如何构建僵尸网络

A. 电脑中了僵尸网络怎么办

僵尸网络防御方法

如果一台计算机受到了一个僵尸网络的DoS攻击，几乎没有什么选择。一般来说，僵尸网络在地理上是分布式的，我们难于确定其攻击计算机的模式。

被动的操作系统指纹识别可以确认源自僵尸网络的攻击，网络管理员可以配置防火墙设备，使用被动的操作系统指纹识别所获得的信息，对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击，但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来，有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”，因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

前述的僵尸服务器结构有着固有的漏洞和问题。例如，如果发现了一个拥有僵尸网络通道的服务器，也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性，断开服务器将导致整个僵尸网络崩溃。然而，IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性，所以发现一个通道未必会导致僵尸网络的消亡。

基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器，如“空路由”的DNS项目，或者完全关闭IRC服务器。

但是，新一代的僵尸网络几乎完全都是P2P的，将命令和控制嵌入到僵尸网络中，通过动态更新和变化，僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥，才能读取僵尸网络所捕获的数据。

必须指出，新一代僵尸网络能够检测可以分析其工作方式的企图，并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时，甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决

僵尸网络解决方案

好消息是在威胁不断增长时，防御力量也在快速反应。如果你是一家大型企业的负责人，你可以使用一些商业产品或开源产品，来对付这些威胁。

首先是FireEye的产品，它可以给出任何攻击的清晰视图，而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点，阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动，然后轻松地重新构建被感染的系统。在网络访问不太至关重要时，可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机，而无需使用签名技术或基于行为的技术。此外，SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

着名的大型公司，如谷歌等，不太可能被僵尸网络击垮。其原因很简单，它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络，而这几乎是不太可能的，因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击，如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

不过，由于DDoS攻击活动太容易被发现而且强度大，防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

B. 僵尸网络是什么

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。
在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。
Botnet
首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。
最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。
僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。
专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的根本不晓得自己已被选中，任人摆布。
僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。
网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。”
Botnet的发展过程
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。
20世纪90年代末，随着分布式拒绝服务攻击概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。
2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。着名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。
Botnet的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：
（1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode 执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，着名的bot样本AgoBot，就是实现了将bot程序的自动传播。
（2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。
（3）即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如2005年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。
（4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。
（5）特洛伊木马。伪装成有用的软件，在网站、FTP 服务器、P2P 网络中提供，诱骗用户下载并执行。
通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为，如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
Botnet的分类
Botnet根据分类标准的不同，可以有许多种分类。
按bot程序的种类分类
（1）Agobot/Phatbot/Forbot/XtremBot。这可能是最出名的僵尸工具。防病毒厂商Spphos 列出了超过500种已知的不同版本的Agobot(Sophos 病毒分析)，这个数目也在稳步增长。僵尸工具本身使用跨平台的C++写成。Agobot 最新可获得的版本代码清晰并且有很好的抽象设计，以模块化的方式组合，添加命令或者其他漏洞的扫描器及攻击功能非常简单，并提供像文件和进程隐藏的Rootkit 能力在攻陷主机中隐藏自己。在获取该样本后对它进行逆向工程是比较困难的，因为它包含了监测调试器(Softice 和O11Dbg)和虚拟机（VMware 和Virtual PC)的功能。
（2）SDBot/RBot/UrBot/SpyBot/。这个家族的恶意软件目前是最活跃的bot程序软件，SDBot 由C语言写成。它提供了和Agobot 一样的功能特征，但是命令集没那么大，实现也没那么复杂。它是基于IRC协议的一类bot程序。
（3）GT-Bots。GT-Bots是基于当前比较流行的IRC客户端程序mIRC编写的，GT是（Global Threat）的缩写。这类僵尸工具用脚本和其他二进制文件开启一个mIRC聊天客户端, 但会隐藏原mIRC窗口。通过执行mIRC 脚本连接到指定的服务器频道上，等待恶意命令。这类bot程序由于捆绑了mIRC程序，所以体积会比较大，往往会大于1MB。
按Botnet的控制方式分类
（1）IRC Botnet。是指控制和通信方式为利用IRC协议的Botnet，形成这类Botnet的主要bot程序有spybot、GTbot和SDbot，目前绝大多数Botnet属于这一类别。
（2）AOL Botnet。与IRC Bot类似，AOL为美国在线提供的一种即时通信服务，这类Botnet是依托这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager实现对Bot的控制。
（3）P2P Botnet。这类Botnet中使用的bot程序本身包含了P2P的客户端，可以连入采用了Gnutella技术（一种开放源码的文件共享技术）的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些bot被查杀时，并不会影响到Botnet的生存，所以这类的Botnet具有不存在单点失效但实现相对复杂的特点。Agobot和Phatbot采用了P2P的方式。
Botnet的危害
Botnet构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用Botnet发动的攻击行为。随着将来出现各种新的攻击类型，Botnet还可能被用来发起新的未知攻击。
（1）拒绝服务攻击。使用Botnet发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。由于Botnet可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。
（2）发送垃圾邮件。一些bots会设立sockv4、v5 代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。
（3）窃取秘密。Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。
（4）滥用资源。攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出，Botnet无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少Botnet的危害。
Botnet的研究现状
对于Botnet的研究是最近几年才逐渐开始的，从反病毒公司到学术研究机构都做了相关的研究工作。最先研究和应对Botnet的是反病毒厂商。它们从bot程序的恶意性出发，将其视为一种由后门工具、蠕虫、Spyware 等技术结合的恶意软件而归入了病毒的查杀范围。着名的各大反病毒厂商都将几个重要的bot程序特征码写入到病毒库中。赛门铁克从2004 年开始，在其每半年发布一次的安全趋势分析报告中，以单独的章节给出对Botnet活动的观测结果。卡巴斯基也在恶意软件趋势分析报告中指出，僵尸程序的盛行是2004年病毒领域最重大的变化。
学术界在2003年开始关注Botnet的发展。国际上的一些蜜网项目组和蜜网研究联盟的一些成员使用蜜网分析技术对Botnet的活动进行深入跟踪和分析，如Azusa Pacific大学的Bill McCarty、法国蜜网项目组的Richard Clarke、华盛顿大学Dave Dittrich和德国蜜网项目组。特别是德国蜜网项目组在2004年11月到2005 年1月通过部署Win32蜜罐机发现并对近100个Botnet进行了跟踪，并发布了Botnet跟踪的技术报告。
Botnet的一个主要威胁是作为攻击平台对指定的目标发起DDos（分布式拒绝服务攻击）攻击，所以DDos的研究人员同样也做了对Botnet的研究工作。由国外DDosVax组织的“Detecting Bots in Internet Relay Chat Systems”项目中，分析了基于IRC协议的bot程序的行为特征，在网络流量中择选出对应关系，从而检测出Botnet的存在。该组织的这个研究方法通过在plantlab中搭建一个Botnet的实验环境来进行测试，通过对得到的数据进行统计分析，可以有效验证关于Botnet特征流量的分析结果，但存在着一定的误报率。
国内在2005年时开始对Botnet有初步的研究工作。北京大学计算机科学技术研究所在2005年1月开始实施用蜜网跟踪Botnet的项目，对收集到的恶意软件样本，采用了沙箱、蜜网这两种各有优势的技术对其进行分析，确认其是否为僵尸程序，并对僵尸程序所要连接的Botnet控制信道的信息进行提取，最终获得了60,000 多个僵尸程序样本分析报告，并对其中500多个仍然活跃的Botnet进行跟踪，统计出所属国分布、规模分布等信息。
国家应急响应中心通过863－917网络安全监测平台，在2005年共监测到的节点大于1000个的Botnet规模与数量统计如图4所示。
这些数据和活动情况都说明，我国国内网上的Botnet的威胁比较严重，需要引起网络用户的高度重视。
CCERT恶意代码研究项目组在2005年7月开始对Botnet的研究工作，通过对大量已经掌握的Botnet的实际跟踪与深入分析，对基于IRC协议的Botnet的服务器端的特征进行了分类提取，形成对于Botnet 服务器端的判断规则，从而可以对网络中的IRC Server进行性质辨别。设计并初步实现了Botnet自动识别系统，应用于中国教育和科研计算机网络环境中。
可以看出，从国内到国外，自2004年以来对Botnet的研究越来越多地受到网络安全研究人员的重视，研究工作已经大大加强。但是这些工作还远远不够，在检测和处置Botnet方面还有许多工作要做。
Botnet的研究方法
对于目前比较流行的基于IRC协议的Botnet的研究方法，主要使用蜜网技术、网络流量研究以及IRC Server识别技术。
（1）使用蜜网技术。蜜网技术是从bot程序出发的，可以深入跟踪和分析Botnet的性质和特征。主要的研究过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪Botnet和深入分析Botnet的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到Botnet中去，当确认其确实为Botnet后，可以对该Botnet采取相应的措施。
（2）网络流量研究。网络流量的研究思路是通过分析基于IRC协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说就是僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。
研究对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对Botnet的判断。
（3）IRC Server识别技术的研究。通过登录大量实际的基于IRC协议的Botnet的服务器端，可以看到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了IRC服务器的部分属性。同时，通过对bot源代码的分析看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结，就形成了可以用来判断基于IRC协议的Botnet的服务器端的规则，这样就可以直接确定出Botnet的位置及其规模、分布等性质，为下一步采取应对措施提供有力的定位支持。
以上三种研究方法都是针对基于IRC协议的Botnet。对于P2P结构的Botnet的研究较少，原因是由于其实现比较复杂，在网络中并不占有太大比例，同时也因为其在控制方式上的分布性使得对它的研究比较困难。但随着Botnet的发展，对于P2P结构的Botnet的研究也将进一步深入。

C. 僵尸网络的4个发展阶段 如何防御僵尸网络（一）

因为，如今每一个僵尸网络都似乎在用最高级的技术并且使用高质量的软件流程，挑衅着当前入侵检测系统(IPS)的防御策略。 因此，我们在这篇文章中先重点介绍一下僵尸网络和隐蔽软件的技术状况及其产业发展情况。 一个僵尸网络是一个被恶意软件控制的分布式计算机或者系统的集合。因此，这些计算机也经常被称作僵尸电脑。僵尸电脑由一个僵尸牧人(bot-herder)通过一台或者多台指挥与控制服务器控制或者指挥。最常见的情况是僵尸牧人使用指挥与控制服务器控制僵尸电脑，通过IRC(互联网中继聊天)或者P2P等网络通讯实施控制。僵尸电脑软件一般是通过恶意软件、蠕虫、木马程序或者其它后门渠道安装的。 各个机构报告的僵尸电脑规模与增长的统计数据有很大差别。据安全公司赛门铁克的“Threat Horizon Report”(威胁视野报告)称，每天能够检测到5.5万个新的僵尸网络节点。而《今日美国》报纸2008年的一篇报告称，平均每天连接到互联网的8亿台电脑中有40%的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。《今日美国》还报道称，2008年的僵尸网络威胁比2007年增加了10倍。许多消息来源预测称，最着名的僵尸网络Storm、Kraken和Conficker已经感染了大量的计算机。这些数字包括Storm(风暴)感染了8.5万台计算机，Kraken感染了49.5万台计算机，Conficker感染了900万台计算机。 地下经济与僵尸网络的发展 同任何由金钱驱动的市场一样，僵尸网络开发者就像经营一个合法的生意那样工作：他们利用合作、贸易和开发流程以及质量等好处。最近，僵尸网络已经开始使用生命周期管理工具、同行审查、面向对象和模块化等通用的软件质量做法。僵尸网络开发者正在销售其软件和感染载体，提供说明书和技术支持，并且收集用户的反馈意见和要求。 在僵尸网络团体中，一致的经济目标是推动技术创新、合作和风险教育。在线易货贸易和市场网站已经开始为这种地下经济团体服务，向僵尸牧人提供更好的易货贸易和交易方式、在线技术支持以及租借和租赁等服务。这种合作已经催生了一个非常成熟的经济。这里可以销售和购买僵尸网络节点或者僵尸网络群。僵尸牧人在对一个实体展开攻击的时候会在这里寻求合作。僵尸网络可以被租借用于发送垃圾邮件。窃取的身份证和账户可以在这个地下市场的参与者之间交换和出售。 僵尸网络的生命周期 僵尸网络的生命周期一般包括四个阶段：传播、感染、指挥与控制和攻击，见图1。图1 僵尸网络的生命周期(来源：英特尔公司，2009年) 传播阶段。在许多僵尸网络的传播阶段，僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播，如垃圾邮件、网络蠕虫、以及在用户不知情的情况下通过网络下载恶意软件。由于传播阶段的目标主要是感染系统，僵尸牧人或者采取引诱用户安装恶意软件负载，或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。 感染阶段。一旦安装到系统，这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸网络使用当前病毒使用的许多标准的恶意软件技术。多形性和“rootkitting”是两种最常用的技术。 ·通过多形性，恶意软件每一次进行新的感染时都会改变代码，从而使杀毒软件产品很难检测到它。而且，僵尸网络的开发者目前还使用软件开发人员用来防止软件盗版和反向工程的增强代码的技术。这些技术包括代码迷惑、加密和进一步隐藏恶意代码真实性质的编码以及让杀毒软件厂商更难分析的编码。许多迹象表明，恶意软件和僵尸网络开发者正在开始研究高级的“rootkitting”技术，以便更深地隐藏恶意软件。 ·通过利用“rootkitting”技术，也就是隐蔽地安装恶意软件的技术，每一次系统启动的时候这个名为“rootkit”的恶意软件都会启动。rootkit是很难发现的，因为这种恶意软件在电脑的操作系完全启动之前就启动了。rootkit技术的进步包括超劫持和基于虚拟化的rootkit以及发现和利用新目标以便注入固件和BIOS等代码。 虚拟机监视器(VMM)或者在一个操作系统下面运行的管理程序是僵尸网络和恶意软开发者控制计算机系统的一个非常有用的手段。超劫持包括安装一个能够完全控制这个系统的恶意管理程序。普通的安全措施很难对付这种管理程序，因为操作系统不知道这个机器已经被攻破了，杀毒软件和本地防火墙也不能发现它们。 僵尸网络开发者目前使用的另一个技术是主动攻击杀毒软件、本地防火墙以及入侵防御与检测软件(IPS/ IDS)和服务。僵尸网络攻击杀毒软件和防火墙软件使用的技术包括杀死安全软件流程或者阻止其更新能力等手段。下面是我们了解的僵尸网络封锁安全软件更新的两个例子： ·一个僵尸网络改变了被感染的系统的本地DNS设置以阻止杀毒软件访问其更新网站。 ·僵尸网络主动检查安全软件连接其更新网站的企图并且封锁这个连接。 这些封锁安全软件更新的技术阻止安全软件获得其厂商提供的更新的恶意软件特征，或者阻止安全软件向中心厂商服务器报告异常情况和获得更新，从而阻止安全软件发布对抗僵尸网络的新版本程序。 僵尸网络开发者使用的另一种感染技术是把感染的时间定在安全软件实施恶意软件检测服务扫描的间隔时间里。僵尸电脑程序缓慢地感染一个系统不会引起入侵检测软件服务发出报警。 其它高级的僵尸电脑程序能够欺骗IDS/IPS系统和杀毒软件执行的本地和远程扫描。在这种情况下，这个僵尸网络的恶意软件会向进行扫描的杀毒软件展示虚假的内存镜像或者虚假的硬件镜像，或者这个软件通过丢弃数据包中断安全漏洞扫描，欺骗网络的响应或者重新定向来自安全漏洞扫描器的通讯。 指挥与控制。僵尸网络指挥与控制服务器使用若干协议中的一个协议进行通讯，目前最常用的一个协议是IRC。然而，最近开始出现一种使用增强的或者保护的协议的趋势。例如，Storm(风暴)僵尸网络使用加密的P2P协议(eDonkey/Overnet)。指挥与控制技术的进步对于僵尸牧人防止其僵尸网络被发现和关闭是非常重要的。要达到这个目的，僵尸网络已经开始利用在网络上常用的HTTP和P2P等协议，从而使僵尸网络更难发现。HTTP协议对于僵尸网络是特别有利的，因为目前来自系统的HTTP通讯量非常大并且具有多种类型的通讯。此外，僵尸网络软件还能够利用本地浏览器软件的许多功能和通讯栈，利用HTTP协议穿过防火墙的能力。其它即将出现的技术还包括使用VoiP、Web服务和HTTP通讯栈中的脚本等技术。另一个高级的技术是使用直接发送的方式，就是利用用户能够匿名发布信息的互联网论坛或者新闻组等网站传播僵尸网络软件。僵尸网络节点能够在这种网站上发布信息。僵尸牧人能够匿名地查看自己的节点发送的信息并且发布指令。然后，这个僵尸网络节点能够查询这个网站了解新的指令和进行其它基于消息的指挥与控制通讯。 现代僵尸网络发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸网络节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。具有可重新编程能力的僵尸网络在这种地下经济中有很高的价值，因为这些僵尸网络能够随着发展而扩大以执行新的和高级的攻击和隐蔽的任务。 如上所述，隐蔽是僵尸网络技术的一个关键的功能。Kracken和Conficker僵尸网络都攻击和关闭安装在系统中的杀毒软件。其它僵尸网络故意通过客户化制定感染的时机和通讯的频繁程度以避开门限检测软件，防止本地的和网络的安全产品发现其踪迹。算法技术是下一种方式。僵尸网络开发者计划利用这种技术避开检测。这种技术包括使用隐蔽的通讯频道和基于速记式加密的信息，如模仿和嵌入内容(也就是嵌入在图像、流媒体、VoiP等内容中的消息)。 攻击阶段。僵尸网络生命周期的最后阶段是攻击阶段。在许多情况下，这种攻击只是简单地发送携带感染病毒的垃圾邮件。当攻击成功的时候，这个僵尸网络本身的规模将扩大。僵尸网络还经常用于发送垃圾邮件，作为实物交易和租借交易的一部分。这样，钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸网络销售信息和服务。僵尸网络还用来实施大规模拒绝服务攻击，攻击的目标包括政府和企业系统，甚至还攻击其它僵尸网络。一些新的僵尸网络能够升级到使用各种黑客工具和故障注入器等技术进一步攻击它们已经渗透进去的网络。例如，Asprox僵尸网络包含一种SQL注入攻击工具，另一种僵尸网络包括一个蛮力SSH攻击引擎。除了实施远程攻击之外，僵尸网络还能够实施持续的本地攻击，窃取被感染的系统及其用户的身份证和账户。

D. 熊猫烧香是怎么回事该怎么解决

晨报讯（记者 武新）昨天，记者从北京江民公司获悉，虽然“熊猫烧香”病毒的作者在年前已经被抓获，但是由于其已经将病毒源代码出售外泄，已经被不法分子所利用，演变出更多的“熊猫烧香”新变种，致使“熊猫烧香”病毒仍然在网上继续流传。

江民公司的张女士告诉记者，在春节期间，江民公司的客服人员接到不少关于“熊猫烧香”病毒的求助电话，其中一些电脑用户是在春节期间感染这种病毒的。目前，除了此前发现的700多个“熊猫烧香”病毒变种外，又出现了新的病毒变种。江民公司仍然按照公安部门的要求继续检测“熊猫烧香”病毒的动向。

特别提示

江民反病毒专家提醒广大用户，在春节后上班的头几天，要注意及时升级杀毒软件，更新杀毒软件病毒库，同时启动杀毒软件的实时监控功能，及时安装系统补丁，企业局域网应进行全网查杀病毒。“熊猫烧香病毒最新变种也可以通过江民公司的升级杀毒软件进行剿杀。”

负责侦办“熊猫烧香”病毒案的湖北省仙桃市公安局副局长叶铁官说，“熊猫烧香”病毒制造者李俊已编写出专杀程序，公安部门正组织专家对这一程序进行鉴定，预计一周内可在互联网上公布，供网民免费下载。据介绍，李俊向警方表示，他最初编制病毒是应网友要求“编得好玩”，后来见被感染的计算机数量众多，网上舆论愤怒声讨，“事情闹大了”，他便编制专杀程序，想把病毒都杀掉，但编好后不敢挂在网上，担心警方以此为线索找到他。

仙桃市公安局网监部门利用李俊的专杀程序进行了初步试验，结果表明其程序完全能杀尽“熊猫烧香”病毒及其变种。

侦破纪实

网上追踪“武汉男孩”揪出“熊猫烧香”案主

求职失败发泄不满“编毒”牟利

2006年12月，一种神秘的新型病毒开始在互联网上大规模爆发，许多企业局域网、网吧和个人电脑遭到重创。每台染上病毒的电脑，屏幕上都会出现一排排熊猫持香作揖图案。反病毒工程师们将其命名为“尼姆亚”。至2006年12月中旬，“熊猫烧香”进入急速变种期。今年1月7日，国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。2007年1月9日，湖北仙桃市公安局接报，该市“江汉热线”不幸感染“熊猫烧香”病毒而致网络瘫痪。“熊猫”正式进入警方视野。盯上“武汉男孩”查幕后1月中旬，湖北省公安厅网监总队根据公安部公共信息网络安全监察局的部署，开始对“熊猫烧香”制作者开展调查。据调查，病毒作者在病毒中加入了代码“WHBOY”（武汉男孩）。因此，警方猜测病毒作者可能是一网名为“武汉男孩”的人。经初步核实，仙桃市网监大队1月24日正式立案，并命名其为“1·22”制作传播计算机病毒案。公安部和湖北省公安厅对此案高度重视，要求网监部门不惜一切代价拿下此案。1月31日下午，省公安厅抽调武汉、宜昌、荆门等地6位网监精英和专门从国家计算机病毒应急处理中心赶来的1位专家，以及仙桃市网监大队全队人马齐聚省公安厅，对“1·22”案进行“会诊”，同时成立联合工作专班。在省公安厅网监总队统一部署下，仙桃市网警运用多种网络技术手段和侦查手段，获取了确定犯罪嫌疑人“武汉男孩”的身份信息。第1页try showAd(3,0,1); catch(ex)

准备潜逃被当场抓获

“武汉男孩”又名“小俊”，网名为“DAVE”。根据“小俊”上网账户资料，警方将目标锁定一个叫罗某的人，此人居住在武昌关山某居民楼。

警方现场发现，此地为一出租屋，罗某租住在第二层一户三居室。现住有罗某、其女友以及一个被其称为“师傅”的人。根据房主的描述和警方掌握的嫌疑人照片，专班人员确定罗某的师傅就是“小俊”。

省公安厅网监总队紧急召开专案会，制定了周密的抓捕方案和审讯方案。

当日下午4时左右，警方在出租屋抓获了“小俊”的弟弟李明。据其交代，“小俊”真名叫李俊。

下午5时左右，警方在侦查中获悉，犯罪嫌疑人要潜逃外地。省公安厅网监总队立即向各个进出口岸发出协查通报。晚7时左右，回出租屋取东西准备潜逃的李俊被当场抓获。民警从李俊身上找到了一张武昌京都大厦宾馆的门卡。专班人员赶往该宾馆，当晚将其同伙雷磊抓获归案。

2003年开始“编毒”

李俊今年25岁，是武汉市新洲区阳逻街人，中专毕业后参加过网络技术职业培训班，曾在某电脑城工作。同为25岁的同伙雷磊是其同乡兼同学，两人关系较好。

2004年毕业后，李俊曾多次到北京、广州等地寻找IT方面的工作，尤其钟情于网络安全公司，但均未成功。为发泄不满，同时抱着赚钱的目的，李俊开始编写病毒，2003年曾编写过“武汉男生”病毒，2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。

李俊交代，他于2006年10月16日编写了“熊猫烧香”病毒。这是一种超强病毒，感染病毒的电脑会在硬盘的所有网页文件上附加病毒，天涯社区等门户网站就遭受过它的袭击。

除了带有病毒的所有特性外，“熊猫烧香”还具有强烈的商业目的：可以暗中盗取用户游戏账号、QQ账号，以供出售牟利；还可以控制受感染的电脑，将其变为“网络僵尸”，暗中访问一些按访问流量付费的网站，从而获利。部分变种中还含有盗号木马（可窃取用户密码和信息的程序）。

多人改写构建“僵尸网络”

李俊以自己出售和由他人代卖的方式，每次要价500元—1000元不等，将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，该病毒的各种变种在网上迅速大面积蔓延。据估算，被“熊猫烧香”病毒控制的“僵尸网络”数以百万计，其访问按访问流量付费的网站一年累计可获利上千万元。

抓获李俊和雷磊后，警方乘胜追击，又抓获王磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）、王哲（男，24岁，湖北仙桃人）等4名改写、传播“熊猫烧香”病毒的嫌疑人。这些人通过改写、传播“熊猫烧香”病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号等方式非法牟利。文/沈公宣李亦中

图：2月14日，“熊猫烧香”病毒制造者李俊被带出监室接受审讯 新华社发

监仓自白

没想到后果严重，编出杀毒程序不敢公开

他今年25岁中专毕业

14日下午，当记者在湖北省仙桃市第一看守所与“熊猫烧香”病毒制造者李俊面对面时，感觉他相貌平平，表情木讷，看不出有何过人之处。

李俊今年25岁，武汉市新洲区人，中专毕业。“我是1999年开始接触电脑的，学习电脑知识也主要是靠泡网吧。”李俊垂着头低声说，“最初我设计病毒只是好奇和好玩，后来有网友找我买木马，我看靠这个能赚钱，就……”

警方介绍，去年9月，李俊应网友之邀制作“熊猫烧香”病毒，从去年12月初开始，这一病毒在互联网上蔓延肆虐，泛滥成灾，引起一片恐慌，一些损失惨重的企业和网民还发出重金悬赏追查病毒制造者的“通缉令”。

杀毒软件上留下一句话

身高1．75米的李俊剃着光头，身穿黄色马甲，略显颓废。他说：“开始，我也预计不出会有什么后果，没想到后果这么严重，事情闹得这么大，慢慢就害怕起来，所以后来就编制杀毒程序，想把病毒都杀掉，但编好后不敢挂在网上，怕警察找到我。”

据警方介绍，李俊在杀毒软件上留了一句话：“我真的很抱歉，给大家造成了负面影响与损失。”

曾应聘广东IT企业

李俊中专毕业后，曾到广东等地的IT企业应聘，但一直没能如愿。后来，李俊到武汉市电脑城打工，月工资约1000元。

“熊猫烧香”病毒问世后，浙江一位病毒贩卖传播者先是每天给李俊在银行账户上汇3500元，后来每天汇6000元，直至被抓捕前，总计不到一个月时间，他就牟利十几万元。李俊把钱存在银行卡里，很少出去玩。办案民警告诉记者，他的钱主要用来到外地见网友。·据新华社电·

图：李俊在民警的监督下试验“熊猫烧香”病毒专杀程序 新华社发

评论

黑客崇拜之忧

“我国破获的国内首例制作计算机病毒的大案”侦破引人瞩目。“国内首例”的另一层含意，其实也暴露出刑事司法在打击网络犯罪上的尴尬。10年前的《刑法》修订，以三个条款明确规定了计算机犯罪，其中第286条就有“故意制作、传播计算机病毒”的具体规制。

10年来，我们几乎没有看到这一罪名进入公共媒体的视野，其原因，并非因为我们没有故意制作、传播计算机病毒的案例———有数据显示，去年全球发现的计算机病毒产自中国的几乎占了三分之一，其中不乏危害性大的恶性传播事件。然而这些业已发生的犯罪行为却要么没能立案，要么无法侦结。

以涉嫌制作“熊猫烧香”的李俊为例，这位25岁的“武汉男生”自2003年起，先后编写过“武汉男生”病毒、“武汉男生2005”病毒。如果李俊在四年前就能被警示，甚至被追究法律责任，也许就不会有今天的“熊猫烧香”。正是多次制作并传播病毒的行为长期未得到司法的矫正，才造成了李俊于此问题上的法盲心态。

在今天的网络生活里，有着和李俊相似心态的网络少年应当不在少数。在某门户网站对如何惩治李俊的网络调查中，同意让李戴罪立功的网友与赞同依法严惩的网友相差并不多。各类新闻评论、跟帖及回复中，不乏有将李称为“网络奇才”、“黑客英雄”、“武汉大侠”者。计算机犯罪高度智能化以及低龄化的特征，已经使许多犯罪者非但不被谴责，反而被顶礼膜拜。这样的反法治思潮露头，与司法的迟到不无关系。（新京）

说法

有关法律专家称，“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的行为。根据《刑法》规定，犯此罪后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑

E. 电脑中了僵尸网络怎么办

僵尸网络解决方案

好消息是在威胁不断增长时，防御力量也在快速反应。如果是一家大型企业的负责人，可以使用一些商业产品或开源产品，来对付这些威胁。
首先是饥启吵FireEye的产品，它可以给出任何攻击的清晰视图，而无需求助于任何签名。FireEye的虚拟烂侍机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点，阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动，然后轻松地重新构建被感染的系统。在网络访问不太至关重要时，可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机，而无需使用签名技术或基于行为的技术。此外，SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。
着名的大型公司，如谷歌等，不太可能被僵尸网络击垮。其原因很简单，它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络，而这几乎是不太可能旁携的，因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击，如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。
不过，由于DDoS攻击活动太容易被发现而且强度大，防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

F. 僵尸网络的网络特点

是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。僵尸病毒被人放到计算机时机器会滴滴的响上2秒
僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。
对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一闷梁脊点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。
专家表示，每周平均新蚂渗增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的主人根本不晓得自己已被选中，任人摆布。
僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。
网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。” Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中，有一些服务是重复出现的，如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年，在IRC 聊天网络中出现了Bot 工具——Eggdrop，这是第一个bot程序，能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的，是出于服务的目的，然而这个设计思路却为黑客所利用，他们编写出了带有恶意的Bot 工具，开始对大量的受害主机进行控制，利用他们的资源以达到恶意目标。
20世纪90年代末，随着分布式拒绝服务攻击渣兆概念的成熟，出现了大量分布式拒绝服务攻击工具如TFN、TFN2K和Trinoo，攻击者利用这些工具控制大量的被感染主机，发动分布式拒绝服务攻击。而这些被控主机从一定意义上来说已经具有了Botnet的雏形。
1999 年，在第八届DEFCON 年会上发布的SubSeven 2.1 版开始使用IRC 协议构建攻击者对僵尸主机的控制信道，也成为第一个真正意义上的bot程序。随后基于IRC协议的bot程序的大量出现，如GTBot、Sdbot 等，使得基于IRC协议的Botnet成为主流。
2003 年之后，随着蠕虫技术的不断成熟，bot的传播开始使用蠕虫的主动传播技术，从而能够快速构建大规模的Botnet。着名的有2004年爆发的Agobot/Gaobot 和rBot/Spybot。同年出现的Phatbot 则在Agobot 的基础上，开始独立使用P2P 结构构建控制信道。
从良性bot的出现到恶意bot的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC协议构成控制信道到构建复杂多变P2P结构的控制模式，Botnet逐渐发展成规模庞大、功能多样、不易检测的恶意网络，给当前的网络安全带来了不容忽视的威胁。

G. （二）大连接：社交网络的形成与行为

主要内容：三元闭包关系的强度及其与网络结构的关系

一、图论

1、图：包含一组元素以及他们之间连接关系的集合

（1）节点（vertex，node，point）

边（链接，连接，关系，联系；edge，link，tie）

邻居

（2）常用的图：合作图、即时通信图、信息链接图

（3）有向图（节点、有向边）、无向图

2、图的同构：画法不同，但本质上（结构上）相同

节点的连接关系比节点的位置更重要。

【题目】下面哪些图是同构的？

【题目】

3、路径、最短路径、距离、圈

①路径：一个节点序列的集合，且序列中任意两个相邻节点都有一条边相连。

两点之间可有多条路径。

路径念携的长度：一条路径所包含的边数

②最短路径-->又叫两点之间的距离

③距离-->最短路径的长度

【题目】下图中节点A和节点B之间的距离是多少？

④圈

环状结构；至少三条边，起点与终点相同，所有节点均不重复。

部署网络的一个原则：要求每条边都至少在一个圈里（为了保证连通性，带来冗余）。eg：ARPANET的每条边都在圈里

4、连通性

（1）连通图：一个图中任意两点间有路径相通；每条边都在一个圈里。

（2）非连通图

（3）连通分量

若图G的节点子集满足：①连通性：子集中任意两个节点间均有路径相连；②独立性：该子集不是其他满足条件1的子集的一部分；则称G的节点子集是连通分量

【题目】下面指出的哪些节点集合不对应这个6节点图的一个连通分量？

（4）超大连通分量（giant component）

非形式化地对于包含其中大部分节点的连通分量的称谓。

Q：全世界友型游谊图是否为连通图？A：即使本身不具备联通性，其中的连通分量也是巨大的。

5、距离与广度优先搜索法

深度搜索和广度搜索的算法复杂度相同，但是深度搜索用的多，因为广度搜索对存储的要求高，一层中节点太多。

广度优先：从一个节点开始，沿着相连的边，将图的节点一一列举。

二、弱联系和强联系

1、三元闭包（triadic closure）

在一个社交圈内，如果两个互不认识的人有了一个共同的朋友，则他们将来成为朋友的可能性会提高。

三元闭包是社交网络演化的基本结构性原因。

三语闭包产生的原因：机会、信任、动机

三元闭包原理扩展：

①“量”的方面

两个人的共同朋友越多，他们成为朋友的可能性越高

②“质”的方面

两个人与共同朋友的关系越密切，则他们成为朋友的可能性越高。

2、聚卜高销集系数

节点A的聚集系数：A的任意两个朋友彼此也是朋友的概率

总对数=节点的度*（节点度-1）/2

聚集系数就是三元闭包在一个节点上的属性测度，表示“凝聚力”的大小

聚集系数随时间的变化体现了三元闭包对网络结构的影响趋势。节点附近的三元闭包过程越强，其聚集系数就越大。

【题目】

3、三元闭包原理的大数据验证

（1）三元闭包原理的表达（定量）

最初表述：如果两个互不认识的人有了一个共用朋友，则他们在未来成为朋友的可能性增加。

转变成：两个互不认识的人的共同朋友数越多，则他俩在未来成为朋友的可能性越大。

（2）验证数据：电子邮件网络≈社会网络

（3）考察网络的演化：考察两个相继的网络快照

考察三元闭包现象的测度：当前共同朋友数与后来成为朋友的概率关系。

得到一个图-->找不连接的边-->计算不连接节点他们的共同朋友-->过一定的时间再做。

【题目】

4、弱联系的力量

（1）桥：一张图中，已知A和B相连，若去掉连接A和B的边，会导致A和B属于不同的连通分量，则该边称为桥。（断开就不通）

（2）捷径（local bridge）：若边A-B的端点A和B没有共同朋友，则称边A-B为捷径。（断开距离>2）

（3）跨度：没有捷径时的距离。

如果A和B的跨度>2，则A和B之间的边是捷径。

跨度很大的捷径的作用类似于桥。

通过捷径联系的人更可能为你提供工作信息。（找工作问题的第一个解释）

5、强三元闭包

捷径很大程度上可能是弱联系

考虑社交网络中关系的强度-->边的属性

边属性的一种测度：强-弱（强度可以使连续变量）

（1）强三元闭包原理（架设）：如果A-B和A-C之间的关系为强联系，则B-C之间形成边的可能性应该很高

若A有两个强联系邻居B和C，但B-C之间没有任何关系（s或w，即strengh或weak），则称节点A违背了强三元闭包原理。反之，则称A符合强三元闭包原理。

（2）在一定条件下：捷径-->弱联系

若节点A符合强三元闭包，且至少有两个强联系邻居，则与A相连的任何捷径必定是弱联系。

（假设A-B是s，而A有个强联系邻居C，即A-C为s，那么根据强三元闭包，一段时间后B-C会有联系，A-B的跨度为2，与捷径的定义矛盾）

连接关系：强联系、弱联系

结构关系：捷径、非捷径

三元闭包将连接关系和结构关系连接起来了。

（两人的关系强度如何，与两人是否有共同好友相关，但不等价）捷径意味着没有共同朋友，强度为“弱”。

（3）统计推论：共同朋友越多，关系强度越高

6、邻里重叠度

（1）社交网络中，桥、捷径一般不存在-->邻里重叠度（Neighborhood Overlap）

①捷径是邻里重叠度为0的边

②可以把邻里重叠地很低的边粗略的视为捷径

③一种很好的从二到多的数学抽象的例子

目标3：弱联系起到将包含大量强联系的紧密社区连接起来的作用。（方法：从强度最强的关系边开始，按强度的降序逐渐删边；从强度最弱的关系边，按强度的升序，逐渐删除边。发现：从弱的开始删，网络崩的快）

（2）社交网络实验

Facebook的三种连接：相互连接、单向连接、保持关系。

社交网络中好友数目：尽管一个用户可声明关注大量（几百）其，但实际关注的大约在50以下，而真正有联系的则更少，在20以下。

社会网络是用弱系连起来的若干紧密群体。

7、结构洞

（1）嵌入性：一条边的嵌入性为其两个端点共同的邻居数

①嵌入性就是邻里叠度的分子

②捷径就是嵌入性0的边

③嵌入性越大的边相互间的信任就越强；嵌入性越强的边社会资本也越多

节点A：

①聚集系数较高（7/10）

②A关联的边多数具有较大的嵌入性

③处于一个相对比较诚实可信的群体

节点B：

①聚集数较（2/10）

②他关联的边多数具有较小的嵌入性

③结构洞： 两个没有紧密联系的节点集合之间的“空地”

节点B具有的优势：

①信息优势： 可以较早地获得网络中多个互不交叉部分的信息

②创新优势： 处在捷径的一端对创造性有放大功能

③权力优势：所处位置具有某种社交“把关”的机会

启示：有效破坏网络的连通性（以最快最小的代价）：破坏处于结构洞位置的节点或捷径（关键连接）

（2）数字大炮（一种DDoS）（攻的是路由器的BGP协议）

边界网关协议（BGP）

主要用于两个自治系统（AS）间交换路由信息

使用矢量路径机制，路由信息格式：<目的站， AS有序列表（由AS构成的路径） >

UPDATE报文：（发生时机：发生变化时，发送UPDATE报文）

“数字大炮”攻击示意：

攻击的基本原理：

数字大炮的攻击步骤：

① 构建僵尸网络（可预先构建）

② 启动僵尸网络中的计算机之间流量发送，建立它们之间的“路径地图” （拓扑发现），找到众多路共用的连接（关键链路）（可预先构建）

③ 由僵尸网络对关键链路两端路由器BGP协议发动ZMW攻击，使得关键链路处于断开状态

④ 附近路由器会对此作出回应，发送BGP更新消息

⑤ 很短的时间之后，这两个被切断的路由器可能会重新连接，并发送BGP更新信息

⑥ 不断重复（3） ~（5），最后互联网上每一台路由器都会接收到超出自身处理能力的更新消息，从而导致互联网瘫痪

数字大炮的攻击效果：

选好节点，靠网络自身的扩散功能。实验不错，但是实际中很难。这几年很少用，DDoS多用放大协议，即受到的包不大，但是会回过来一个很大的包。

（3）如何找到重要的边

①桥，捷径，邻里叠度很低的边，……

②许多节点之间的最短路径都要经过它

8、介数

节点介数定义为网络中所有最短路径中经过该节点的路径的数目占最短路径总数的比例。

边介数定义为网络中所有最短路径中经过该边的路径的数目占最短路径总数的比例。

（本课中，后面说的介数，都是指最短路径数）

（1）介数：一条边承载的一种“流量”

①两个节点A和B，设想1个单位的流量从A到B，均分到它们之间所有的最短路径上

②K条路径，则每条路径上分得1/k，

③若一条边被m条路径共用，则在它面流过m/k

④所有节点对都考虑后，一条边上的累记流量就是它的介数（betweenness）

（2）破坏连通性

①Girvan-Neman方法： 逐步删除高介数边

（3）介数计算的一种方法-->广度搜索

路径的数目从上往下算

下图：因为A给每个人都发了一个单位流量（可以想数据包），所以每个节点都会留下1个单位流量

介数：很适合描述实际网络中，承载流量的边的信息

三、回顾总结

H. 如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电，以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁（APT）的犯罪团伙，以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全（例如应用安全和狭义的网络安全）至关重要。

安全应该成为整个企业的首要考虑因素，且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白，所有的系统都是按照一定的安全标准建立起来的，且员工都需要经过适当的培训。例如，所有代码都可能存在漏洞，其中一些漏洞还是关键的安全缺陷。毕竟，开发者也只是普通人而已难免出错。

安全培训

人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码，培训操作人员优先考虑强大的安全状况，培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之，网络安全始于意识。

然而，即便是有强大的网络安全控制措施，所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节，但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”，很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地，企业也有责任执行维护网络安全的基本要求，例如保持强大的身份验证实践，以及不将敏感数据存储在可以公开访问的地方。

然而，一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言，攻击者入侵系统的方式或“向量”数正在不断扩张。例如，随着信息和现实世界的日益融合，犯罪分子和国家间谍组织正在威胁物理网络系统的ICA，如汽车、发电厂、医疗设备，甚至你的物联网冰箱。同样地，云计算的普及应用趋势，自带设备办公（BYOD）以及物联网（IoT）的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。

网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》（GDPR）这样严格的监管框架还要求赋予新的角色，以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。

如此一来，对于网络安全专业人才的需求开始进一步增长，招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是，对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。

网络安全类型

网络安全的范围非常广，但其核心领域主要如下所述，对于这些核心领域任何企业都需要予以高度的重视，将其考虑到自身的网络安全战略之中：

1.关键基础设施

关键基础设施包括社会所依赖的物理网络系统，包括电网、净水系统、交通信号灯以及医院系统等。例如，发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查，以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施，在遭遇网络攻击后会对他们自身造成的影响进行评估，然后制定应急计划。

2.网络安全（狭义）

网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如，访问控制（如额外登录）对于安全而言可能是必要的，但它同时也会降低生产力。

用于监控网络安全的工具会生成大量的数据，但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控，安全团队越来越多地使用机器学习来标记异常流量，并实时生成威胁警告。

3.云安全

越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如，2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具，以帮助企业用户能够更好地保护他们的数据，但是需要提醒大家的是：对于网络安全而言，迁移到云端并不是执行尽职调查的灵丹妙药。

4.应用安全

应用程序安全（AppSec），尤其是Web应用程序安全已经成为最薄弱的攻击技术点，但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始，并通过模糊和渗透测试来增强。

应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上，考虑到威胁的扩散，这个关注点可能会发生变化。

5.物联网（IoT）安全

物联网指的是各种关键和非关键的物理网络系统，例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态，且几乎不提供安全补丁，这样一来不仅会威胁到用户，还会威胁到互联网上的其他人，因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。

网络威胁类型

常见的网络威胁主要包括以下三类：

保密性攻击

很多网络攻击都是从窃取或复制目标的个人信息开始的，包括各种各样的犯罪攻击活动，如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分，试图获取政治、军事或经济利益方面的机密信息。

完整性攻击

一般来说，完整性攻击是为了破坏、损坏、摧毁信息或系统，以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏，也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。

可用性攻击

阻止目标访问数据是如今勒索软件和拒绝服务（DoS）攻击最常见的形式。勒索软件一般会加密目标设备的数据，并索要赎金进行解密。拒绝服务（DoS）攻击（通常以分布式拒绝服务攻击的形式）向目标发送大量的请求占用网络资源，使网络资源不可用。

这些攻击的实现方式：

1.社会工程学

如果攻击者能够直接从人类身上找到入口，就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件，是排名第一的攻击手段（而不是缓冲区溢出、配置错误或高级漏洞利用）。通过社会工程手段能够诱骗最终用户运行木马程序，这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。

2.网络钓鱼攻击

有时候盗取别人密码最好的方法就是诱骗他们自己提供，这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证（2FA）成为最佳防护措施的原因——如果没有第二个因素（如硬件安全令牌或用户手机上的软件令牌认证程序），那么盗取到的密码对攻击者而言将毫无意义。

3.未修复的软件

如果攻击者对你发起零日漏洞攻击，你可能很难去责怪企业，但是，如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间，而企业仍旧没有安装安全补丁程序，那么就难免会被指控疏忽。所以，记得补丁、补丁、补丁，重要的事说三遍！

4.社交媒体威胁

“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒，通过精心编造一个优质的网络身份，目的是为了给他人留下深刻印象，尤其是为了吸引某人与其发展恋爱关系。不过，Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式，并发起与你工作有关的谈话，您会觉得奇怪吗?正所谓“口风不严战舰沉”，希望无论是企业还是国家都应该加强重视社会媒体间谍活动。

5.高级持续性威胁（APT）

其实国家间谍可不只存在于国家以及政府组织之间，企业中也存在此类攻击者。所以，如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏，请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务，那么您就需要考虑自己公司的安全状况，以及如何应对复杂的APT攻击了。在科技领域，这种情况尤为显着，这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。

网络安全职业

执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过，包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升，安全部门领导人已经开始跻身C级管理层和董事会。现在，首席安全官（CSO）或首席信息安全官（CISO）已经成为任何正规组织都必须具备的核心管理职位。

此外，角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今，渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制（724小时）。以下是安全团队中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C级管理人员，负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外，首席信息安全官还负责指导和管理战略、运营以及预算，以确保组织的信息资产安全。

2.安全分析师

安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:

计划、实施和升级安全措施和控制措施；

保护数字文件和信息系统免受未经授权的访问、修改或破坏；

维护数据和监控安全访问；

执行内／外部安全审计；

管理网络、入侵检测和防护系统；分析安全违规行为以确定其实现原理及根本原因；

定义、实施和维护企业安全策略；

与外部厂商协调安全计划；

3.安全架构师

一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同，但它也是一位高级职位，主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务，及其技术和信息需求。

4.安全工程师

安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位，其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统；运营数据中心系统和网络；帮助组织了解先进的网络威胁；并帮助企业制定网络安全战略来保护这些网络。

I. 网络僵尸的用法

什么是僵尸网络？ 僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器。 僵尸网络首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也敏衫腔是一种病毒或蠕虫。最后一点，也是僵尸网络的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫塌唯，也与通常意义的木马有所不同。 黑客如何利用补丁邮件？ 目前，有黑客利用伪造的微软补丁邮件构建僵尸网络，因此请广大的网民确认收到的有关于微软补丁的邮件，并弄清楚您到底下载了什么到自己的计算机中。互联网风暴中心（Internet Storm Center）指出，黑客正在基于微软的安全更新伪造恶意电子桥衫邮件，这种伪造的邮件不能给用户提供任何有用的安全补丁，而实际上在邮件提供的链接或者附件中包含了恶意代码，那些没有警惕性的用户在点击了这些链接后即下载了恶意程序到自己的主机中。 实际上，对微软的安全补丁稍微留意的用户就会知道，微软是从来不会通过电子邮件的形式来通告用户安装安全更新补丁的，微软都是以安全公告的形式在其安全中心主页上（ http://www.microsoft.com/china/technet/security/default.mspx）发布安全信息的。通过这种伪造的邮件中，以安全补丁下载到的应用程序，实际上是一个后门木马，即在上面提到的bot程序。受这种木马影响的机器，将会被黑客远程的控制，受影响的机器至此就加入了僵尸网络。伪造邮件的黑客非常聪明，他们在受害者的姓名或者公司的名字里加入超级链接，链接到木马程序。到目前为止，安全研究人员已经发现了4种均是指向木马程序的不同的URL地址。在黑客伪造的邮件中，其中有封信的原文如下： “由于您使用了微软的软件而收到这封邮件，我们是通过你提交给‘微软Windows更新’的邮件列表中获得您的电子邮件地址的。一个0day漏洞（未公布的漏洞）已经在网络上流传开来，该漏洞将影响那些使用MICROSOFT OUTLOOK的用户。成功利用该漏洞后，黑客能够完全控制您的机器。（此处是一个补丁的链接地址）”

J. 挖矿僵尸网络怎么整改

挖矿僵尸网络通过防护体系整改。挖矿木马病毒特征变化快，很难通过一个安全产品实现有效的防护，需要基于纵深式防护体系构建多重防护机制，结合病毒特性，进行有针对性的多重检测保护。方案建议伍谈世从挖矿木马病毒的监测、分析、处置、溯源的闭环处置方案进行规划和设腔肢计，通过在安全管理中心部署全局态势感知平台提供威胁情报侍神与包括挖矿木马病毒在内的威胁行为监测能力。