192.

[2] CHEN P, DESMET L, and HUYGENS C. A study on advanced persistent threats[C]. Proceedings of the 15th IFIP TC 6/TC 11 International Conference on Communications and Multimedia Security, Aveiro, Portugal, 2014: 63-72. doi: 10.1007/978-3-662-44885-4_5.

[3] JUELS A and TING F Y. Sherlock Holmes and the case of the advanced persistent threat[C]. Proceedings of the 5th USENIX Conference on Large-Scale Exploits and Emergent Threats, San Jose, CA, USA, 2012: 2-6.

[4] RAFAEL A R G, GABRIEL M F, and PEDRO G T. Survey and taxonomy of botnet research through life-cycle[J]., 2013, 45(4): 1-33. doi: 10.1145/2501654. 2501659.

[5] GU G F, ZHANG J, and LEE W. BotSniffer: detecting botnet command and control channels in network traffic[C]. Proceedings of the 15th Annual Network and Distributed System Security Symposium, San Diego, CA, USA, 2008: 10-22.

[6] STONE-GROSS B, COVA M, CAVALLARO L,. Your botnet is my botnet: Analysis of a botnet takeover[C]. Proceedings of the 16th ACM Conference on Computer and Communications Security, Hyatt Regency Chicago, IL, USA, 2009: 635-647. doi: 10.1145/1653662.1653738.

[7] PORRAS P, SAIDI H, and YEGNESWARAN V. An analysis of the iKee.B iphone botnet[C]. Proceedings of the 2nd International ICST Conference on Security and Privacy in Mobile Information and Communication Systems, Catania, Sicily, Italy, 2010: 141-152. doi: 10.1007/978-3-642-17502- 2_12.

[8] CHO C Y, CABALLERO J, GRIER C,. Insights from the inside: A view of botnet management from infiltration[C]. Proceedings of the USENIX Workshop on Large-Scale Exploits and Emergent Threats, San Jose, CA, USA, 2010: 120-132.

[9] BILGE L, BALZAROTTI D, ROBERTSON W,. Disclosure: detecting botnet command and control servers through large-scale netflow analysis[C]. Proceedings of the 28th Annual Computer Security Applications Conference, Orlando, FL, USA, 2012: 129-138. doi: 10.1145/2420950. 2420969.

[10] ANDRIESSE D, ROSSOW C, STONE-GROSS B,. Highly resilient peer-to-peer botnets are here: an analysis of Gameover Zeus[C]. Proceedings of the 8th International Conference on Malicious and Unwanted Software: The Americas, Fajardo, Portugal, 2013: 116-123. doi: 10.1109/ MALWARE.2013.6703693.

[11] RAHIMIAN A, ZIARATI R, PREDA S,. On the reverse engineering of the citadel botnet[C]. Proceedings of the 6th International Symposium Foundations and Practice of Security, La Rochelle, France, 2014: 408-425. doi: 10.1007/ 978-3-319-05302-8_25.

[12] GA?áN C, CETIN O, and VAN E M. An empirical analysis of ZeuS C&C lifetime[C]. Proceedings of the 10th ACM Symposium on Information, Computer and Communications Security, Singapore, 2015: 97-108. doi: 10.1145/2714576. 2714579.

[13] CHOI H, LEE H, LEE H,. Botnet detection by monitoring group activities in DNS traffic[C]. Proceedings of the 7th IEEE International Conference on Computer and Information Technology, Aizu-Wakamatsu, Fukushima, Japan, 2007: 715-720. doi: 10.1109/CIT.2007.90.

[14] STRAYER W T, LAPSELY D, WALSH R,. Botnet Detection Based on Network Behavior[M]. New York, USA, Springer Science Business Media, 2008: 1-24. doi: 10.1007 /978-0-387-68768-1_1.

[15] SAAD S, TRAORE I, GHORBANI A,. Detecting P2P botnets through network behavior analysis and machine learning[C]. Proceedings of the 9th Annual International Conference on Privacy, Security and Trust, Montreal, Quebec, Canada, 2011: 174-180. doi: 10.1109/PST.2011.5971980.

[16] ZHAO D, TRAORE I, SAYED B,. Botnet detection based on traffic behavior analysis and flow intervals[J].&, 2013, 39(4): 2-16. doi: 10.1016/j.cose. 2013.04.007.

[17] DIETRICH C J, ROSSOW C, and POHLMANN N. CoCoSpot: clustering and recognizing botnet command and control channels using traffic analysis[J]., 2013, 57(2): 475-486. doi: 10.1016/j.comnet.2012.06.019.

[18] JIANG H and SHAO X. Detecting P2P botnets by discovering flow dependency in C&C traffic[J].--, 2014, 7(4): 320-331. doi: 10.1007/s12083-012-0150-x.

[19] BILGE L, SEN S, BALZAROTTI D,. EXPOSURE: a passive DNS analysis service to detect and report malicious domains[J]., 2014, 16(4): 289-296. doi: 10.1145/2584679.

[20] CHANG W, MOHAISEN A, WANG A,. Measuring botnets in the wild: Some new trends[C]. Proceedings of the 10th ACM Symposium on Information, Computer and Communications Security, Singapore, 2015: 645-650. doi: 10.1145/2714576.2714637.

[21] LEVON E, BERNARD A, and DAVE T. Link-Local Multicast Name Resolution (LLMNR)[OL]. https://tools.ietf. org /html/rfc4795. 2015.

[22] CAVALCANTE A P A, BOUDY J, ISTRATE D,. A dynamic evidential network for fall detection[J]., 2014, 18(4): 1103-1113. doi: 10.1109/JBHI.2013.2283055.

[23] Guo X J, Cheng G, Pan W B,. A novel search engine- based method for discovering command and control server[C]. Proceedings of the 15th International Conference On Algorithms and Architectures for Parallel Processing. Zhangjiajie, China, 2015: 311-322. doi: 10.1007/978-3-319- 27137-8_24.

[24] YIN T, ZHANG Y, and LI S. DR-SNBot: a social network- based botnet with Strong Destroy-Resistance[C]. Proceedings of the 9th IEEE International Conference on Networking, Architecture, and Storage, Tianjin, China, 2014: 191-199. doi: 10.1109/NAS.2014.37.

[25] PHILIPPE B. Scapy[OL]. http://www.secdev.org/projects/ scapy/, 2015.NLANR/DAST. iPerf[OL]. https://iperf.fr/, 2015.

[26] NAJAM M, YOUNIS U, and RASOOL R. Speculative parallel pattern matching using stride-k DFA for deep packet inspection[J]., 2015, 54: 78-87. doi: 10.1016/j.jnca.2015.04.013.

C&C Information Sharing Scheme in Local Network Based on LLMNR Protocol and Evidential Theory

GUO Xiaojun①②③CHENG Guang①③HU Yifei①③Dai Mian①③

①(,,210096,)②(,,712082,)③(,,210096,)

The bot must obtain the Command and Control (C&C) information covertly and securely, which is a necessary precondition to ensure botnet work correctly and normally. For the problem that how to covertly get and share C&C information between the same type bots in local network, a C&C Information Sharing scheme based on Link-Local Multicast Name Resolution (LLMNR) protocol and Evidential (CCISLE) theory is proposed. Firstly, for measuring bot performance, two metrics are defined: running time ratio and CPU utilization rate. Secondly, the same type bots will inform their own two metrics to each other via LLMNR query packets and utilize D-S evidential theory to vote BTL (Bot Temporary Leader). Then only BTL can be proved to communicate with C&C servers and C&C information can be obtained. Lastly, BTL will share the C&C information with other bots through LLMNR query packets. The experimental results show that CCISLE can help the same type bots achieve sharing C&C information successfully. The voting algorithm based on D-S evidential theory is able to elect BTL effectively with two proposed metrics and still present better robustness when in heavy network traffic. Moreover, the traffic produced during BTL voting process also has good covertness.

Network security; Botnet; Command and control; D-S evidential theory; Link-Local Multicast Name Resolution (LLMNR) protocal

TP393.08

A

1009-5896(2017)03-0525-07

10.11999/JEIT160410

2016-04-25；改回日期：2016-09-09；

2016-11-14

程光 gcheng@njnet.edu.cn

國家863計劃項目(2015AA015603)，江蘇省未來網(wǎng)絡創(chuàng)新研究院未來網(wǎng)絡前瞻性研究項目(BY2013095-5-03)，江蘇省“六大人才高峰”高層次人才項目(2011-DZ024)，江蘇省普通高校研究生科研創(chuàng)新計劃資助項目(KYLX_0141)

The National 863 Program of China (2015AA 015603), Jiangsu Future Net-works Innovation Institute: Prospective Research Project on Future Networks (BY2013095- 5-03), Six Talent Peaks of High Level Talents Project of Jiangsu Province (2011-DZ024), The Scientific Research Innovation Projects for General University Graduate of Jiangsu Province (KYLX_0141)

郭曉軍： 男，1983年生，博士生，研究領(lǐng)域為網(wǎng)絡安全、網(wǎng)絡測量及網(wǎng)絡管理.

程 光： 男，1973年生，教授、博士生導師，主要研究領(lǐng)域為網(wǎng)絡安全、網(wǎng)絡測量與行為學及未來網(wǎng)絡安全.

胡一非： 男，1989年生，碩士生，研究領(lǐng)域為網(wǎng)絡安全、機器學習.

戴 冕： 男，1988年生，博士生，研究領(lǐng)域為云計算、網(wǎng)絡安全.