僵尸网络的治理

僵尸网络是一群被僵尸程序（bot）感染的僵尸主机（zombie）的集合，分布于家庭、企业、政府机构等各种场合，接收来自僵尸控制者（botmaster）的指令，进行DDoS、信息窃取、网络钓鱼、垃圾邮件、广告滥点、非法投票等多种攻击行为。由于攻击手段丰富多样、隐蔽性强、有能力发动大规模攻击、以经济利益为目的等特点，僵尸网络已成为黑客产业链中的一个重要环节，受到新闻媒体、安全业界和学术机构的广泛关注。
对僵尸网络进行治理，切断DDOS攻击的源头，从理论上说这是对抗DDOS攻击最有效的方法，然而，在实际操作过程中，治理僵尸网路需要面的诸多的困难和问题。
进行僵尸网络治理的首要困难在于，我们只有能够检测到网络异常，才能够知道系统感染了僵尸程序。如果僵尸主机用户发动DDOS攻击，单位时间内产生大量的攻击流量，那么安装于网络出口的检测设备或许能提示异常，从部分主机的内存占用上也可能看书端倪，但如果这些通信流量很小，并做了加密，那么这些 通信极有可能被淹没于正常的请求中而不被发觉，而我们也就几乎不能够察觉到受了感染，
检测到感染后，一般就能提取到样本，此刻遇到的另一个困难就是需要对样本进行逆向分析，找出需要的信息，依据样本的难易程度，这有可能要花费相当长的时间，不过走到这一步，治理就可以从两方面着手。
一是根据逆向分析的结果，编写僵尸(bot)程序缓解的工具，分发至企业局域网的其他感染主机进行清除处理，同时将C&C服务器域名或地址以及通信包特征加入规则予以拦截，迫于威胁响应的压力，这种做法通常是优先选择，这样做的不足在于，清除掉的可能只是僵尸网络的冰山一角，整个僵尸网络仍然可以维持运营，我们的网络仍然面临被攻击的风险，如来自这个僵尸网络的DDOS攻击等。
二是接管或摧毁整个僵尸网络，这种做法往往非常困难，因为僵尸网络的分布通常不局限于一个地区、一个国家甚至一个洲，而常常分布于多个国家、多个洲，其相应的控制服务器也分布广泛，因此，这种跨区域的打击行动就需要政府间的协调合作，这往往只有有实力、影响大的跨国公司才能做到。
作为网络犯罪的主要平台之一，黑客利用僵尸网络展开不同的攻击，可以导致大量机密或个人隐私泄密，也可以通过DDOS攻击使整个基础信息网络瘫痪。因此，对僵尸网络进行治理显得十分迫切而重要。