[发明专利]一种基于LLMNR协议的本地网络同类Bot间命令控制信息分享机制

说明书

本发明公开了一种基于LLMNR协议的本地网络同类Bot间命令控制信息分享机制，包括BTL选举阶段、BTL获取C&C信息阶段及C&C信息分发阶段，在BTL选举阶段，每个Bot将自己的评价指标数值通过LLMNR协议告知其它Bot，再利用D‑S证据理论融合这些评价指标数值以选举最优Bot作为BTL；然后BTL查找C&C信息地址并与之取得通信，并利用PULL或PUSH模式以较为隐蔽的方式从C&C信息获取最新命令控制信息；最后，BTL再次利用LLMNR协议将所获取的命令控制信息分发给本地网络的其它Bot。本发明能有效选举出BTL，完成与本地网络内多个同类Bot的命令控制信息共享。

技术领域

本发明涉及计算机网络安全领域，具体涉及一种基于LLMNR协议的本地网络同类Bot间命令控制信息分享机制。

背景技术

近年来，由僵尸网络(Botnet)引发的网络安全事件层出不穷，危及我国公共互联网安全运行，对国家信息安全造成严重危害。僵尸网络是一个高度受控平台，其核心思想都是借助专用恶意代码感染智能手机、平板、计算机等设备，使其变为受控节点(Bot)，攻击者通过命令与控制服务器(Command and Control Server，C&C Server)向Bot主动推送命令控制信息(PUSH模式)，或者Bot主动从C&C Server上获取命令控制信息(PULL模式)，来对这些Bot进行管理。在Bot得到命令控制信息后，可根据相应指令对指定目标实施信息窃取、DDoS攻击、垃圾邮件轰炸、会话劫持等恶意行为。

可见，攻击者与Bot之间能安全传送命令控制信息是保证Botnet正常工作的基本要素。从目前已有公开文献来看，多数Bot获取命令控制信息仍采用先通过某种途径获得C&C Server IP地址或域名，并与C&C Server通信，然后再以PUSH模式或PULL模式从C&CServer获取命令控制信息。由于该方式是让Bot直接从C&C Server处获取命令控制信息，当位于同一局域网的多个主机感染相同恶意代码而成为同类Bot后(例如，同实验室多人打开本实验室 QQ群共享中含有恶意代码的文件，某部门的多位人员通过公司域名下邮箱收到相同的附件中携带伪装恶意代码的邮件等)，这些同类Bot必须各自独立重复执行该方式才能获取命令控制信息。在此情况下，网络监管者根据这些同类 Bot所产生网络流量的行为相似性来识别和追踪C&C Server，同时也容易导致局域网中Bot位置的暴露和检测，进而破坏Botnet正常运作过程，使其威胁性和危险性大大降低，甚至失去实用价值。

针对上述问题，僵尸网络控制者会利用各种技术手段尽量模糊化或随机化Bot产生的流量特征，以避逃避检测和追踪，其中借用现有网络协议秘密地进行命令控制信息收发就是一种常用方法，而且多个本地网络同类型Bot间还可利用组播性质的协议来收发命令控制信息，以避免网络流量行为相似性检测，提高传输效率。

发明内容

为解决上述问题，本发明提供了一种基于LLMNR(Link-Local Multicast NameResolution)协议的本地网络同类Bot间命令控制信息分享机制，首先定义了开机时间比和CPU利用率比两个评价Bot性能指标，其次本地网络中多个同类Bot利用LLMNR Query包将各自两个指标值通告给其它Bot，并借用 D-S证据理论选举出Bot临时代表(Bot TemporaryLeader,BTL)，接着仅被选为BTL的Bot与C&C Server通信并从C&C Server获取命令控制信息，最后， BTL再次通过LLMNR Query包将所获取的命令控制信息分发给其它Bot，并进行了相关实验测试，结果表明，该机制能有效选举出BTL，完成与本地网络内多个同类Bot的命令控制信息共享。

为实现上述目的，本发明采取的技术方案为：