● 摘要
从传统蠕虫和木马发展而来的僵尸网络逐渐成为攻击者手中最有效的攻击平台,并已经成为目前互联网所面临的最为严重的安全威胁之一,虽然近年来关于僵尸网络的研究取得了显著的进展,但由于僵尸网络不断演化,复杂性、隐蔽性以及网络和系统体系结构的限制给僵尸网络研究带来了很大困难。僵尸网络仿真是研究僵尸网络的一个新兴技术,正在受到研究者的广泛关注。它是一种在一个封闭的实验室环境下构建一个小型的互联网来研究僵尸网络的方法。通常需要借助虚拟化软件或者集群工具作为僵尸网络仿真平台来搭建一个僵尸网络仿真环境。然而由于僵尸网络规模的庞大性,为了更真实的仿真互联网环境,可能需要成百上千个独立系统的参与,通过传统的虚拟化软件构建僵尸网络仿真平台存在如下挑战:第一,缺乏虚拟机集群的快速部署管理功能,虚拟机集群规模几百上千,传统的虚拟化管理软件的管理粒度是虚拟机,为了实现僵尸网络的部署及相关操作功能,要求研究者不得不编写一些辅助化管理脚本,这对僵尸网络仿真提出了更高的要求。第二,缺乏对多虚拟化技术的支持,尤其是对轻量级虚拟化技术的支持。由于僵尸网络的特殊性,对虚拟化监控器的安全性,隐蔽性,可扩展性可能有不同的需求,这就要求该仿真平台需要具有多虚拟化技术支持功能,另外鉴于僵尸网络规模庞大的特点,虚拟化平台需要支持轻量级虚拟机监控器,并且最好能够具有相关的优化技术,以提高单物理结点上开启的最大虚拟机数量。最后,僵尸网络的一些特殊特点在传统的虚拟化管理软件上面很难实现,比如僵尸网络的昼夜随机关机开机特点,这会影响僵尸网络传播特性的仿真效果。本文在深入分析了当前僵尸网络仿真平台存在的上述问题的基础上,采用基于结点的虚拟组管理方法,并针对虚拟机的密度扩展问题提出了几种内存性能优化及CPU性能优化方法,同时为提高仿真效果,提出了一种僵尸网络时区特性模拟方法,最终设计并实现了基于虚拟机的僵尸网络仿真平台。本文的工作及主要贡献如下:1) 针对当前僵尸网络仿真平台难以实现僵尸网络集群管理的问题,分析僵尸网络的集体行为特点,提出了一种基于结点的虚拟机组管理方法,设计并实现了以结点为单位的虚拟机集群并行化管理方式。大大降低了僵尸网络的管理难度,提高了虚拟机集群部署操作的响应时间,解决了传统虚拟机集群管理平台作为仿真平台用于僵尸网络仿真的诸多缺陷及不足。2) 针对僵尸网络对规模性的特殊需求,分别在低负载与高负载环境下,分析了单物理结点上虚拟机集群密度扩展的性能瓶颈。提出了一种基于内存性能优化与基于CPU性能优化的虚拟机集群密度扩展方法,大大提高了单物理结点上开启的最大虚拟机数量。3) 针对僵尸网络时区特性特点,设计并实现了一种僵尸网络时区特性模拟方法,提高了仿真效果。此外还提供了简单的僵尸网络行为检测获取分析功能,方便了对僵尸网络的研究。4) 针对僵尸网络对虚拟化监控器的安全性,隐蔽性,可扩展性及透明性的不同需求,基于Libvirt设计并实现了混合虚拟化僵尸网络仿真平台。支持多款虚拟机监控器,以满足僵尸网络仿真的各种仿真需要。