22、隐匿于普通邮件中的快速流量僵尸网络

隐匿于普通邮件中的快速流量僵尸网络

1. 引言

僵尸网络是由被攻击者（即僵尸网络控制者）远程控制的受感染计算机（称为僵尸程序或僵尸）组成的网络。目前，僵尸网络已成为攻击者实施大规模网络犯罪的主要平台，如发送垃圾邮件、进行网络钓鱼和发起分布式拒绝服务（DDoS）攻击等。

为构建完整的僵尸网络，控制者与僵尸程序之间需建立隐蔽的命令与控制（C&C）通道，以便控制者向所有僵尸程序发送命令。由于基于主机的检测（如逆向工程）难度较大，大多数防御者会专注于检测C&C通道，试图切断通信并关闭僵尸网络。因此，控制者会尽力隐藏C&C通道以降低被检测的风险。

常见的隐藏C&C通道的规避技术包括快速流量（Fast Flux）和域名流量（Domain Flux）。快速流量中，僵尸程序会查询一个映射到一组频繁变化的IP地址的特定域名，但它仅使用一个域名，存在单点故障问题。域名流量则是控制者将一个或多个IP与多个域名关联，以避免被轻易列入黑名单。然而，这些技术依赖DNS服务，防御者可通过DNS流量分析识别僵尸网络。

为此，我们提出了一种邮件流量（Email Flux）方法，可绕过现有的针对快速流量和域名流量的机器学习检测技术。该方法的主要贡献如下：
- 提出邮件流量，它与快速流量和域名流量不同，通过随机生成的电子邮件地址建立流量C&C通道，可规避传统的基于DNS流量分析的机器学习方法。
- 改进传统的域名生成算法（DGA），防止对手提前控制自动生成的电子邮件账户。
- 分析邮件流量的流量、成本和声誉，证明其可用性和隐蔽性。
- 讨论未来减轻邮件流量威胁的可能对策以及其他可能的新流量通道。