P2P僵尸网络研究(精选11篇)
P2P僵尸网络研究 第1篇
僵尸网络定义是指攻击者出于恶意目的, 秘密传播僵尸程序, 并通过一对多命令和控制信道中大量的僵尸终端所组成的网络 (1) 。在 (2) 文中分析了僵尸网络其原理及其特点, 介绍了一般的防御方法和策略。但随着僵尸网络发展呈现出多元化、专业化和复杂化的新发展趋势 (3) , 攻击与防范对抗在技术面上也愈来愈越高端和趋向于成熟, 给当前网络安全带来不容忽视的威胁和巨大的安全隐患。本文主要基于P2P网络“无中心服务器化”这一特性来设计其功能模块, 讨论了通信原理、命令控制机制、加密和隐藏技术等核心功能的实现方法, 加强了P2P僵尸网络的隐蔽性、可控性和健壮性。从而实现对P2P僵尸网络的安全防御端研究, 有效遏制和控制僵尸网络蔓延及危害。
基于P2P的僵尸网络
相比于DDo S、垃圾邮件、木马、蠕虫等恶意代码, 基于P2P的僵尸网络是被攻击者远程控制且用户无感知的感染僵尸程序的一群计算机, 它们在控制者的协调下相互协作、构成一个攻击平台 (4) , 且不存在单点失效的问题, 强调隐秘性、受控性、群体性、协作性和攻击性, 无疑更为健壮, 功能更加齐全。其生命周期包括五个阶段:传播僵尸程序, 招募僵尸成员;感染受害主机, 并隐藏自身和加入僵尸网络控制与命令通道;采用相关的命令获取方式与通信协议进行指挥与控制;发启简单攻击或大规模攻击;为了更好的保护自我, 消除所有证据, 销毁僵尸主机, 结束执行, 继而下一轮的控制周期。
僵尸功能设计
基于P2P僵尸网络进行构建僵尸程序攻击端的功能模块设计如图1所示, 分主体和辅助两块功能。在主体模块中包括命令与控制、通信模块;辅助模块包括信息窃取、编解码、下载与更新、和隐藏模块。其中命令与控制模块负责分析环境, 非法植入僵尸程序、并能监控和执行控制者的命令;通信模块是关键, 既要接收执行攻击者的命令又能将执行结果反馈回去;编解码模块与通信模块协同工作, 负责签名认证、数据加密、非对称加密、数据编码;隐藏模块实现进程隐藏、对僵尸程序加壳、自删除等功能。
程序核心功能实现
1通信传播模块
通信传播是基于Kademlia (5) 的P2P协议。采用DHT (Distributed Hash Table分散式杂凑表) 技术, 主要思想是每个节点使用哈希函数为每个共享资源生成相应的资源索引哈希表, 按照一定的规则把所有资源索引哈希表分布存储在所有参与共享的节点上, 每个节点负责维护其中一块, 在查询时, 用相同的哈希函数生成资源查找关键字, 按规则查找资源索引条目, 定位资源所在的真实地址。
1.1节点距离
网络中的每节点ID是使用一个128位bit的二进制值作为Node_ID, 共享资源的索引关键字K也是一个128bit的二进制值, 与Node_ID具有相同的数量空间。索引关键字K的资源索引信息被存储在Node_ID与K值最近的节点上。Node_ID和K之间的距离是基于数学上异或的二进制运算, 对应位相同时结果为0, 不同时结果为1。例如, 若数量空间为23, A=001 (十进制为1) , B=101 (十进制为5) , 则A、B间的距离为100 (十进制为4) 。
1.2路由算法
Node_ID作为索引哈希表提供分割和路由依据, 但在实际通信中还需要IP地址和通信端口来寻址, 即路由表是一个三元组 (Node_ID, IP, Port) 。当有新结点需要加入路由表时, 主机调用Add算法, 并把新结点的ID、IP、PORT作为参数传入。该算法执行了如下操作:
A.计算Node_ID到新结点的距离。
B.根据距离值在路由表上调用Add算法直到找到最近的索引地址条目。
C.若节点存在则更新, 算法返回“真”。否则,
D.若未满则直接加入, 算法返回“真”。否则
E.判断K桶是否可以分裂。如可以则分裂, 并递归调用Add算法将新结点加入子桶, 返回“真”。否则,
F.将当前的K桶与其他的K桶进行合并, 并递归调用Add算法尝试将新结点加入K桶内。
1.3关键字搜索
在网络中以关联一个关键字Key作为发布和查询的搜索目标 (6) 。每一条信息需要发布时, 发布者对该关键字求出128位的MD5[8, 9]值 (以下称“散列键值”) , 每个结点都有一张发布信息表Entrylist, 用来负责存储散列键值落在一定域内 (即IDthis⊕MD5 (key) <240) 的关键字对应的信息。
例如X结点要搜索关键字“HI, 你好”, 则:
A.先计算出Y=MD5 (“HI, 你好”) 值, 再计算出Dis=X⊕Y;
B.根据结果X从路由表中选取出a个距离Y最近的联系人, 并依次KADEMLIA2_REQ数据包询问这a个结点;
C.这些结点收到该请求消息后, 分析寻找自己的路由树中距离Y最近的ß个结点, 并把结果存储为一张列表发送KADEMLIA_RES数据包返回给X结点。
D.X将反馈回的全部联系人增加到路由表, 然后继续访问当中最近的a个联系人, 以此重复, 直到X结点找到联系人距离到离Y足够近时, 即IDpeer⊕Y<=240, 则向这些联系人发KADEMLIA2_SEARCH_KEY_REQ数据包。
E.若联系人存储了关键字“HI, 你好”, 并反馈KADEMLIA2_SEARCH_RES数据包给X, 表示搜索成功;否则, 反馈回KADEMLIA_RES数据包, 不予理会。
若X对Y结点进行搜索, 设a=3, ß=2;X结点在自己的路由表中找到a=3条距离Y结点最近的路由, 分别为a, b, c结点。X分别查询这三个结点, 其中c由于超时而变成僵化结点;b结点从路由表中找到两个距离Y结点最近的联系人e, f结点 (因为ß=2) ;同样地, a结点返回另外两个联系人g和h结点。X从a, b, c, e, f个候选结点中选择距离Y最近的三个联系人再次发起迭代查找, 直到X找到距离Y足够近的某些结点后直接询问Y的信息。关键字查询的终止条件为在timeout时间内无incoming response, 此时查询失败, 或得到KADEMLIA2_SEARCH_KEY_RES数据包查询成功。
1.4信息发布
关键字Key发布的过程与搜索的过程类似[4, 6], 主要的不同是当联系人距离发布Key关键字的哈希值足够近时, 发送的是KADEMLIA2_PUBLISH_KEY_REQ, 其中包含关键字对应文件的哈希、文件名、文件大小及类型等信息;如果发布成功则反馈的是KADEMLIA2_PUBLISH_RES。
2命令控制模块
僵尸程序的命令控制模块, 采用关键字Key的发布与检索机制进行命令发布与搜索 (7) 。在Master端和Bot端分别内置相同的关键字的产生算法, 通过调用该算法产生的查询关键字, 并使用MD5散列函数对该关键字求哈希值, 将得到的哈希值与Maseter的命令绑定后发布。设经过加密和BASE64编码的命令为Comm, 其命令发布过程如下:
A.Master调用关键字产生算法CKen Gen::CKen Gen () 产生一个发布关键字Key, 并计算Dis=MD5 (key) 。
B.Master调用以Dis为目标的搜索算法CKademlia::Search (Dis) , 当搜索距离离Dis足够近的结点IDpeer时, 即Dis⊕IDpeer<=240, Master将Comm和Dis合并为一个数据包, 并加上报头标识KADEMLIA2_PUBLISH_KEY_REQ向IDPeer发送。
C.IDPeer收到此消息后向Master返回KADEMLIA2_PUBLISH_KEY_RES表示发布完成。
在Bot端, 控制模块调用CKey Gen::CKey Gen () 方法产生一个搜索关键字Key。值得注意的是, 由于命令关键字产生算法相同, 故产生的搜索关键字也相同, 否则Bot将不能搜索到Master的命令。与Master的发布过程相类似:
A.Bot发起以Dis=MD5 (key) 为查找目标的搜索, 即发送KADEMLIA2_REQ消息。
B.当搜索到距离Dis足够近的节点时, 即Dis⊕IDpeer<=240, 向这些结点发起KADEMLIA2_SEARCH_KEY_REQ问询请求。由于这部分结点已经在自己的Entry-list中记录Master发布的命令信息, 故会返回KADEMLIA2_SEARCH_RES报文, 其中捎带了经过Master加密和BASE64编码的命令。
C.Bot对收到的消息进行BASE64译码。
D.Bot对命令进行验证, 以判断该命令为Master发布的。
E.Bot用密钥解密并执行该命令。
可见, 查询关键字的产生算法是僵尸程序端的关键, 有且只有Bot的查询关键字与Master的命令发布关键字相同时才能够搜索到命令, 从而保证在实际应用中该算法不被破解。
3隐藏模块
一般的木马很难突破当前流行的360、Mc Free和Windows内置等的防火墙, 来与外界取得联系。在传输层和应用层上找出穿越防火墙的突破口, 利用反向连接, 共享套接字和HTTP隧道 (6) 等应用技术, 实现了防火墙穿透和隐蔽通信, 使得僵尸程序更具有健壮性。文章进行分析僵尸程序将自身的服务设置为不可见状态, 实现Windows服务隐藏的技术。
分析:Windows操作系统中的services.exe进程, 管理了所有的windows系统服务, 如远程桌面、IIS, Telnet等, 也包括一些杀毒软件的实时防护、主动防御等第三方服务, 都得向services.exe进程进行注册才能正常运行。每一个系统服务被视为services.exe进程中的一个线程, 且用一个Service Record List链表来记录所运行的服务线程信息。那么僵尸程序要想在windows系统中隐藏并运行, 只能将其从该链表上断开。
实现代码:
代码功能是在进程的内存空间0x300000到0x500000 (这一段内存中存储了Windows的服务列表) 之间寻找指向“TBservice”字段的指针的内存地址, 当找到这个字段后, 通过双向链表的删除操作, 将TBservice的信息从链表上删除。这样TBservice线程就显示在Windows的服务列表中, 以达到隐藏。
结束语
本文分析了基于P2P的僵尸网络的危害性及可行性, 通过介绍P2P僵尸网络相关的理论和关键技术, 设计其功能模块, 研究了基于P2P的僵尸网络的运行机制, 其中包括通信原理、命令控制机制、隐藏等僵尸终端的实现技术, 增强了P2P僵尸网络的隐蔽性、可控性和健壮性。有效提高了僵尸网络的安全防御策略, 形成新型的防御机制。并且, 随着云查杀技术的不断成熟和用户安全意识的提高, 僵尸程序在宿主主机内的生存周期有望得到缩短。同时随着僵尸网络的攻击技术不断成熟与完善, 如何在“无中心服务化”的P2P网络中, 僵尸网络的检测方法研究是一项具有挑战的课题。
注释
1邢健等译.僵尸网络-网络程序杀手[M].北京:科学出版社.2009.08.
2许力文, 乔丽娟, 李壮等.P2P僵尸网络安全机制研究[J].计算机安全.2013.01.15.
3王天佐, 王怀民, 刘波, 史佩昌.僵尸网络中的关键问题[J].计算机学报.2012.06.35 (6) .
4王斌斌.僵尸网络检测方法研究[D].华中科技大学, 博士学位论文.2010.05.
5P.Maymounkov, D.Mazieres, Kademlia:A pper-to-peer information system based on the XOR metric, In proceedings of the 1st Iinternational Workshopon Peer-to-peer System (IPTP2002) , Cambridge, MA, USA, 2002, springer-Verlag:53-65.
P2P平台网络借贷逾期行为研究 第2篇
自2005年以来,以Zopa、Lendingclub、Prosper为代表的P2P网络借贷模式在欧美兴起,之后该模式被广泛复制,迅速在世界范围内推广开来,在“被遗忘的金融市场”做了惠普金融和金融民主化意义的事情,表现出了旺盛的生命力和持续的创新能力。2007年8月,我国第一家基于互联网平台的P2P借贷平台拍拍贷成立,从2011年起我国P2P借贷市场开始爆发,平台数量和总交易额均以每年4一5倍的速度递增,其发展的速度和规模早已超过欧美等国家。
在我国P2P网贷高速成长的同时,问题平台大幅上升,严重影响到正常平台的运营。另据网贷之家研究院统计,2014年全年问题平台达275家,是2013年的3.6倍,12月问题平台高达92家,超过2013年全年问题平台数量。
贷款余额突破千亿大关的背后,意味着网贷平台将面临前所未有的兑付高压,许多平台被曝光出现提现困难。国内相关研究主要是以理论阐述和定性分析的方法为主,围绕P2P网络借贷的起源和发展、内涵与特征、运营模式、法律监管、国内外比较等问题展开,而从P2P借贷平台的内部视角,研究P2P网络借贷行为的影响因素的文献仍然相对缺乏。本研究认为,深人了解交易双方的行为特征是制定科学合理政策的基础。本研究从出借人的行为、借款人的行为以及平台的信息三个维度出发,重点对P2P网络借贷中出现的逾期行为和羊群行为进行定量分析,以丰富P2P借贷过程中涉及到的行为因素。
1数据准备
数据来源
本研究的数据来源于两部分:第一是人人贷,选取的时间段为2014年1月1日至2014年9月30日,共跟踪和抓取94278条有效数据,在对数据进行分类并剔除无用数据后,本文所使用的数据共有77539条数据;第二来源于第三方网贷平台的数据记录,将近一年来的评级分数求均值,以对各平台进行比较。本研究对人人贷上所抓取的数据做赋值处理见表2。描述性统计对借款人信息所做的描述性统计。
在认证方式中信用认证标占比达到了75%,说明尽管人人贷的业务模式是线上+线下,但主要还是以线上交易为主。在受教育程度上,主要为大专及以下的借款人借款需求较多,比例达到了78.4%。在性别上面,主要以男性借款为主,比例达到了82.4%。在婚姻状况方面,已婚的借款者比例最多,达到了55.3%。这也说明我国目前的P2P网络借贷平台主流借款人还是以信用担保为主,受教育程度较低的已婚男性。
2实证分析
P2P网络借贷中逾期行为分析
既然P2P网络借贷是借款者和出借者对资金需求的一个匹配,那么便必然存在着借款者逾期还款的风险。逾期行为分析所需变量。
当有借款者之前的借款记录作为参考的时候,借款人借款成功的概率为11.1%,要高于第一次借款的借款成功率6.7%。这说明出借人在选择借款项目时,会考虑经过其它出借人筛选过后的成功项目。这也体
现了出借人会考虑他人的投资情况来为自己的选择作为参考。此外,有相关研究表明,借款成功率对借款成功与否的影响是显著的且成正比,这也说明了借款人此前良好的借款记录会对最新一次的借款项目有正向的引导作用。
结论与建议
在我国P2P借贷平台迅猛发展之时,我们不能忽略平台存在的各种问题。通过研究P2P网络借贷的逾期行为,可以使出借人在借款初期预测该借款项目逾期的风险大小;通过研究P2P网络借贷的羊群行为,可以促使平台加强借款人与出借人、出借人与出借人的联系。这都是研究P2P网贷行为带来的启示。
以人人贷数据为例,有成功借款记录的借款人的逾期概率仅有8%,说明有过一次成功借款记录的投资者在还款期内表现十分良好,逾期概率低。这也说明平台的借款人也十分在意对自己信用记录的维护,均按时还款,这也为后期的借款成功率的提高提供了保障。
通过实证部分的分析,当有借款者之前的借款记录作为参考的时候,借款人借款成功的概率为11.1%,要高于第一次借款的借款成功率6.7%,P2P借贷行为中是存在显著的羊群行为的。由于P2P网络借贷环境的不确定性,加上参与网络借贷的低门槛,虽然有借款者提供了各种相关的资料证明,但没有实际观察到具体情况的出借人还是难以估计借款者的违约风险。于是出借人便只能凭借借款人之前的表现来进行选择,之所以会参考借款人之前的表现,主要是因为借款人先前的借款申请不管是申请成功或是失败,已经经过其它出借人筛选过,值得新投标的出借人进行借鉴。
P2P僵尸网络研究 第3篇
【关键词】P2P;网络借贷平台;发展模式
近几年,新兴的P2P网络借贷发展迅速,成为一种新的借贷形式。P2P网络借贷平台具有收益高、借贷便捷等优点,受到越来越多用户的关注,良好的用户体验是P2P网络借贷平台智胜的关键,所以在发展中要制定一套完善的管理体系和监督制度,解决发展中的诸多问题,提高用户满意度,降低P2P网络借贷平台的交易风险,推动P2P网络借贷平台的健康发展。
一、P2P网络借贷概述
1.P2P网络借贷内涵
P2P网络借贷主要是指通过互联网平台实现的个人与个人之间的直接信贷方式,借款人在相关的网络平台上发放借款信息,投资人通过竞标向借款人发放贷款,P2P网络借贷平台向借贷双方提供交流、沟通的资信评估、投资咨询以及业务手续办理等一站式中介服务。
2.P2P网络借贷平台的发展历程
P2P网络借贷平台是一种新兴事物,全球第一家P2P网络借贷平台创建于2005年的英国,发展到2013年已经有将近10万名用户。我国第一家P2P网络借贷平台是拍拍贷,拍拍贷于2007年上线运行,但是发展比较缓慢,一直到2011年才开始迅速的发展,目前已经拥有2000多家平台机构,累计交易量超过1000亿元。我国的网絡借贷业务发展前景良好,人人贷、拍拍贷、易贷网先后获得大额风投融资,资金主要用于征信体系和在线风控等方面的建设上,昭示着我国的网贷平台逐渐向专业化、规模化方向发展。
二、国内P2P网络借贷平台发展模式分析
自2007年国内第一家P2P网络借贷平台——拍拍贷注册成功以来,我国信贷业务开始进入网络时代,此后商业性的P2P网络借贷平台发展迅速。其在发展的过程中延伸出很多的业务类型,根据业务模式的不同可以分为:不垫付本金的纯中介平台模式、线下交易模式、垫付本金的中介模式等,以下是对这几种模式的简要介绍:
1.不垫付本金的纯中介平台模式
这种模式的信贷平台主要进行信息的发布和交易的撮合,它没有吸储和放贷业务,而且它还通过与第三方支付平台合作,管理与用户资金相关的操作。借款的利率由借贷人自己决定,风险由投资者自己承担,平台不提供担保和其他承诺服务。目前,只有拍拍贷和很少一部分企业实行这种模式。此模式的优点是为借贷双方提供社交化平台,使人们在获取收益的同时帮助他人,在借款的同时结交各路朋友,受到很多人的极力推崇。但是它也有自身的发展弱势,比如由于此平台没有任何的风险承担,导致借贷双方之间不信任,这也是拍拍网每天有很多的借入列表,但是交易成功的可能只有一笔的原因。
2.无抵押有担保模式
此模式是为了满足投资者的资金安全性而提供的一种有担保的借贷模式,现在有很多P2P网络借贷平台运用此模式,它的主要优点是承诺保障本金的安全性,提供一定的担保增信,属于信用借款,无需抵押担保。主要工作原理是借贷人向平台申请借款业务,平台在网上通过信用审核借款人的信息,提供客户信息,供出借人了解。借款方式是借款人公布借款用途、固定利率、借款期限以及还款方式等,然后双方进行线下交易。宜信公司就是以这种模式进行经营,目前宜信旗下拥有众多网络信贷性服务平台,为小企业等建立信用,释放信用价值,为客户提供个性化、全面的信用增值服务。宜信的特点要求借款人提供抵押,贷款人提供担保,违约风险比较低,有较好的贷款质量;但同时收益率也比较低,而且存在非法集资的风险。
3.垫付本金的中介模式
垫付本金的中介模式的P2P网络借贷平台的工作原理是借款人在此平台上发布借款信息,放款人通过竞标的方式参与竞争放款,借款利率是由市场决定的。借款的方式是借款人将借款需求、借款金额、借款期限以及预计年利率等信息列到平台上,放款人通过在线兑标进行线上交易。此模式的借款利率一般在10-27左右,最高可达30,借款期限为1-3年,还款方式也比较灵活。红岭创投集团就是依据这种模式进行的经营,它通过网络平台为用户提供一个安全、高效、互惠互助的网络借贷平台,红岭为交易双方提供信息咨询和有偿担保,同时对借款资格审核、逾期催收等方面投入了大量的人力、物力,具有较好的风险控制能力。
三、P2P网络借贷平台发展建议
P2P网络借贷平台的关键点是风险的控制,业务的宗旨是为客户提供融资和其他金融服务,而金融的核心问题是风险和信用,所以说P2P网络借贷平台发展的前提是风险的控制。只有很好的控制信贷风险,才会有担保人或者机构提供担保,从而进行交易。投资人最关心的是资金的安全性与盈利性,只有风险管理能力强、资金实力大的企业才能保证担保人资金的安全与收益。所以在P2P网络借贷平台发展中,首先要做好风险评估工作,其次要完善信用信息采集机制,提高借款人信息保护力度与投资者信息采集的安全性,规范P2P网络借贷平台借助征信系统控制风险,严格禁止贩卖信用信息和泄露借款人隐私的不法行为。
四、结语
P2P网络借贷平台是新兴事物,比传统借贷具有很多优势,但是由于其发展不成熟,缺乏管理、经营的经验,在诸多方面存在风险和问题,需要我们不断的探索、分析、完善。P2P网络借贷平台在未来的发展过程中存在很多的机遇和挑战,必须发挥其自身的优势,克服困难与缺陷,发展成为集创业、投资、信贷、集资等为一体的综合民间金融市场,推动社会经济的发展。
参考文献:
[1]莫易娴.国内P2P网络借贷平台发展模式比较分析[J].开发研究,2014(3):129-130
P2P僵尸网络研究 第4篇
基于P2P的僵尸网络
相比于DDo S、垃圾邮件、木马、蠕虫等恶意代码,基于P2P的僵尸网络是被攻击者远程控制且用户无感知的感染僵尸程序的一群计算机,它们在控制者的协调下相互协作、构成一个攻击平台(4),且不存在单点失效的问题,强调隐秘性、受控性、群体性、协作性和攻击性,无疑更为健壮,功能更加齐全。其生命周期包括五个阶段:传播僵尸程序,招募僵尸成员;感染受害主机,并隐藏自身和加入僵尸网络控制与命令通道;采用相关的命令获取方式与通信协议进行指挥与控制;发启简单攻击或大规模攻击;为了更好的保护自我,消除所有证据,销毁僵尸主机,结束执行,继而下一轮的控制周期。
僵尸功能设计
基于P2P僵尸网络进行构建僵尸程序攻击端的功能模块设计如图1所示,分主体和辅助两块功能。在主体模块中包括命令与控制、通信模块;辅助模块包括信息窃取、编解码、下载与更新、和隐藏模块。其中命令与控制模块负责分析环境,非法植入僵尸程序、并能监控和执行控制者的命令;通信模块是关键,既要接收执行攻击者的命令又能将执行结果反馈回去;编解码模块与通信模块协同工作,负责签名认证、数据加密、非对称加密、数据编码;隐藏模块实现进程隐藏、对僵尸程序加壳、自删除等功能。
程序核心功能实现
1通信传播模块
通信传播是基于Kademlia(5)的P2P协议。采用DHT(Distributed Hash Table分散式杂凑表)技术,主要思想是每个节点使用哈希函数为每个共享资源生成相应的资源索引哈希表,按照一定的规则把所有资源索引哈希表分布存储在所有参与共享的节点上,每个节点负责维护其中一块,在查询时,用相同的哈希函数生成资源查找关键字,按规则查找资源索引条目,定位资源所在的真实地址。
1.1节点距离
网络中的每节点ID是使用一个128位bit的二进制值作为Node_ID,共享资源的索引关键字K也是一个128bit的二进制值,与Node_ID具有相同的数量空间。索引关键字K的资源索引信息被存储在Node_ID与K值最近的节点上。Node_ID和K之间的距离是基于数学上异或的二进制运算,对应位相同时结果为0,不同时结果为1。例如,若数量空间为23,A=001(十进制为1),B=101(十进制为5),则A、B间的距离为100(十进制为4)。
1.2路由算法
Node_ID作为索引哈希表提供分割和路由依据,但在实际通信中还需要IP地址和通信端口来寻址,即路由表是一个三元组(Node_ID,IP,Port)。当有新结点需要加入路由表时,主机调用Add算法,并把新结点的ID、IP、PORT作为参数传入。该算法执行了如下操作:
A.计算Node_ID到新结点的距离。
B.根据距离值在路由表上调用Add算法直到找到最近的索引地址条目。
C.若节点存在则更新,算法返回“真”。否则,
D.若未满则直接加入,算法返回“真”。否则
E.判断K桶是否可以分裂。如可以则分裂,并递归调用Add算法将新结点加入子桶,返回“真”。否则,
F.将当前的K桶与其他的K桶进行合并,并递归调用Add算法尝试将新结点加入K桶内。
1.3关键字搜索
在网络中以关联一个关键字Key作为发布和查询的搜索目标(6)。每一条信息需要发布时,发布者对该关键字求出128位的MD5[8,9]值(以下称“散列键值”),每个结点都有一张发布信息表Entrylist,用来负责存储散列键值落在一定域内(即IDthis⊕MD5(key)<240)的关键字对应的信息。
例如X结点要搜索关键字“HI,你好”,则:
A.先计算出Y=MD5(“HI,你好”)值,再计算出Dis=X⊕Y;
B.根据结果X从路由表中选取出a个距离Y最近的联系人,并依次KADEMLIA2_REQ数据包询问这a个结点;
C.这些结点收到该请求消息后,分析寻找自己的路由树中距离Y最近的ß个结点,并把结果存储为一张列表发送KADEMLIA_RES数据包返回给X结点。
D.X将反馈回的全部联系人增加到路由表,然后继续访问当中最近的a个联系人,以此重复,直到X结点找到联系人距离到离Y足够近时,即IDpeer⊕Y<=240,则向这些联系人发KADEMLIA2_SEARCH_KEY_REQ数据包。
E.若联系人存储了关键字“HI,你好”,并反馈KADEMLIA2_SEARCH_RES数据包给X,表示搜索成功;否则,反馈回KADEMLIA_RES数据包,不予理会。
若X对Y结点进行搜索,设a=3,ß=2;X结点在自己的路由表中找到a=3条距离Y结点最近的路由,分别为a,b,c结点。X分别查询这三个结点,其中c由于超时而变成僵化结点;b结点从路由表中找到两个距离Y结点最近的联系人e,f结点(因为ß=2);同样地,a结点返回另外两个联系人g和h结点。X从a,b,c,e,f个候选结点中选择距离Y最近的三个联系人再次发起迭代查找,直到X找到距离Y足够近的某些结点后直接询问Y的信息。关键字查询的终止条件为在timeout时间内无incoming response,此时查询失败,或得到KADEMLIA2_SEARCH_KEY_RES数据包查询成功。
1.4信息发布
关键字Key发布的过程与搜索的过程类似[4,6],主要的不同是当联系人距离发布Key关键字的哈希值足够近时,发送的是KADEMLIA2_PUBLISH_KEY_REQ,其中包含关键字对应文件的哈希、文件名、文件大小及类型等信息;如果发布成功则反馈的是KADEMLIA2_PUBLISH_RES。
2命令控制模块
僵尸程序的命令控制模块,采用关键字Key的发布与检索机制进行命令发布与搜索(7)。在Master端和Bot端分别内置相同的关键字的产生算法,通过调用该算法产生的查询关键字,并使用MD5散列函数对该关键字求哈希值,将得到的哈希值与Maseter的命令绑定后发布。设经过加密和BASE64编码的命令为Comm,其命令发布过程如下:
A.Master调用关键字产生算法CKen Gen::CKen Gen()产生一个发布关键字Key,并计算Dis=MD5(key)。
B.Master调用以Dis为目标的搜索算法CKademlia::Search(Dis),当搜索距离离Dis足够近的结点IDpeer时,即Dis⊕IDpeer<=240,Master将Comm和Dis合并为一个数据包,并加上报头标识KADEMLIA2_PUBLISH_KEY_REQ向IDPeer发送。
C.IDPeer收到此消息后向Master返回KADEMLIA2_PUBLISH_KEY_RES表示发布完成。
在Bot端,控制模块调用CKey Gen::CKey Gen()方法产生一个搜索关键字Key。值得注意的是,由于命令关键字产生算法相同,故产生的搜索关键字也相同,否则Bot将不能搜索到Master的命令。与Master的发布过程相类似:
A.Bot发起以Dis=MD5(key)为查找目标的搜索,即发送KADEMLIA2_REQ消息。
B.当搜索到距离Dis足够近的节点时,即Dis⊕IDpeer<=240,向这些结点发起KADEMLIA2_SEARCH_KEY_REQ问询请求。由于这部分结点已经在自己的Entry-list中记录Master发布的命令信息,故会返回KADEMLIA2_SEARCH_RES报文,其中捎带了经过Master加密和BASE64编码的命令。
C.Bot对收到的消息进行BASE64译码。
D.Bot对命令进行验证,以判断该命令为Master发布的。
E.Bot用密钥解密并执行该命令。
可见,查询关键字的产生算法是僵尸程序端的关键,有且只有Bot的查询关键字与Master的命令发布关键字相同时才能够搜索到命令,从而保证在实际应用中该算法不被破解。
3隐藏模块
一般的木马很难突破当前流行的360、Mc Free和Windows内置等的防火墙,来与外界取得联系。在传输层和应用层上找出穿越防火墙的突破口,利用反向连接,共享套接字和HTTP隧道(6)等应用技术,实现了防火墙穿透和隐蔽通信,使得僵尸程序更具有健壮性。文章进行分析僵尸程序将自身的服务设置为不可见状态,实现Windows服务隐藏的技术。
分析:Windows操作系统中的services.exe进程,管理了所有的windows系统服务,如远程桌面、IIS,Telnet等,也包括一些杀毒软件的实时防护、主动防御等第三方服务,都得向services.exe进程进行注册才能正常运行。每一个系统服务被视为services.exe进程中的一个线程,且用一个Service Record List链表来记录所运行的服务线程信息。那么僵尸程序要想在windows系统中隐藏并运行,只能将其从该链表上断开。
实现代码:
代码功能是在进程的内存空间0x300000到0x500000(这一段内存中存储了Windows的服务列表)之间寻找指向“TBservice”字段的指针的内存地址,当找到这个字段后,通过双向链表的删除操作,将TBservice的信息从链表上删除。这样TBservice线程就显示在Windows的服务列表中,以达到隐藏。
结束语
本文分析了基于P2P的僵尸网络的危害性及可行性,通过介绍P2P僵尸网络相关的理论和关键技术,设计其功能模块,研究了基于P2P的僵尸网络的运行机制,其中包括通信原理、命令控制机制、隐藏等僵尸终端的实现技术,增强了P2P僵尸网络的隐蔽性、可控性和健壮性。有效提高了僵尸网络的安全防御策略,形成新型的防御机制。并且,随着云查杀技术的不断成熟和用户安全意识的提高,僵尸程序在宿主主机内的生存周期有望得到缩短。同时随着僵尸网络的攻击技术不断成熟与完善,如何在“无中心服务化”的P2P网络中,僵尸网络的检测方法研究是一项具有挑战的课题。
注释
1邢健等译.僵尸网络-网络程序杀手[M].北京:科学出版社.2009.08.
2许力文,乔丽娟,李壮等.P2P僵尸网络安全机制研究[J].计算机安全.2013.01.15.
3王天佐,王怀民,刘波,史佩昌.僵尸网络中的关键问题[J].计算机学报.2012.06.35(6).
4王斌斌.僵尸网络检测方法研究[D].华中科技大学,博士学位论文.2010.05.
5P.Maymounkov,D.Mazieres,Kademlia:A pper-to-peer information system based on the XOR metric,In proceedings of the 1st Iinternational Workshopon Peer-to-peer System(IPTP2002),Cambridge,MA,USA,2002,springer-Verlag:53-65.
P2P网络借贷平台的风险控制研究 第5篇
摘要:文章首先明确了P2P网络借贷的定义及其产生的背景和原因。然后在研究P2P网络借贷发展现状的基础上,分析P2P网贷平台发展过程中存在的问题和面临的风险,构建一个较完善的风险评估体系。最后从国家加强监管和网贷平台自身提高风险管理能力两个角度,提出了完善立法,将其纳入央行征信体系,加强信息披露,严格审贷流程,提供风险备付金计比例,资金的第三方托管等风险控制措施。
关键词:P2P网络借贷 金融创新 风险控制
论文所属项目:江苏省高等学校大学生实践创新训练计划
项目名称:P2P网贷平台的风险控制研究---以宜信为例
项目编号:201310285089X
一、引言
互联网的发展使人类社会的信息传播方式发生了根本的变革,传统的距型信息传播方式正在被网络式、分布式的传播方式所取代(谢平等,2001)。在信息时代,P2P网络借贷(Peer-to-Peer Lending)成为一种新型的直接融资模式,它通过互联网技术,实现个人对个人的信息获取和资金流向。作为中介机构的P2P网贷平台,一方面借助网络或者线下资源对借款方的信用情况以及还款能力等进行详细的考察,选择有信用的资金需求方,并在网站上发布资金需求信息供资金供给方选择投资,另一方面通过平台硬件或者其他中介的撮合交易,通过线上或线下签订协议达成交易并以收取一定的服务费和账户管理费盈利。
P2P网络信贷平台在中国的快速发展,有其特殊的经济背景。紧缩的货币政策引发的中小企业及个人融资难与通货膨胀导致的个人资产保值难为网络借贷造就了大量的市场需求(孟添,2012)。对于投资者而言,P2P网贷能为其提供高于传统银行收益率。传统的银行理财产品的年收益4%-5%左右,P2P网络借贷平台投资年收益多在10%以上。对于融资方而言,P2P网贷准入门槛低于传统的金融机构,融资更为便捷,有助于实现普惠金融。P2P借贷行业的发展提高了民间闲置资金的利用率。网贷资金直达生产和消费领域,实现了金融去杠杆化,有力地支持了实体经济发展。
作为一种全新的融资模式,p2p网络融资从诞生之初就备受瞩目。从2005年第一家p2p网络融资平台上线开始至今,已经有近百家p2p网络融资平台在十多个国家和地区陆续投入运营。国内市场的第一家p2p网络融资网站――拍拍贷在2007年成立。对P2P网贷还没有严格意义上的概念界定,其运营模式尚未完全定型。目前已经出现了以下几种运营模式,一是纯线上模式,此类模式典型的平台有拍拍贷、合力贷、人人贷(部分业务)等,其特点是资金借贷活动都通过线上进行,不结合线下的审核。通常这些企业采取的审核借款人资质的措施有通过视频认证、查看银行流水账单、身份认证等。第二种是线上线下结合的模式,此类模式以翼龙贷为代表。借款人在线上提交借款申请后,平台通过所在城市的代理商采取入户调查的方式审核借款人的资信、还款能力等情况。第三种,以宜信为代表的债权转让模式现在还处于质疑之中,这种模式是公司作为中间人对借款人进行筛选,以个人名义进行借贷之后再将债权转让给理财投资者。由于缺乏对P2P借贷平台法律规范,P2P网贷平台频出跑路、破产等事件。据网贷之家数据显示,2013年全国主要90家P2P平台总成交量490亿,平均综合利率为23.24%;有74家平台出现提现困难。因而,在当前形势下,关于P2P网络借贷风险控制问题的研究就显得十分迫切。
二、P2P网贷平台发展现状
P2P网络信贷平台(简称网贷平台)具有以信用贷款为主,高交易效率,低进入门槛,信息公开,以数据为支撑的特征。P2P网络信贷平台这种新型金融服务模式最早起源于英国,2005年第一家P2P网贷平台Zopa成立,此后在世界各地如雨后春笋般兴起,逐渐形成了Zopa,Prosper,lending-club等典型模式。
(一)P2P网贷平台呈现爆发式增长
自2007年第一家网贷平台―拍拍贷成立以来,我国网贷平台得以迅速发展2011年网络借贷行业总成交量达到60亿元,2012年整个网贷行业的成交量高达200亿元。2013年整个网贷平台的成交量将高达600亿元。
根据128家网贷平台上线时间的分布,可估计出现存网贷上线时间分布,如图1。由图可知,每年新增平台数同比增长保持在150%以上。自2011年以来,P2P网贷平台实现了爆发式的增长。
数据来源:根据在网贷之家①备案的128家网贷平台上线时间分布情况制作出该分布图。
(二)P2P网贷平台集中分布在经济发达地区
数据来源:根据在网贷之家①备案的128家网贷平台地区分布情况制作出该分布图
从地区分布来看,网贷平台主要集中在经济发达的沿海地区,其中广东省的最多占到30%以上,排名在前五位的是广东、浙江、上海、北京、江苏,仅五省市就分布了77%的网贷平台。不难看出网贷平台的出现与地区经济发达程度有着密切关系。经济越发达,资金的需求越强烈,供给越充足,P2P网贷发展资金基础越雄厚。
(三)P2P网贷行业发展势头良好,竞争激烈
网贷平台成交量不断增长。图3反映了2013年9月份的网贷指数。9月份的平均成交指数7010.81,即每日成交金额高达7011万元,这一数值与前一个月相比有显著提升。
利率指数较为稳定,但也呈增长趋势,今年六七月份行业平均利率稳定在10-15%,到9月份平均水平已在15%以上,与银行贷款利率相比,网贷利率较高。对于人气指数,今年9月份平均每个平台每日大约投资人数590人左右。可见P2P行业总体发展势头良好,成长速度很快。P2P网贷行业竞争激烈,新平台层出不穷,成交量排名也瞬息万变。
图3 2013年9月份网贷综合利率指数
数据来源:网贷之家
三、P2P网贷平台的风险控制
根据信用风险的承担情况,可以将平台角色定位为两大类,一类是以拍拍贷为代表的纯平台模式。该模式具有提供信用贷款,以线上业务为主,单纯收取信息匹配服务费实现盈利的特征。另一类是复合中介模式。在复合中介模式下,平台既是纯中介还扮演担保人、联合追款人、利率制定人的身份。这类P2P网贷平台一般都承诺本金保障。贷款方违约的信用风险转移到平台本身。这里选取四家平台,对其经营模式进行对比。(如表1)
通过以上几个方面对平台比较发现,不同模式下,网贷平台面临的风险会有差异,网贷平台在发展过程中注意以下问题。
(一)身份定位问题
从以上平台的注册身份,我们可以发现每家的平台的注册身份不尽相同,有电子商务公司、金融信息服务公司,金融服务机构等,注册身份差异较大,纯平台模式多侧重信息服务身份,复合中介模式注册身份各异,多为子公司。注册资本金也无特殊限制,行业入门门槛较低。这也反映着网贷这个新兴行业其发展过程缺少有效的监管和相关法律的约束。
(二)信用风险负担问题
从网贷平台的经营范围来看,平台大多经营信用贷款,这是最初p2p纯平台模式发展的主要经营标的。但由于与国外相比,中国的个人信用体系缺失、缺乏成熟的信用评价机制,这使得平台担保垫付业务以及抵押贷款等业务快速发展起来,这些业务的开展使得网贷平台变成复合中介,扮演担保人角色,自身面临信用风险加大。以2012年5月成立的非诚勿贷和2009年成立的红玲创投为例,前者累计成交额为2亿8933万,累计逾期贷款为2539万,违约率约8.78%,红玲创投2012年底实现累计成交量为15亿428万,截止2012.11逾期欠款为1899万,其违约率约为3.77%。由于逾期缺失2012.12数据,这一逾期率可能偏小。总体上,网贷行业坏账率要高于传统金融机构。对于抵押贷款业务,P2P网贷平台风险识别能力有限,面临多次抵押等问题。平台在发展过程中面临选择业务与自身经营能力不匹配的问题。
(三)对于网络的依赖程度,影响网贷平台模式选择
对网络依赖强,即主要以线上业务为主,这就局限了网贷平台提供抵押标,也限制了网贷平台信用审核的准确性以及成为联合追债人。但是不能否认以线上业务为主成本最低,网贷平台信用风险最小。但目前只有拍拍贷主要以纯平台模式为主,这说明了在中国个人信用体系缺失的情况下,对出借人提供本金保障更加符合中国当前投资人的需要。
(四)利率确定以及盈利方式面临违法的风险
根据最高人民法院《关于人民法院审理借贷案件的若干意见》第6条规定:“民间借贷的利率可以适当高于银行的利率,各地人民法院可以根据本地区的实际情况具体掌握,但最高不得超过银行同类贷款利率的四倍(包含利率本数)。超出此限度的,超出部分的利息不予保护”。
图 4 网贷平台综合收益率分布图
数据来源于网贷之家
由图可知,投资人综合收益率为6%-43%之间,收益率集中在20%-30%,有些平台达到40%以上,加上服务费率,贷款利率要更高。P2P网贷平台允许的借款期限一般在两年以内,传统银行贷款利率在两年期不超过6.15%。对于平均贷款利率在20%以上的网贷平台,其贷款利率很容易突破银行贷款四倍的警戒线。P2P网贷平台的贷款利率大大高于传统银行贷款,另外,这一利率水平远高于行业平均投资收益率10%,贷款人贷款负担较重,容易引发逾期和跑路事件发生。
(五)逾期黑名单披露与信息安全
对于贷款人出现逾期还款的情况,一部分平台为了避免被违约人状告私自泄露客户信息或因过多逾期会影响平台人气而采取不公布违约贷款人信息,但也有一部分平台采取给予违约人10-30天的宽限期,一旦超过期限,就会在逾期黑名单中披露违约贷款人信息,进而提高违约人成本以减少违约。披露逾期黑名单是一种有效遏制逾期还款的方法但这一做法存在违法泄露客户信息之嫌。
四、P2P网贷平台面临风险分析
(一)信用风险
信贷业务最大风险无疑是贷款者不能按时还本付息的风险,即信用风险。
(1)间接信用风险:资金需求方违约,延期支付或跑路影响到平台营业收入。
(2)业务风险:平台由于开展本金保障,担保,垫付等业务使得资金需求方违约风险转移到平台本身。
(二)合规风险
出现违法违规所造成的损失情况。
(1)身份风险:注册资金门槛过低,注册身份混乱尴尬,无法进行有效的监管限制。
(2)高利率风险:利率的设置是否符合法律的规定超过银行同期贷款四倍(如高利贷)网贷平台收取利息和手续费的盈利模式,存在演化成高利贷的风险。
(3)非法集资风险:通过网络或线下形式直接向社会公众销售贷款,投资者资金则直接进入其公司或其法定代表人个人账户。
(4)政策风险:由于目前P2P网贷平台监管仍处于空白,国家也对网贷平台发展采取观望态度,未来政策的不确定性也增加了P2P网贷平台的不确定性。
(三)操作风险
(1)技术风险:P2P平台是依靠WEB2.0信息与互联网技术开展的业务,以实现点对点或多对多的借贷交易。如果P2P平台的操作软件存在重大技术问题和安全漏洞,可能会造成平台运行的崩溃,也可能被黑客入侵利用。
(2)内部员工道德风险:P2P公司员工本身参与交易的没有限制,内部员工利用身份便利,设置虚假账户,或者顾客信息非法交易。
(3)资金安全性风险:“人人贷”公司存储风险金,具有保险金性质的资金账户由“人人贷”公司自己管理的会面临被非法挪用等资金的安全性问题。
(四)其他风险
(1)流动性风险:出借人的缺乏、坏账的攀升、还本退息的承诺、监管政策的变化、市场的急剧波动,都可能导致资金链的断裂。
(2)市场风险:市场风险是所有金融机构均面临的风险。这里是指P2P网贷平台业务超越个人小额信贷的领域,进入市场风险较大的小企业贷款,难以通过大数法则和利率覆盖风险的方式消化而产生的风险。
五、结论与建议
网贷平台风险事件频出,一方面源于国家针对这种新行业监管近乎空白,另一方面,网贷平台自身风险识别以及防范能力有限。因此,我们从这个两个角度分别提出风险防控建议。
(一)从国家方面,完善立法,加强监管
1、构建 P2P信贷平台的监管体系,尽快明确P2P网贷的监管主体
我国对网贷的注册身份还为一般的工商业企业。但是网贷平台由于从事于与金融相关的活动,风险比一般的工商业企业要大。因此应该尽快明确监管主体,为网贷平台定位,这也有助于提高个人投资者辨别融资平台真假的能力。国家应对企业注册资本设置限制,当企业注册资本太少时,企业抵御风险能力较弱,此时应对于开展高风险小企业贷款或额度较大贷款业务进行限制,以防风险事件的发生。《关于加强影子银行监管有关问题的通知》(107号文)将P2P等新型互联网金融业务归入影子银行之列,并在监管责任分工中指出:“第三方理财和非金融机构资产证券化、网络金融活动等,由人民银行会同有关部门共同研究制定办法。”这就意味着P2P行业将开始由央行负责协调监管。
2、加快完善 P2P信贷平台的法律法规
P2P网贷平台虽依托网络开展的借贷服务业务,其实质上在从事是一种金融活动。其经济活动既不完全适用于有关电子商务法律也不能依据金融行业的法律规范,目前只能按民间借贷相关法律进行规范。因此,尽快制定并完善专门针对 P2P信贷平台的法律法规和政策体系是十分必要的。国家对于网贷利率设置方法以及费用收取方式应加以规范,防止演变成高利贷。同时也应加强对网贷平台为担保以及垫付资金而计提的保证金的真实性以及充足性进行监督。
3、将网贷交易记录纳入央行征信体系
我国缺乏完善的个人信用体系,网贷平台在信用审核时往往只能参考借款人提供的银行信用报告,这种做法在一定程度上可以界定借款人的信用情况。但因为银行贷款一般均有抵押,不能如实反映借款人在无担保无抵押情况下的信用状况。对于个人信用贷款记录,虽有平台采取对超过10天的违约借款人的信息进行披露,但是面临泄露私人信息的合法性问题。因此,为了减少借款人违约情况发生以及避免涉及泄露客户信息之嫌,最好办法,将P2P网贷信贷活动记录纳入央行征信体系,这样既增强借款方违约成本,也强化借款人的守信意识,有效帮助P2P平台较少违约发生。
4、改善 P2P信贷平台信息不对称,提高信息透明度
我国P2P网络借贷的数据由平台自愿披露,大多平台对外不公开的数据或披露信息不全面,公开数据的真实性也无从考证,使得人们对其的合法性、合规性存在严重质疑,作为一种资金借贷的金融服务平台,信息对称、透明是促进其发展重要因素。国家应该加紧完备P2P网络信贷公司相关披露制度,提高公司的信息透明度,让 P2P网络信贷呈现一种安全可信的风貌。对于其备付金情况以及平台交易量进行披露,可以供投资人参考,减少其投资的盲目性,也可以保障投资资金的安全性,减少平台非法集资的可能性,促进网贷平台健康发展。
(二)从平台本身方面,借鉴经验,提供风险管理能力
1、严格信用审核流程,提高信用甄别技术
P2P网贷平台严格贷前信用审核,控制审核通过率,提高信用甄别技术,开发或购买的风险识别系统。如宜信使用的基于数据库技术FISO系统,为用户评级,为出借人提供参考减少盲目的投标。基于大数据分析评价系统,可以大大提高审贷的客观性,效率和科学性。在科学评估借款人信用等级前,应注意考察借款者提供信息的真实性以及充足性。目前,P2P网贷信用评级所参考信息以及交易数据在还原和构建一个人的信贷违约层面,还远远不够,还需要大量引入外部数据,进行交叉验证,才能构建信用评估模型。
开发防欺诈系统,提高信息鉴别能力。将审贷系统与人工相结合,注意总结违约人特征,提高信用鉴别能力。同时,也要做好贷后贷款还款状况的检测,提供还款提醒服务,减少非主动违约情况发生。
2、控制信贷规模,提高违约成本
贷款额度小,借款人违约成本相对高,这有利于降低了借款人的违约率,从而减少坏账率。在借款人申请借款初期,P2P网贷平台应该要求贷款人提交详细证明资料,全面了解借款人的偿债能力。如有发现有碍还款事项,采取不借款或者降低借款额度。在批准放款时,注意贷款额度不能超过小额信贷额度限制。
网贷平台也应采取措施引导出借人分散投资,降低风险。如拍拍贷,对符合分散投资规则的人提供本金保障激励,也可以通过控制每种借款标的投资额度,从而帮助出借人有效分散风险。也可以借鉴prosper模式,创建“客户组”,提高借款人违约成本,鼓励组内借贷。
3、提高保证金的计提比例,运营资金与保证金隔离
目前,宜信对外称其坏账率为0.8%左右,保证金的计提比例为2%,实现两倍的覆盖与银行一致。相对于网贷,传统银行的贷款大多有抵押担保,一般情况下还款更加有保障;而P2P贷款大多无抵押,风险较高,不可否认宜信与同行业相比,风控体系较完善,但其坏账率增加可能性很大,因为同行业其他平台坏账率大大高于宜信。例如2012年5月成立的非诚勿贷其坏账率为8.78%,2009年成立红玲创投其坏账率约为3.77%。因此建议网贷平台也增加保证金的计提比例,防止由于经济衰退或其他事件引发集中违约。
为了确保保证金真实充足,同时也为了避免危及企业自身资金安全,建议平台确保运营资金与保证金隔离,实现保证金的第三方托管。
4、加强信息披露,实现信息共享
网贷平台在建设好自身的黑名单制度的同时,应该积极争取纳入央行征信体系,增加借款人的违约成本。同时平台之间的违约人的信息以及交易记录应该实现共享,提高共同抵御欺诈能力,减少坏账发生。这一信息共享平台可以由行业自治组织建立,有利于加强对贷款人和融资平台的媒体和社会监督。在做好交易记录实现行业内共享的同时,网贷平台也增加保证金透明度以增强投资人信任,可以通过定期公布保证金的金额。
5、注意交易模式的合法性
对于大多数平台,是通过第三方支付平台完成资金的划转流动,资金不通过本公司账户,风险较低。但对于采用流转债模式的平台,如果未找到贷款人之前,先要求出借人资金直接打入公司特定账户,就可能演变为吸收存款,发放贷款的非法金融机构,被认定为非法集资。因此,这类公司应增加交易过程透明度,提供债权真实性的证明,同时确保先与贷款人签订债权合同后再推荐给投资人,即在资金供给双方同时存在时才能发生资金流转,这样既避免非法从事金融活动,也能尽量减少公司资金占用。
6、利率范围控制
P2P网贷平台的贷款利率普遍较高,面临高利贷风险,应该根据借款需求合理设置利率范围。从借款需求来看,中等规模以上、业务稳定、有抵押担保物的企业可以获得银行贷款,利率集中在6%-10%之间。大部分小微企业和个人只能得到民间贷款或小额贷款,利率在20%以上。中间10%-20%的借贷市场尚属空白,资金需求旺盛,应该是网贷平台设置利率水平的合理范围,同时严格审核资金用途以及还款能力,在综合行业投资收益率的基础上,确定贷款利率。
参考文献:
[1]谢平,尹龙.网络经济下的金融理论与金融治理[J].经济研究,2001,4(6)
[2]孟添.关于 “人人贷” 融资模式的思考[J].华东科技,2012,7: 025
[3]马运全.P2P网络借贷的发展、风险与行为矫正[J].微型金融研究.2012.2总第276期
[4]苗晓宇.网络P2P信贷风险与防范.[J]甘肃金融.2012.2
[5]官大飚.我国 P2P网络借贷发展存在的风险及其监管对策[J].台湾农业探索.2012年第五期
[6]沈杰.P2P 网贷平台的成因,问题和发展思路[J].商,2013(13): 304-305
[7]王赫.P2P 网贷野蛮生死[J].证券市场周刊,2013(42)
[8]詹起铭.P2P 网贷必须有风险控制层面的革新[J].IT 时代周刊,2013(12)
[9]曹楠楠,牛晓耕.P2P 网贷行业的发展现状及风险控制分析――以人人贷商务顾问有限公司为例[J].中小企业管理与科技,2013(24): 152-153
[10]张谦.P2P 网络借贷平台的运营模式及风险控制研究[J].决策与信息,2013(8)
[11]蔡水花.中小企业进行 P2P 网络借贷的风险探析[J].福建金融,2013(5): 43-45
基于P2P的僵尸网络的检测技术 第6篇
1. 课题背景和目的
僵尸网络 (botnet) 是攻击者出于恶意目的传播的僵尸程序 (bot) 来控制大量主机, 并通过一对多的命令与控制信道所组成的网络。随着网络系统应用及复杂性的增加, 僵尸网络成为网络系统安全的重要威胁。Symantec公司2006年监测数据表明, 中国大陆被Botnet控制的主机数占全世界总数的比例从上半年的20%增长到下半年的26%, 已超过美国, 成为最大的僵尸网络受害国, 但国内对Botnet的关注和研究工作还不够全面。作为一种日趋严重的因特网安全威胁, Botnet己成为计算机安全领域研究者所的关注热点。Botnet成为计算机网络对抗研究的首要课题, 预示着计算机网络威胁新的发展趋势。
2. 国内研究现状
尽管僵尸网络在很早之前就已经出现了, 但直到近几年, 随着僵尸网络的危害越来越大, 对僵尸网络检测技术的研究才被各方面所关注。国际上的一些蜜网组织, 如法国蜜网项目组织Richard Clarke等, 最早对僵尸网络进行了研究, 他们利用蜜网分析技术对僵尸网络的活动进行了深入的跟踪和分析。
早期由于IRC僵尸网络占据着主导地位, 所以对僵尸网络的大多数研究都是在基于IRC僵尸网络上的。而IRC僵尸网络的检测基本上无一例外都致力于研究其C&C (Command&Control) 信道。2003年Puri在“Bobs$Botnet:An Overview”一文中主要针对当时的IRC僵尸网络进行了比较全面系统的概述。
近年来随着计算机网络的高速发展, 出现了许多新型的僵尸网络, 如基于IM、HTTP等不同协议的僵尸网络, 并出现了采用树型结构、随机网络拓扑结构以及具有部分P2P特征的僵尸网络。从传统的基于IRC网络的僵尸网络, 逐步演变成基于P2P网络的僵尸网络, 大大增加了其生存性和隐蔽性, 同时也使得检测此类僵尸网络变得更加困难。P2P僵尸网络是利用P2P技术来传播或控制僵尸程序的网络。因为P2P僵尸网络最近几年才出现, 所以对于P2P僵尸网络的研究就相对来说比较少。Helsinki科技大学的Antt Nummipuro提出了基于主机的P2P僵尸网络检测方法, 但是该方法与其他恶意代码检测技术类似, 并没有新颖或创新之处。阿姆斯特丹大学的Reinier Schoof和Ralph Koning等人提出P2P僵尸网络的检测主要方法是对P2P对等端上的检测。
从2005年开始, 国内才逐步对僵尸网络进行研究。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪僵尸网络的项目。CNCERT恶意代码研究项目组在2005年7月开始对僵尸网络进行研究。
二、基于P2P僵尸网络的原理与分析
1. 基于P2P僵尸网络的结构
僵尸控制者 (Botmaster) 、僵尸主机 (Bot) 、命令与控制 (Command and Control, C&C) 网络共同组成了僵尸网络 (Botnet) 。僵尸控制者是控制整个僵尸网络的攻击者;命令与控制网络一般有一个或多个命令与控制 (C&C) 服务器, 僵尸控制者通过控制这些服务器来管理和控制僵尸主机;僵尸主机是攻击者通过C&C服务器控制的主机;僵尸主机从命令与控制网络获得命令, 对网络上的主机进行攻击和欺骗活动。基于P2P僵尸网络的结构如图1所示。
2. 基于P2P僵尸网络的传播与控制
随着P2P应用的日渐普及, 僵尸控制者将僵尸程序伪装成正常的文件或隐藏于正常的文件中, 通过用户下载安装这些文件来实现Bot感染、传播。P2P技术主要被用来控制僵尸主机传播僵尸程序。
P2P网络中所有节点是对等的, 每一个节点既是客户端又是服务器, 因此, 基于P2P的Botnet控制与IRC Botnet有很大的不同。在后者中, 攻击者利用IRC服务器作为C&C务器控制僵尸计算机, 我们可以通过在IRC服务器上监测Botnet的行为特征检测到并进一步将其清除;而在前者中, 攻击者只需加入P2P网络向其他对等节点发出控制命令即可。因此, 基于P2P控制的Botnet通信系统很难被彻底毁坏, 即使有一些Bot被查杀掉, 也不会影响到Botnet的生存, 故其具有不存在单点失效的特点。
三、僵尸网络的检测
早期对Botnet检测的研究主要集中在如何检测和跟踪到单个的僵尸主机, 但是随着Botnet采用协议和结构的复杂性, 特别是P2P协议广泛应用之后, 大大增加了Botnet的隐藏性和破坏性, 需要综合研究Botnet的传播、行为、拓扑结构, 对Botnet的检测技术也在逐步的完善。下面对基于主机特征的检测和基于网络流量的检测为例, 叙述Botnet的检测方法。
1. 基于主机特征的检测
基于主机特征的检测主要是指在一个负责监控的主机内部部署传感器用来监控和记录相关的系统事件, 用来对监测僵尸程序的可疑活动行为。当存在僵尸网络时攻击时, 监控主机就会产生一些典型的异常行为, 主要表现为添加注册表自启动项、窃取敏感信息、篡改重要文件、远程访问等, 这种检测方法类似于恶意代码的检测方法。目前基于主机特征的僵尸网络监测技术主要采用是“蜜罐”技术和虚拟机技术。
2. 基于网络流量检测的
基于流量检测方法就是通过分析P2P僵尸网络通信行为表现出来的特征及变化规律并利用这些流特征来判断网络流量中是否存在P2P僵尸网络流量, 为检测P2P僵尸网络提供参考依据。
(1) 基于连接成功率的检查方法
在P2P僵尸网络中, 每个Peer从开始就试图和一些感染的主机建立连接, 但由于P2P网络的不稳定性、连接的目的IP的不定性, Peer链接的成功率并不高。对于这种网络行为, 我们可以用TCP连接成功率来描述。据试验研究表明:绝大部分P2P协议, 都使用TCP传输协议来实施第一步建立联系的行为。基于TCP连接成功率的P2P僵尸网络节点识别算法的形式化描述如下:
其中, RC为TCP连接成功率, a为节点发送的SYN数据包中不同目的IP地址数;b为收到的SYN/ACK数据包中不同源IP地址数。
通过试验表明:低于正常P2P节点的RC值[0.2, 0.4], 就是僵尸网络。
(2) 基于流量变化率检测方法
在网络流量中, 正常P2P网络与僵尸P2P网络的最大区别在于:后者有大量数据传输。如果一个Peer在相对较长的时间内出现大量数据传输, 也就是网络流量异常的现象, 则可判断该Peer是疑似僵尸网络节点。
参考文献
[1]国家计算机网络应急技术处理协调中心.CNCERT/CC2006年网络安全工作报告[DB/OL].http://www.cert.org.cn/UserFiles/File/2006CNCERTCCAnnual Report_Chinese.pdf, 2007, 2, 15.
[2]Enterprise firewall[EB/OL].http://paloaltonetworks.Com/.2009, 10, 02.
[3]A.Nummipuro.Delecting P2P-Controlled Bots on the Host.In Seminar on Network Security, 2007, 10.
[4]R.Schoof.R.Koning.Detectingpeer-to-peer Botnets.http://staff.science.uva.nl/delaat/sne-2006-2007
[5]张琛 王亮 熊文柱:P2P僵尸网络的检测技术.[J]计算机应用.2010
[6]Baecher P, Koetter M, Dornseif M et al.The nepenthes platform:An efficient approach to collect.malware.In:Proc.of the9th Int’l Symp.on Recent Advances in Intrusion Detection (RAID) .LNCS4219, Springer-Verlag.2006.165-184.
P2P僵尸网络研究 第7篇
僵尸网络(BOTNET)是当前网络安全领域面临的主要问题之一,它具有蠕虫似的传播特征,木马似的后门特征,并往往采用变形、ROOTKIT等病毒技术,是恶意代码技术的综合。大量的DDOS攻击,垃圾邮件发送都与僵尸网络有关。攻击者可以利用僵尸网络构成一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动以牟取经济利益[1]。
早期僵尸网络的命令与控制通道(COMMAND & CONTROL)建立在IRC协议上,攻击者借助IRC服务器对整个僵尸网络进行控制,虽然易于部署和实现,但是这种集中的命令与控制使得它们容易被发现和破坏。在这种背景下,能够隐藏其命令与控制信道的基于P2P协议的僵尸网络也出现了。P2P僵尸网络中不存在集中的中央命令与控制服务器,所有的僵尸主机都可以充当服务器和客户端两种角色,这就避免了单点失效的问题。P2P僵尸网络的流量能够隐藏到网络中巨大的正常P2P流量中,这使得对其进行检测更加困难[2]。
由于P2P僵尸网络的这些特性,目前还没有一个通用的P2P僵尸网络检测方法。荷兰阿姆斯特丹大学的SCHOOF等人针对P2P僵尸网络的特点,提出了检测P2P僵尸网络的可能方向[3],P2P僵尸网络会通过特定的端口进行通信,在寻找对端时会出现大量的ICMP报文等特征,通过静态特征匹配和网络流量的监控可以发现P2P僵尸网络。在文献[4]中提出了一种利用改进的蜜网来检测P2P僵尸网络的方法,通过在蜜网中运行BOTS样本程序,对进出蜜网的流量进行分析,找到P2P僵尸网络发送命令和建立连接的流,以及发送这个流的源端和接受这个流的终端。但这种检测方式具有一定的局限性,不能通过蜜网获得完整的僵尸网络活动情况。文献[5]中提出了一种基于主动探测的P2P僵尸网络检测方法,把僵尸程序修改成爬虫程序,它会像普通节点一样加入P2P僵尸网络,根据P2P网络中的节点的响应情况来判定该节点是否为P2P僵尸网络节点。但该方法需要相当的先验知识,而且是针对特定应用的测量,通用性较差。
本文在对P2P僵尸程序在主机上的异常行为以及对等端之间的通信特征的研究基础上,提出一种基于异常行为相似性的P2P僵尸网络检测方法。
1 检测模型
僵尸网络中的受控主机表现出来的异常行为不可避免地存在相似性[6]。在网络中的主机节点上部署探测器,用于检测P2P僵尸主机的行为,分析僵尸主机的通信流量,并上报到上一级监视节点。监视节点部署于各自对应的边界网络的出口,收集被监视网络中的上报P2P僵尸主机信息,各个监视节点将信息进行融合,通过对上报的可疑主机节点的异常行为相似性来进一步检测P2P僵尸网络。所有监视节点构建成一个结构化的P2P网络。本文提出的P2P僵尸网络检测方法模型如图1所示。
该模型中具有如下的特点:
(1) 该模型中基于主机的恶意行为检测采用基于行为分析的技术,不仅能检测已知的P2P僵尸程序,对于未知或是变形处理的P2P僵尸程序仍然具有较好的检测效果。
(2) 将恶意行为检测与P2P流量检测技术相结合,能够更加准确有效地定位P2P僵尸主机。
(3) 采用结构化的P2P网络来实现信息融合与报警,能够掌握整个P2P僵尸网络的态势和拓扑结构,进一步降低误报率和漏报率。
2 检测流程
该检测模型的检测流程如图2所示。在主机节点层面对P2P流量和主机上的恶意行为进行检测,在监视节点层面上进行信息的融合处理,生成僵尸网络的报警。
2.1 P2P流量的检测
对于主机的P2P流量的检测可以利用原始套接字捕获网络数据包,采用端口匹配和协议特征码匹配的方式进行检测。还可以提取网络数据包的行为特征,依据P2P连接行为特征模型将其与其他非P2P协议区分开。
针对几种典型P2P软件的实现过程,总结了P2P协议的行为特征[7]:
(1) 在许多P2P网络架构中,用户要设法向多个IP地址发起连接来寻找可以介入P2P网络的节点,因此,在连接过程中出现大量源IP相同,目标不同的TCP SYN包。
(2) 如果在一段时间内,从某一IP的一个确定端口向多个不同的目标IP发起了UDP连接,则该端口对应的进程很大可能是P2P进程。
(3) 同时保持和许多IP地址的TCP包或UDP包交互。
(4) 在一段短时间内,某一个{源IP,目标IP}对之间交替出现TCP包和UDP包(即同时使用TCP和UDP作为传输协议),并且交替次数超过某个预先设定的阈值,则该{源IP,目标IP}对之间的通信流就很有可能属于P2P流量。
通过记录对捕获的数据包的相关连接信息,与以上的行为特征匹配,对满足其中一条或多条的,可以认为该数据包是基于P2P协议的。P2P流量检测模块流程如图3所示。
2.2 恶意行为的检测
P2P僵尸网络中的受控主机的异常行为与传统的恶意代码的异常行为十分相似,主要表现为添加注册表自启动项、篡改重要文件、窃取敏感信息等,因此可以采用类似检测恶意代码的方法来检测僵尸病毒。
以PHATBOT和PEACOMM这两种僵尸病毒的工作过程为例来看僵尸病毒在主机上的一些行为:PHATBOT僵尸程序是在基于IRC协议构建命令与控制信道的AGOBOT基础上,通过采用AOL的开源P2P协议WASTE重新实现其命令与控制模块的。PHATBOT首先运行注入病毒的路径下,然后将自身副本拷贝到系统目录下,进行重命名操作后将其启动,并关闭注入点进程。向注册表添加注册键以实现BOT程序的自启动。循环等待攻击者指令,若收到嗅探、扫描或者攻击等指令,则启动对应线程,执行相关操作。
PEACOMM僵尸网络的命令与控制信道是OVERNET P2P协议,它通常以邮件附件方式感染主机,然后通过向系统驱动中添加“WINCOM32.SYS”的方式初始化僵尸程序。这个驱动被注入到“SERVICES.EXE”进程中,这个服务在接下来就扮演P2P客户端的角色。该僵尸程序还会阻断WINDOWS自带的防火墙,开启特定的TCP和UDP端口,通过这些端口向邻居列表中的其他僵尸程序联系[8]。
通过对以上P2P僵尸病毒的工作过程的分析可以知道,僵尸病毒在主机上的异常行为主要包括创建或修改文件,修改注册表特殊表项,开启端口等。将僵尸病毒的行为抽象为网络异常行为、注册表异常行为、文件异常行为、HOOK行为和其他异常行为。将行为定义一个多元组BEHAVIOR(TYPE,PN,ATTRIBUTER1,,ATTRIBUTER N)。其中TYPE表示行为的类型,PN表示行为所对应的进程名,ATTRIBUTER N表示行为的某一个属性[9]。通过监视主机上注册表、文件、进程、关键API调用等相关行为,与异常行为库中的行为相比较,对匹配的异常行为按照以上对行为的定义规整化及分类上报到监视节点。基本的流程如图4所示。
2.3 基于行为相似性的P2P僵尸网络的检测
如果某一台主机既产生了异常行为,而且又是基于P2P通信的,则可判定该主机是处于某一个P2P僵尸网络之中。监视节点收到各自监控的局部网络上报的P2P僵尸主机异常信息之后,将信息进行融合分析并产生报警。
两个行为属性的匹配程度就是行为之间的相似度,即匹配属性的比率。对按分类上报的异常行为的属性进行比较,如果某两个异常行为的属性完全匹配,则认为这两个异常行为相似。由于僵尸网络是一个协同性的群组,僵尸主机的异常行为必然相似,因此当具有相似异常行为的主机节点数超过一个阈值时,则认为这些主机节点处于同一个P2P僵尸网络中。找出所有与此类异常行为相似的主机节点信息,即可以获得整个P2P僵尸网络的轮廓。如果具有相似恶意行为的主机节点数达不到此阈值,则只认为是松散的恶意代码。
本文中的各个监视节点之间构成一个结构化的P2P网络,选用CHORD[10]作为系统分布式哈希表协议,利用CHORD的关键字快速查找,迅速有效地实现各监视节点之间的信息融合。CHORD协议的核心是提供了一种基于分布式哈希表的查找算法,分布式哈希表是一个由广域范围大量节点共同维护的巨大哈希表,哈希表被分割成不连续的块,每个节点被分配给一个属于自己的哈希块,并成为这个哈希块的管理者。利用其分布式哈希表,可以实现关键字的快速查询。CHORD协议提供了一个快速的分布式哈希功能的计算,把关键字映射到负责存储它们的节点上去。
如图5所示,在基于CHORD协议的监视节点组成的P2P网络中,每个监视节点作为CHORD环中的一个节点,具有自己的ID。每个监视节点在收到局部网络中P2P僵尸主机的报警信息后,利用CHORD协议中的一致性哈希算法将该主机的异常行为映射为一个关键字。如果主机上报异常行为相似,则通过哈希算法得出的关键字相同。利用CHORD算法得出关键字KEY所对应的监视节点ID(即负责存储该异常行为的监视节点),将当前监视节点地址、异常行为、源地址组成的元组发送到该监视节点,并且一致性哈希会保证同一个关键字会映射到同一个监视节点,这样就可以将所有监视节点收到的相似的异常行为存储到一个监视节点上。而负责存储的这一个监视节点就掌握了所有监视节点所控制的网络中该异常行为的情况,当某一异常行为的不同目的地址数目超过阈值时就可以发出P2P僵尸网络的预警。
2.4 小 结
该检测模型创新性的从恶意行为分析和P2P流量识别两个方面来对P2P僵尸主机进行探测,把检测到的P2P僵尸主机信息进行融合,依据P2P僵尸主机恶意行为的相似性来对P2P僵尸网络进行检测。在该检测模型的实施中,每一步都具有算法和实现上的可行性。
3 结 语
提出的检测模型是基于对P2P僵尸网络定义的把握,通过僵尸网络中受控主机异常行为的相似性进行检测。其中主机的异常行为检测使用基于行为分析的检测技术,对未知和变种的僵尸网络也能进行有效的检测。但是基于行为分析的检测技术不能识别出僵尸网络的类型和名称,不利于进一步的响应和遏制。如果各个监视节点能进一步对僵尸网络的准确特征进行提取,并将该特征导入入侵检测、防火墙等系统,将能有效地遏制僵尸网络的扩散。下一步的工作将对各个功能模块进一步完善,提高该检测模型的效能。
参考文献
[1]GEER D.Malicious bots threaten network security[J].IEEE Computer,2005,38(1):18-20.
[2]HA D T,YAN Guan-hua.EIDENBENZ Stephan,et al.The effectiveness of structductural detection and defense a-gainst P2P-Based botnets[J].IEEE Computer,2009,34(2):858-863.
[3]SCHOOF R.KONING R.Detecting peer-to-peer botnets[R/OL].[2007-04-09].http://www.eviloctal.com.
[4]诸葛建伟,韩心慧,周勇林,等.Honeybow:一个基于高交互式蜜罐技术的恶意代码自动捕获器[J].通信学报,2007,28(12):8-13.
[5]ZOU C,CUNNINGHAM R.Honeypot-aware advanced botnet construction and maintenance[C]//Proceedings of International Conference on Dependable Systems and Net-works(DSN).[S.l.]:DSN,2006:3-9.
[6]诸葛建伟,韩心慧,周勇林,等.僵尸网络研究[J].软件学报,2008,19(1):152-165.
[7]王明丽.基于主机的P2P僵尸病毒检测技术研究[D].成都:电子科技大学,2009.
[8]GRIZZARD J B,SHARMA V,NUNNERY C.Peer-to-peer botnets:overview and case study[C]//Proc.of the1st Workshop on Hot Topics in Understanding Botnets(HOT-BOTS2007).Boston:HUTBOTS,2007:13-15.
[9]杨柳.基于多级协同的恶意代码检测研究[D].长沙:国防科学技术大学,2009.
P2P僵尸网络研究 第8篇
关键词:P2P,僵尸网络,恶意活动
0 引 言
僵尸网络的传统定义为:攻击者(称为botmaster,也称作僵尸主人)出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制C&C(command and control)信道所组成的网络[1]。近年来,DDOS和垃圾邮件等攻击越来越多,严重危害了互联网的安全和发展。而引起这些攻击的根源,就是僵尸网络的存在。
僵尸网络根据其C&C机制的不同,主要分为两种结构。一种是集中式的,如图1所示,典型代表是基于IRC协议信道的僵尸网络,也有一些利用HTTP协议来构建的;所有的Bots都连接到一个中心服务器,Botmaster则通过这个中心服务器以一对多的方式向Bots发布控制命令;其特点是易于管理、灵活、技术成熟,但这种依靠中心节点的结构也容易被发现和摧毁,健壮性不强,之前的很多僵尸网络都是基于这种中心结构的。另一种是分布式的,基于P2P协议的僵尸网络,如图2所示,没有中心节点,对等节点之间通过P2P协议进行连接,从而在网络拓扑上继承了P2P结构的健壮性,不会有中心拓扑的单点失效问题;其隐蔽性、可扩展性也更好,分布式的结构使得对其的检测和破坏更加困难。采用P2P结构也是今后僵尸网络的发展趋势。
之前很多的研究工作都主要是对基于IRC信道僵尸网络的检测和破坏,而对于P2P僵尸网络的检测还没有比较成熟的方法。由于P2P僵尸网络不像IRC僵尸网络,有一个集中控制的服务器,其控制信道是通过P2P的分布式网络结构来实现的,甚至对传输数据都进行了加密操作等。因此,对P2P僵尸网络的检测非常具有挑战性。
1 相关工作
当前,对于基于IRC结构的僵尸网络检测已经有了比较多的研究,但对P2P僵尸网络的检测还没有广泛展开。文献[5]提出了一种用基于行为特征的分析方法,先通过恶意行为检测发现在主机上的恶意程序,然后再对其相应的进程进行追踪,判断这个进程的网络通信流量是否为P2P,通过这两方面的结合,从而检测终端主机上的P2P僵尸网络程序。这种检测技术主要依赖于主机上的恶意程序检测,因此需要在每个终端都进行安装,在具体应用上适用性不是很好。文献[6]设计了一个利用Bots之间的协作性和在通信流量上的相似性,通过对流量的过滤、特性提取、聚类等步骤结合攻击活动来检测僵尸网络的系统;这个系统的检测方法独立于僵尸网络所采用的具体结构和协议,具有广泛的适用性;但是其流量聚类方法没有考虑P2P的连接特性,计算的向量维度过大,效率很受影响,同时也很容易产生不明确的聚类,产生误报。另外还有一些利用已知端口和特征值进行检测,这些方法的一个普遍缺点是需要对Botnets的先验知识,无法检测未知的新出现的Botnets,适用性较差。
本文所采用的方法,和文献[5]中采用的方法不同,不需要在每台主机上都进行检测,而是直接在所有主机网络流量的出入口进行检测即可;同时和文献[6]所采用的检测方法相比,更加注重了僵尸网络的P2P连接性质,检测效率更高。通过把检测范围限定在一个中小型局域网中,利用僵尸网络病毒感染的局部性特点,也提高了检测的准确率和速度。
2 P2P僵尸网络的特点
P2P僵尸网络与传统基于IRC、HTTP协议的僵尸网络最大的优势是其网络的健壮性,同时其构建过程也要复杂很多。完成一个可用的P2P僵尸网络建立,大概需要经过四个阶段,如图3所示。即僵尸程序的病毒传播,僵尸网络病毒的入侵安装,连接Botnet,等待命令[2]。
2.1 病毒传播
为了得到尽可能多的Bots,形成一个尽可能大的僵尸网络,Botmaster需要对僵尸病毒程序进行广泛的传播。其传播手段借鉴了很多传统的蠕虫、木马病毒等,通常有:利用文件共享传播、电子邮件传播、即时通信传播、网页挂马传播、自动扫描漏洞攻击传播。
2.2 入侵安装
当僵尸病毒程序在受害主机上执行后,和木马很相似,程序会进行一系列的复制自我保护隐藏等行为。通常Bot程序会对自身程序进行复制,隐藏到一些特定的系统目录下面;修改注册表保证程序在每次开机时都能自动运行;有的会注册成为系统服务,注入到系统进程中调用执行,从而不会产生新的进程,避免被查杀。通过这些手段,保证Bot程序在受害者主机上安全稳定长期地运行。
2.3 连接Botnet
当Bot程序在受害者主机上完成各种安装和隐藏后,为了能够接收来自Botmaster发送的控制命令,需要连接对等节点加入到Botnet。这个阶段也就是僵尸网络C&C通道的构建。通常在Bot的程序中,会有一个默认的连接列表(如Nugache 的程序里就含有一个22个IP地址的默认连接列表,StormBot有一个包含290个对等节点IP和端口信息的ini文件[3]),这个列表包含了一些可靠性相对比较高的peer。Bot启动后,会试图连接这个列表中的节点。成功连接上某些peer后,一般会下载更新对等节点列表,获取新的可靠节点。并与新的节点进行连接,从而成功加入当前活动的僵尸网络。
如Storm Bot,运行后会从其程序代码里提取出290个节点信息(包括节点ID、IP地址和端口号),存储到一个名为spooldr.ini的文件中,Bot程序随后逐个尝试连接这些节点。如果连接上其中的一个节点,就从这个节点上下载更新其邻居节点列表和僵尸程序。如果这些节点都没有连接成功,那么Storm程序会在Sleep10分钟后再次尝试连接。完成连接后,这个Bot就加入到了僵尸网络大军,成为了其中的一份子[2,3]。
2.4 等待命令
通常在P2P僵尸网络中,Botmaster会把相应的命令存放在某一个KEY的资源里面。Bot程序会根据特定的函数计算出预先设定好的这个KEY,然后对这个KEY进行查找。Storm程序中,Bot会计算连接列表中ID与KEY距离最接近的几个peer,距离使用XOR运算,并向这些peer发送查询请求。收到查询请求后,peer会计算自己列表中与这个KEY距离最近peer信息,并回复给查询节点。这样,Bot就可以通过特定的KEY查询到Botmaster预先设定好的命令[4]。
利用Botnet,Botmaster可以通过预先设定好的命令,对特定的目标发动DDOS攻击,发送垃圾邮件等恶意活动。
3 流量统计检测P2P僵尸网络
通过以上对僵尸网络构建过程的分析,下面主要从P2P僵尸网络三个方面的特点对其进行检测,目标环境是针对中小型局域网。
第一,Bots的P2P连接特性。P2P僵尸网络有一个最大的特点就是其不同于集中式结构的通信连接方式,Bots会和很多的peers进行连接;就像正常的P2P应用程序那样,有着很大的并发连接数。但是这些连接和正常P2P应用产生的连接不同的是,它们的通信流量相对会小很多。第二,Bots在局域网的聚集性。P2P僵尸网络的感染具有局部性的原理,如果一个局域网中,有一台主机感染了Bot病毒,那么这个局域网中其他的主机也很有可能被感染,因此他们在通信流量上一定会有相似性。第三,Bots行为的相似性。同一个Botnet的Bots由相同的程序模块组成,也会收到Botmaster统一的命令,对相同的目标进行一些恶意攻击活动。
通过以上分析,采用如图4所示的检测算法:
Step1 对采集的网络数据包按照会话进行重组,产生Flow。
Step2 对Flow根据内网主机的源端口进行分类,并计算分类后Cluster的p2p(c)值,如果这个值大于阈值θ,回到Step1;否则,进入Step3。
Step3 对过滤后的Clusters进行目的IP聚集,并计算其中主机的聚集度C(hi),如果聚集度大于0,记录相应主机hi进入Step4。
Step4 如果发现hi存在如扫描等各种恶意活动,那么可以断定这台主机是一个僵尸主机。否则,认为hi为一个疑似僵尸主机。
3.1 网络数据包的捕获和重组
首先,对需要进行检测的局域网网络流量进行数据包的采集,包括从数据链路层,网络层,传输层,应用层等包头信息。采集完成以后,对数据包根据{源IP,源PORT,目的IP,目的PORT,UPD|TCP}这样一个五元组进行会话重组,形成数据流(flow)。这里的一个flow就代表了一个内网主机的某个进程和一个外网主机的某个进程的连接通信过程,重组后的flow对于内网中主机的网络通信具有更清晰的表现,我们用一个结构体记录flow的相关信息,包括协议类型、持续时间、数据包总数、流量大小等。
3.2 P2P流的过滤
重组后的flow很好地体现了一个进程和另一个进程的通信,但是对于主机的行为分析还不够综合。定义一个本地网络地址集合LocalIP = {IP | IP∈本地IP};然后根据内网主机的源端口,对所有的flow进行分类。具有相同内网源端口的flow被分到同一个Cluster里。也就是说一个Cluster里面的flow来自内网中主机在一个端口和外网多个{IP,PORT}的通信。
每一个flow都是内部网中的一个主机和外网的某个地址进行通信的过程。根据传输层端口的定义,我们知道,不同端口对应着不同进程的通信,一般来说一个进程使用本地一个或者多个端口和外界的一个或者多个端口进行通信;如使用http协议的浏览器进程,通常会在本地利用多个TCP端口和不同的服务器的TCP80端口进行通信,也就是会产生多个flow,这些flow使用不同的本地端口,但是都使用相同的外网目的端口。另外有些进程是使用本地一个端口和外网的多个端口并发地进行通信,很多的P2P应用程序就是这样,如迅雷在下载时会在15000端口上和外网的多个对等节点建立连接,增加网络通信的并发度,使得下载速度更快。
因此,我们对从第一步重组出来的flow根据内网的源端口进行分类,这样来自同一进程或者使用同一端口的不同主机进程的flow就会被分到相同的Cluster里面。如果在网络数据流中,存在P2P应用,那么这个P2P进程在同一源端口上的所有连接会被分到同一个Cluster里面。这样我们就可以从这些Cluster里面找出P2P连接。
对于分类后的Cluster,提取其分类统计信息,用结构体记录其相关信息,包括内网IP、端口集合、外网IP、端口集合、总的发送数据大小、总的接收数据大小、连接成功和失败的flow数目等。
设C为Cluster的集合,Ci∈C。首先,对于使用内网源端口小于1024的系统端口进行过滤。然后,用如下公式定义Ci的P2P相似性。
式中,θ1为Cluster的flow数量阈值,θ2为Cluster的连接失败率阈值,flow_count为Ci 的flow总数,flow数目越多,那么它是一个P2P应用端口的概率也就越大。fail_rate是这个Ci的连接失败率,P2P应用在连接对等节点的过程中,由于其他节点不在线等原因,一定会有一些节点是无法连接的。因此,我们规定,P2P应用的连接失败率一定不能为0,对于fail_rate为0的Ci进行过滤。如果Ci的连接失败率为1,这可能是某个P2P应用的资源无法搜索到而造成的,一个良好运行的Bot也应该是能够成功连接上其他Bots,所以对于连接失败率为1的Ci也过滤掉。对于连接失败率为0-1之间的Ci,失败率越高,那么它是P2P应用的可能性也越大。W1、W2分别为这两个因素所占的权值比重。p2p(c)的值越小,那么它为P2P应用的概率越大。我们设定一个阈值θ,规定如果p2p(c)的值如果小于这个阈值,那么我们就定义其为一个P2P流的聚集。
3.3 P2P流的目的IP聚集
过滤后的Cluster,都认为是具有P2P连接特性的数据流。一般来说,不同的P2P应用程序使用的是不同的连接端口,即使是同一个P2P应用程序,也可能是采用随机端口的方式和服务器或者其他节点进行连接。因此,不同的内网主机使用同一个源端口进行P2P通信的概率是比较小的。另外,不同的内网主机一般搜索的资源也是不同的,也就是他们连接的目的{IP,PORT}对应该是不同的。但是考虑这样的情况,相同的Bots同时感染了内网的某几台主机,那么Bots程序一定会在这些主机上打开预先设定好的相同的端口,并利用这些端口和他们内置的连接列表进行连接,那么他们会连接到一些相同的目的IP,也就是他们连接的目的{IP,PORT}对可能是有交集的。因此这是区分正常P2P应用程序Cluster和P2P僵尸网络Cluster的一个重要依据。
式(2)是用来衡量内网主机相同目的IP聚集度的函数。hi∈LocalIP,hc为和hi具有相同目的IP的内网主机数目,h为内网中总的主机数目,dest为他们相同目的IP的数目,这个数目越高,说明这个内网主机的聚集度也就越高。聚集度C(hi)的值越高,说明这个主机的异常连接性越高;C(hi)为0则表示这个主机是安全可信的。
3.4 恶意攻击活动检测
通过上面分类统计方法,计算出某些内网主机具有一定的P2P流的目的IP聚集性,这在一定程度上说明了这些主机具有一些可疑的连接。另一方面,同时对Bot可能执行的恶意攻击行为进行监测,通过两者的综合结果来检测Bot。一般Bot都会具有扫描,DDOS攻击,Spam垃圾邮件发送等功能。对内网里的主机进行检测,如果发现某主机具有以上这些活动中至少一种,并且其C(hi)的值不为0,那么可以断定这台内网主机感染了僵尸病毒。同时,和这台主机具有相同目的IP聚集性的内网主机,如果没有检测到他们的恶意攻击活动,可以报告为疑似Bot,并在相应主机上进行进一步的检测确认。
4 实验数据验证
在一个有20台主机的局域网中,其中有3台主机被布置安装有Storm Bot。在交换机上配置一个镜像端口,利用WireShark软件对整个局域网的进出流量进行采集。内网主机的IP范围为192.168.1.2192.168.1.254。
从WireShark导出数据后,分析程序采用C++实现,在Visual Studio 2008环境下开发。采集到数据包总数为1072493个,对这些数据包进行第一步flow重组后,共有13212个基于TCP的flow,5159个基于UDP的flow。
在基于TCP的flow中,85%以上是发往80端口的HTTP流量,基于内网源端口的聚集比较少。对基于UDP的flow根据内网源端口进行分类,分类后共产生127个Cluster。为了从这127个Cluster中提取出P2P流量,我们设定W1、W2取值分别为0.7、0.3,θ1取值10,θ2取值0.2,对Cluster进行过滤。过滤后剩下31个Cluster,表1列出了其中部分Cluster的相关信息。对过滤后剩下的31个Cluster中的flow进行目的IP的聚集,如表2所示,有如下内网主机发现有相同目的IP的聚集和相关的恶意活动,检测出了其中的三个Bot主机。
5 结 语
本文针对P2P僵尸病毒的特点,通过对网络数据流进行重组、P2P流的过滤和Bots在网络连接上的聚集性和相似性,来发现局域网中存在的可疑连接;再结合对各种恶意攻击活动的检测,综合分析,对P2P僵尸病毒进行检测。所采用的方法,独立于P2P僵尸网络所采用的具体网络协议,也不需要对每个数据包的内容进行深层检测匹配,这样不但大大提高了检测的适用性和速度,并且对于采用随机端口、数据加密等手段的新型Botnets也能有效检测。实验检测结果也表明,这种方法对中小型局域网中的P2P僵尸网络可以进行有效检测。
参考文献
[1]诸葛建伟,韩心慧,周勇林,等.僵尸网络研究[J].软件学报,2008,19(1):152-165.
[2]Grizzard J B,Sharma V,Nunnery C,et al.Peer-to-peer botnets:Over-view and case study[C]//Proceedings of USENIX HotBots’07,2007.
[3]Porras P,Saidi H,Yegneswaran V.A Multi-perspective Analysis of theStorm(Peacomm)Worm[R].Technical report,Computer ScienceLaboratory,SRI International,October 2007.
[4]Holz T,Steiner M,Dahl F,et al.Measurements and mitigation of peer-to-peer-based botnets:A case study on storm worm[C]//Proceedingsof the First USENIX Workshop on Large-Scale Exploits and EmergentThreats(LEET’08),2008.
[5]王明丽.基于主机的P2P僵尸病毒检测技术研究[D].成都:电子科技大学,2009.
僵尸网络的危害及研究方法 第9篇
我国首例“僵尸网络”攻击案发生在2004年,当时,一个拥有超过6万台电脑的“僵尸网络”对某音乐网站发起了“拒绝服务”攻击,导致网站瘫痪。Botnet是随着自动智能程序的应用而逐渐发展起来的。从良性Bot的出现到恶意Bot的实现,从被动传播到利用蠕虫技术主动传播,从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式,再到基于HTTP及DNS的控制模式,Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络,给当前的网络安全带来了不容忽视的威胁。
1 僵尸网络(Botnet)工作原理
僵尸网络(英文名称叫Botnet),是互联网上在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方法,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。
Botnet的工作原理是一个很复杂的问题,为了清晰准确地描述这个问题,我们按照Botnet的生命周期的不同阶段,依次加以介绍。我们可以将Botnet的生命周期分为传播过程、感染过程、加入网络、再传播过程、接受控制等阶段。
1.1 传播过程
Bot程序的转播过程主要有5种传播形式:
(1)攻击漏洞:
攻击者主动攻击系统漏洞获得访问权,并在Shellcode执行僵尸程序注入代码。这些漏洞多数都是缓存区溢出漏洞。下面我们以Slapper为例,简单描述一下这种基于P2P协议的Bot的传播过程。 (1) 感染Slapper的主机,用非法的GET请求包扫描相邻网段的主机,希望获得主机的指纹(操作系统版本、web服务器版本)。 (2) 一旦发现有Apache SSL缓存溢出漏洞的主机,就开始发动攻击。攻击者首先在建立SSL v2连接时,故意放一个过大参数,代码没有对参数做边界检查,并拷贝该参数到一个堆定位的SSL_SESSION数据结构中的固定长度缓冲区,造成缓冲区溢出。手工制作的字段是缓存溢出的关键。漏洞探测者小心翼翼地覆盖这些数据域,不会严重影响SSL握手。
(2)邮件携带:
据有关统计资料显示,7%的垃圾邮件含蠕虫。
(3)即时消息通讯:
很多bot程序可以通过即时消息进行传播。2005年,性感鸡(Worm。MSNLoveme)爆发就是通过MSN消息传播的。
(4)恶意网站脚本:
攻击者对有漏洞的服务器挂马或者是直接建立一个恶意服务器,访问了带有恶意代码网页后,主机则很容易感染上恶意代码。
(5)伪装软件:
很多Bot程序被夹杂在P2P共享文件、局域网内共享文件、免费软件、共享软件中,一旦下载并且打开了这些文件,则会立即感染Bot程序。
1.2 感染过程
(1)攻击程序在攻陷主机后有两种做法,一个是随即将Bo程序植入被攻陷的主机,另一个是让被攻陷的主机自己去指定的地方下载。这种从指定地方下载的过程称为二次注入。二次注入是为了方便攻击者随时更新Bot程序,不断增加新功能。同时不断改变的代码特征也增加了跟踪的难度。
(2) Bot程序植入被攻陷的主机,会自动脱壳。
(3)在被感染主机上执行IRC客户端程序。
(4) Bot主机从指定的服务器上读取配置文件并导入恶意代码。
(5) Bot程序隐藏IRC界面,修改Windows注册表的自启动部分。
(6) Bot程序关闭某些特定程序(bootstrap process),如防火墙,系统自动更新。
1.3 加入Botnet
不同的类型Bot主机,加入Botnet的方式也不同,下面以基于IRC协议的Bot为例,介绍僵尸主机加入Botnet的过程(图1基于IRC协议实现的僵尸网络结构)。
(1)如果Bot中有域名,先解析域名,通常采用动态域名。
(2) Bot主机与IRC服务器建立TCP连接。为增强安全性,有的IRC服务器设置了连接密码。连接密码在TCP三次握手后,通过PASS命令发送。
(3) Bot主机与IRC服务器发送NICK和USER命令,NICK通常有一个固定的前缀,如CHN!2345、[Nt]-15120、ph2-1234,前缀通常为国家简称、操作系统版本等
(4)加入预定义的频道。频道名一般硬编码在Bot体内,为增强安全性,有的控制者为频道设定了密码。CNCERT/CC的监测数据表明,规模较大(控制1万台以上计算机)的Botnet通常设置了频道密码,但设置服务器连接密码的Botnet还在少数。
1.4 控制方式
Botnet的主人必须保持对僵尸主机的控制,才能利用它们完成预订的任务目标。下面依然以IRC Bot为例,简单描述一下控制主机是如何控制Bot主机的。
(1)攻击者或者是Botnet的主人建立控制主机。大多数控制主机建立在公共的IRC服务上,这样做是为了将控制频道做得隐蔽一些。也有少数控制主机是攻击者自己单独建立的。
(2) Bot主机主动连接IRC服务器,加入到某个特定频道。此过程在前面“加入Botnet”一节中已经介绍。
(3)控制者(黑客)主机也连接到IRC服务器的这个频道上。
(4)控制者(黑客)使用。login、!logon、!auth诸如此类的命令认证自己,服务器将该信息转发给频道内所有的Bot主机,Bot将该密码与硬编码在文件体内的密码比较,相同则将该用户的nick名称记录下来,以后可以执行该用户发送的命令。控制者具有channel op权限,只有他能发出命令。
2 僵尸程序与其它恶意程序的异同
僵尸程序可以通过木马、蠕虫进行传播。通常表现为在蠕虫体内包含Bot,当蠕虫成功感染计算机时,就释放出Bot;或者当木马、蠕虫成功侵入电脑后,从网上下载恶意Bot到本地主机。僵尸程序与蠕虫最大的区别就在于蠕虫具有主动传播性,另外蠕虫的攻击行为不受人控制,而相反僵尸程序的存在就是为了使得攻击者能够控制受感染的电脑。
僵尸程序和木马有着功能的相似性远程控制计算机,但在功能实现上略有区别,僵尸程序都能突破内网和防火墙限制,这是传统正向连接的木马无法比拟的。僵尸程序使用特有的IRC协议下的DCC命令或者其他载体进行传播,由于预设指令的存在,传播过程更显主动,且受感染的电脑仍受控制,这也比木马高明些。
间谍软件被用来窃取用户敏感信息,而僵尸程序也能实现这一功能,还能下载间谍软件到受影响主机。
3 Botnet的危害
Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型,Botnet还可能被用来发起新的未知攻击。
(1)拒绝服务攻击。
使用Botnet发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于Botnet可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
(2)发送垃圾邮件。
一些bots会设立sockv4/v5代理, 这样就可以利用Botnet发送大量的垃圾邮件, 而且发送者可以很好地隐藏自身的IP信息。
(3)窃取秘密。
Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密。
(4)滥用资源。
攻击者利用Botnet从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,Botnet无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少Botnet的危害。
4 Botnet的研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法,主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
(1)使用蜜网技术。
蜜网技术是从bot程序出发的,可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后,使用伪装的客户端登录到Botnet中去,当确认其确实为Botnet后,可以对该Botnet采取相应的措施。
(2)网络流量研究。
网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着3个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸计算机一般会长时间在线;三是僵尸计算机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。将第一种行为特征归纳为快速加入型,将第二、三种行为特征归纳为长期发呆型。
研究对应这两类僵尸计算机行为的网络流量变化,使用离线和在线的两种分析方法,就可以实现对Botnet的判断。
(3) IRC Server识别技术的研究。
通过登录大量实际的基于IRC协议的Botnet的服务器端,可以看到,由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时,通过对bot源代码的分析看到,当被感染主机加入到控制服务器时,在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结,就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则,这样就可以直接确定出Botnet的位置及其规模、分布等性质,为下一步采取应对措施提供有力的定位支持。
以上3种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少,原因是由于其实现比较复杂,在网络中并不占有太大比例,同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展,对于P2P结构的Botnet的研究也将进一步深入。
参考文献
[1]杜跃进, 崔翔.CNCERT/CC关于僵尸网络的技术报告[R].国家计算机网络应急技术处理协调中心, 2005.
[2]OIKAglNE N J.IRC history by Jarkko Oikarinen[EB/OL].http://www.Irc.org/history_docs/jarkko, htm1.1998.
[3]诸葛建伟, 韩心慧, 叶志远, 等.僵尸网络的发现与跟踪[C].全国网络与信息安全技术研讨会, 2005.
P2P僵尸网络研究 第10篇
P2P是时下非常火爆的词语,其中文意思为P2P网络信贷,是英文“peer to peer”的简单缩写,为了方便人们熟记,也被大家称为“人人贷”。从专业的角度讲,P2P网络信贷主要是指网络用户通过电子商务公司在互联网上提供的网上交易平台向其他有需要贷款的个人提供小额贷款的一种新兴的借贷模式。从方式来看,这是在传统信贷模式上的创新,是随着新时期互联网经济的发展而来的,其模式把电子商务技术、金融服务模式、计算机技术和资本市场的借贷模式相互结合起来,达到个人与个人就能进行信贷的渠道。经过分析,我们发现,P2P网络信贷现在不再依靠传统的银行等金融机构,也不需要去网点柜台排队办理,而是通过互联网平台实现借贷双方或多方的资金、贷款合同和交易信息等互联互通,从而达到大家能够在网上轻松实现交易。
一、国外P2P网络小额信贷公司市场营销问题分析
1、行业监管严格
根据国外的成功经验来看,美国在08年开始就把P2P证券化,当时的美国证券交易委员会通过对国内的P2P公司进行全面的调查、整顿后,实现了P2P信贷公司证券化,这也是按照93年制定的《证券法案》。此后美国的P2P信贷公司都会在自己的报告书里披露其产品和详细的产品细节,这样好方便大众查询,也为小额信贷创造了一个良好的环境。另外,英国在对P2P行业监管上也制定了《P2P小额信贷准则》,并且通过这些权威文件将P2P小额信贷机构于2014年并入英国的金融监管局进行监控和管理,此举措施大大的促进P2P行业的发展,并为网络小额信贷的未来指明了大方向。
2、交易模式相对完善
由于国外的PP2P小额信贷发展时间较早,至今也发展了成熟的模式,其中产生了一批批优秀的公司,例如Zopa、Prosper、Lending Club等等,他们都具有不需要贷方质押、担保的一种纯粹的线上交易模式,也被称为一种中介公司,主要功能就是通过制定公平的借贷双方的交易准则和能够方便借贷双方进行借贷的健康环境,P2P信贷公司自身并没有实质参与贷方借到钱后的资金管理,也不需为由于某种原因造成违约的客户承担责任,其运作简单明了。因为P2P信贷公司建立了良好的网上平台,借贷双方都可以在这些平台进行无缝的沟通、商谈、合作等,大大方便了借贷双方。
3、产品设计情况
P2P信贷公司其自身需要生存,就需要通过借贷双方来实现盈利,所以这些公司要为他们的客户提供优秀的产品,也就是被称为的贷款额度,不过由于其小额信贷的性质,贷方的额度又不可能太大,所以一般都被设计上限为30万,大多合作区间都分布在5000元-10000万不等,这部分交易频繁,广为大众所接受。第二就是产品贷款年限。既然存在借款行为,就一定会跟时间相关,在这些优秀的公司中,主要流行2个时间分类,有短期和长期,Zopa制定的短期贷款时间是1-3年,时间较长的有5年之久;Prosper制定的贷款时间有短、中、长三类,同时给对应的贷款时间内设置了不同的利率。
二、中国P2P网络小额信贷公司市场营销问题分析
1、法律法规不健全、监管欠缺
由于P2P在国内也是近几年才是发展起来的,所以在小额信贷这块还没有制定建立健全的法律法规,在法律监管上还存有空白,唯一可参照的就是《合同法》和《民法通则》,在这些规定中有一条就是参与P2P小额信贷的企业可以让借款的利息灵活变动,可以高于银行利率,但是上限是不能超过银行贷款利率的4倍,如果被超过,那么产生的意外结果法律将不予保护。由于没有明确的法律规定,所以借贷双方之间的方式以及采用任何方式进行的借贷行为都没有用可参照的法律法规。现在监管机构也没有要求P2P信贷公司进行信息披露、行业进入门槛、公司管理等规定,这个市场还缺少监管。
2、对P2P小额信贷交易模式的理解和定位偏差
受制于法律及监管因素,小额信贷公司一度将其开展的小额信贷业务定位于为低收入家庭和低收入者提供金融服务,提供融资渠道。众多在对小额贷款认识上的误区和经营过程中误导使得网络信贷公司没有正确定位改业务!明确发展方向和目标客户群,不同的领导基于不同的管理理念,对小额信贷的认识和定位也有很大的差异。
3、信用环境问题
随着中国经济的快速发展,对于企业信用体系的建立还没有跟上时代的发展需要,在这块我们还处在发展初期,不健全、不明晰的信用体系还需要各方一起努力,另外至关重要的一点是在个人信用体系这块也没有可查的途径,借贷双方的信用记录不能方便获取,这为双方进行借贷行为制造了盲区。所以P2P信贷公司在信用建立的过程处于启蒙阶段,信用评价体系也是随着这个行业的发展而不断完善,对于前期的空白期,P2P信贷公司只能通过电话沟通、查询申请资料等渠道获取,其真实性不能确保,同时由于借方借款真实性和还款的可能性存在违约的概率,所以这就使得P2P信贷公司要面对这些困难,并对可能造成的损失负责。信用环境的建立任重而道远。
三、对于国内P2P网络信贷公司市場营销建议
(一) 引入个人征信,健全网站审核制度
我国目前的征信体系是政府主导模式下的公共征信体系,2004 年,中国人民银行在银行信贷登记咨询系统上建立起个人信用信息基础数据库, 由中国人民银行征信管理局监控管理。拍拍贷在审核用户额度环节引入考核用户的个人央行征信, 但凡高于“4W”的额度,申请贷款者必须提交个人征信记录报告拍照, 以便核实该用户在他处贷款的情况及是否按期还款的个人信用情况。
(二)加强对于客户权益的保护
客户的权益主要包括:(1)客户知情权,是指客户在接受一系列交易中, 享有获得相关必要知识的权利。P2P网络信贷公司有必要为客户提供充分真实的相关信息,以使客户做出更加理性的判断。这些信息主要包括:网站对于交易对象身份、信息等的确认方式和程度; 网站对于借款使用情况进行一定程度的说明。(2)客户隐私权,是在金融交易活动中,客户个人信息不受侵犯,网络借贷平台有义务为客户提供基本的权力保障。网络信贷公司需要做到:强化员工的法律意识和理念, 对于客户资料进行严格的保护;规范各项规章制度和工作程序,尽可能减少员工投机行为的发生;提升网络技术水平,防止不法分子侵入网站盗取客户信息。(3)客户求偿求助权,是指当客户的财产被不法侵犯时, 有权依据合同规定向对方请示赔偿,如得不到满足,则有权利诉诸于法律来维护自己的合法权益。
(三)提升自身的业务运作水平
P2P僵尸网络研究 第11篇
关键词:僵尸网络,僵尸频道,响应集群
僵尸网络是攻击者利用互联网秘密建立的可以集中控制的计算机群[1],并由此可以进行大范围的分布式拒绝服务攻击、发送垃圾邮件、网络仿冒等。快速有效地检测到僵尸网络,可以预防和控制相关网络事件。但由于被控制计算机的覆盖面广、类型复杂多样,则为僵尸网络的检测提出了挑战。
目前检测僵尸网络主要有3类方法:(1)基于蜜罐蜜网技术。如德国的蜜网项目和北京大学的狩猎女神项目[2]等。(2)基于终端信息的检测技术。僵尸终端要通过命令与控制信道和控制者通信,因此僵尸终端包含许多有意义的信息,采集这些信息对检测僵尸网络非常重要。比较有特点的有美国哈佛大学Malan等人提出的基于对端的快速检测算法[3]和英国诺丁汉大学Al-Hammadi等人提出的基于日志相关性的检测算法[4]。(3)基于网络流的检测技术。僵尸网络拥有大量的僵尸终端,控制者与僵尸终端之间的通信与正常用户之间的通信有较大差异,通过监控网络流特征有可能寻找到命令与控制信道。该类方法有美国BBNTechnologies的Strayer等提出的基于机器学习的IRC僵尸网络检测方法[5]、德国RWTH亚琛大学Goebel等提出的根据IRC用户昵称检测僵尸网络的方法Rishi[6]和美国AT&T实验室Karasaridis等人提出的大范围检测僵尸网络的方法[7]等等,尤其以乔治亚理工学院的Gu等人完成的BotHunter[8]、BotSniffer[9]和Bot Miner[10]最具代表性。
文中提出了一种基于异常行为特征的IRC僵尸网络检测方法,该方法基于网络流检测,提取IRC终端主机对控制命令的响应信息,进而分析一个频道是否为僵尸频道,该方法的优点是不需要先验知识。
1 基于异常行为特征的僵尸频道检测模型
现有的僵尸网络检测算法主要针对IRC协议,且绝大多数是根据网络流量的相关属性分析判断,这样存在较大的局限性。
(1)IRC协议是正规的网络聊天协议,其网络流量与正常的比较类似。
(2)通信过程中产生的网络流量很小,难以发现只有极少数的bot存在的僵尸网络。
(3)通信过程中可以加密,增加了检测的难度。
针对以上问题,考虑从僵尸网络异常行为的角度出发,提出一种基于僵尸网络异常行为特征的检测模型,通过分析当前聊天频道内的异常行为检测僵尸网络的存在。
由于传统检测算法大部分是针对基于IRC协议的僵尸网络,通过分析网络流量的相关属性得出结论的,这样检测往往会遇到一些困难,比如IRC服务器的端口是可以随意修改的并不总是6667,而僵尸昵称是可以随意修改的。所以基于这些属性的检测方法效果不佳好。而从基于异常行为的角度出发则会提高僵尸网络检测的成功率,因为僵尸网络的存在势必要进行一些恶意的攻击行为,只要能够检测出当前IRC聊天频道下的恶意行为则可断定僵尸网络的存在。
在一个僵尸频道中如果存在多个bots对控制命令做出响应,他们的响应将是相似的[9]。在相同的时间窗口(时间范围)内,如果bots发送相似的信息或有相同的行为,如发送垃圾邮件[11],则把这些bots定义为一个相似响应集。对于正常的网络服务而言,在同一时间窗口下存在许多相似响应是不可能发生的。这就是僵尸网络特有的异常行为特征。该算法研究目的就是用来识别一个频道中是否存在这样的异常行为,依次判断该频道是否是一个僵尸频道。
1.1 僵尸网络异常行为特征描述
僵尸网络C&C(命令控制信道)中的bot对控制命令的响应会有空间暂时的相关性和相似性。对于僵尸网络中的主机来说,bots需要连接到C&C servers上以获取命令。当接收到server的控制命令后bots会根据命令做出反应。Bots的反应分为以下两种:
(1)消息响应。bot接收到命令后会执行然后向所在IRC信道发送执行后的结果,以便server控制者窃取到bot主机的信息,资料等。图1描述了在同一个IRC信道下不同bot对控制命令进行消息响应的情形。
(2)行为响应。bot接收到命令后执行攻击行为,如DDos攻击,发送垃圾邮件,下载恶意代码等。图2描述了在同一个IRC信道下不同的bot对控制命令做出行为响应的情形。
据统计[12],目前基于IRC僵尸网络中有53%的控制命令是用来恶意扫描和进行DDos攻击用的,14.4%是进行恶意代码的下载与传播,基于Http的僵尸网络主要是用来发送垃圾邮件。所以,能够发现bot主机对控制命令的行为响应将会提高检测到僵尸网络的可能性。
1.2 基于异常行为的僵尸频道检测模型
图3给出了基于异常行为的僵尸频道检测模型图,要实现此检测模型,可分为如下3个步骤:
(1)利用抓包工具获取网络流信息,过滤提取相关的IRC协议信息。
(2)将过滤的信息根据主机的响应不同分为消息响应和行为响应两种并分别存储于日志文件当中。
(3)定时提取日志中的两种主机响应信息采用响应集密度检测算法分析,得出结论。
1.3 响应集群密集度检测算法描述
把连接到同一台server的计算机分成一个组,查找同组中计算机的所有消息和活动响应行为,如果该组存在的相同消息或相同行为的响应超过一个预先通过观察或实验获得的阀值,则断定该组中做出响应的计算机形成了一个密集的响应集。对于每一个时间窗口,检查是否存在一个密集的响应集。
令待观察频道为C,令Yi表示第i个响应集是否是一个密集响应集
当获得观察Y1,Y2,Yi,… 时,利用TRW[8]算法可以确定频道C是否为一个僵尸频道。TRW算法是一种假设检验方法,支持两个假设
定义
Pr [ Yi= 0 | H0 = 0 ] = θ0 (3)
Pr [ Yi= 1 | H0 = 0 ] = 1-θ0 (4)
Pr [ Yi= 0 | H0 = 1 ] = θ1 (5)
Pr [ Yi= 1 | H0 = 1 ] =1-θ1 (6)
其中,θ0>θ1,表示如果频道是正常频道,那么频道内响应集不密集的概率较高。给定两个假设之后,输出结果有4种可能:接受假设H0,但该频道是僵尸频道,这是漏报。接受假设H1,但该频道是正常频道,这是误报。接受假设H0,该频道是正常频道,正解。接受假设H1,该频道是僵尸频道,正解。为保证TRW算法的检测性能,用误报率PF和检测率PD来进行限制。用户指定参数α和β,算法的输出保证
PF≤α,PD≥β (7)
随着新的响应集Y1 , Y2 ,…,Yn的加入,似然比计算如下
∧(Y0)=1, i= 1,2,…
算法输出
文献[9]指出,当阀值满足
2 实验和分析
本文提出了一种基于僵尸网络异常行为特征的检测原型系统方案设计,该系统框架如图4所示。本系统分为4个工作模块:预处理模块,消息响应捕获模块,行为响应捕获模块,分析检测模块。
实验针对IRC botnet在Windows XP下进行,利用mIRC6.35搭建IRC server,使用Ethereal V1.2.4作为抓包工具。检测系统根据图3模型在Visual Studio6.0平台下利用VC语言实现。修改种常见bots[10](Rbot,Spybot,Sdbot)的源代码,保证这些bots只能连接实验中的IRC server。利用VMware虚拟多个Windows XP/2000系统,并把bots植入到虚拟系统中。实验时首先部署环境,利用抓包工具提取IRC网络流,检测系统对获取的IRC网络流进一步过滤分析最终得出结论。实验分为两个部分,首先对正常的IRC网络流利用该系统进行检测,测试该算法误报率的情况。其次对已经植入bots的僵尸频道利用该系统进行检测,测试该算法的检测效果。算法中用户指定参数设置α=0.005, β=0.01。
2.1 实验一
本实验选取网络上4个正常的IRC网络流量样本,测试该算法对正常的网络流的判别检验情况。对于正常的IRC网络流利用上述算法实验结果如表1。
从实验结果可以看出,本文模型对正常的IRC网络流检测取得了较好的效果,误报率低至0.03%。
2.2 实验二
本实验在已经植入bots的虚拟环境下进行,对部署好的僵尸频道进行检测。实验结果如表2。
实验对植入了3种常见的bot的IRC僵尸频道进行了检测,通过对其网络流的提取分析,在较短的时间内就能检测到僵尸网络的存在,检测率为100%。从实验结果可以看出,模型对常见bot的僵尸频道也能达到较好的检测效果。
3 结束语
