




已阅读5页,还剩27页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2008 绿盟科技 绿盟科技僵尸网络概述及其检测技术密级:内部使用1 僵尸网络概述议题2 僵尸网络工作原理3 基于网络行为的僵尸网络检测技术4 基于主机行为的僵尸网络监测技术起源与定义 从“ Robot” 这个词变化来的, 指在互联网上,可以自劢执行特定任务的软件程序。 早期的 Bot程序是良性的,用来执行一些 IRC频道的自劢管理操作(防止频道被滥用、管理权限、记录频道事件)。 黑客利用这个设计思路开发了恶意 Bot,开始控制大量的受害主机,利用他们的资源以达到恶意目标。 Botnet定义 :一组安装了 Bot程序的可控主机组成的网络,可以用来发劢 DDoS攻击或窃取用户信息等。僵尸网络危害 DDoS攻击 垃圾邮件 监听网络流量 键盘记录 大规模身份窃取 扩散新的恶意软件 安装广告条和浏览器助手 Google AdSense 滥用 攻击 IRC聊天网络 操控在线投票和游戏Source: Honeynet Project website1 僵尸网络概述议题2 僵尸网络工作原理3 基于网络行为的僵尸网络检测技术4 基于主机行为的僵尸网络监测技术BotMaster 攻击系统漏洞获得访问权,并在 Shellcode 执行僵尸程序注入代码 访问含有恶意代码的网页 下载安装含有恶意程序的软件传播方式Botnet的传播机制加入 BotnetBot主机DNS服务器IRC服务器 建立 TCP连接 发送密码 发送 NICK和 USER命令 加入预设频道,(发送密码)基于 IRC的 Botnet工作原理控制方式Bot主机IRC服务器DDoS攻击者Bot主机Bot主机 攻击者用 .logon!logon!auth 诸如此类的命令登录 服务器将攻击者登录信息转发给频道内所有的 botchannel op权限bot将该密码与硬编码在文件体内的密码比较NICKNICKNICK基于 IRC的 Botnet工作原理基于 Http的 Botnet工作原理Bot MasterBot主机 Bot主机 Bot主机DNS服务器 Web服务器更新命令文件基于 DNS的 Botnet工作原理Bot MasterBot主机 Bot主机Bot主机DNS服务器DNS服务器 DNS服务器DNS服务器Botnet的自我保护 自我保护的目标 控制者保障自身安全(不被执法机构发现) 保障整个 Botnet的安全(不被其他人控制 Botnet) 分布式的 Bot不被跟踪定位 自我保护的技术 动态 IRC服务器 动态域名映射 秘密频道 +用户认证 控制者身份的单向认证 利用跳板 IRC服务器、频道、口令的更新 频繁更新升级、多样变种 加速计算 TCP checksum,加快伪造数据包的速度 可疑环境探查:调试器软件,虚拟主机 安装时 变形 关闭反病毒软件利用 DNS的攻击 -Fast-FluxmothershipHost: HTTP /GETResponse Content僵尸主机 EHost: HTTP /GETResponse ContentGET RedirectResponse Returned正常网络Fast-Flux 网络僵尸主机 D僵尸主机 C僵尸主机 B僵尸主机 A僵尸主机 F利用 DNS的攻击 -Fast-FluxSingle FQuery: Answer: 域名服务器僵尸主机 c.c.c.c僵尸主机 b.b.b.b僵尸主机 a.a.a.aHost: HTTP /GET利用 DNS的攻击 -Fast-FluxQuery RedirectResponse ReturnedDouble-FluxQuery: 域名服务器僵尸主机 AAnswer: Answer: Answer: mothership僵尸主机 B僵尸主机 C僵尸主机 D僵尸主机 E僵尸主机 F僵尸主机 1僵尸主机 2僵尸主机 31 僵尸网络概述议题2 僵尸网络工作原理3 基于网络行为的僵尸网络检测技术4 基于主机行为的僵尸网络监测技术Botnet检测的目标定位僵尸主机 确定主机 IP地址 确定物理主机定位僵尸网络控制主机 确定主机 IP地址 确定物理主机 确定控制者所使用主机的 IP地址 确定控制者使用的物理主机Botnet的网络行为特征IRC服务器信息隐藏单个频道的用户数过高隐身用户数量的比例过高长时间发呆(平均回话时长 3.5小时)昵称的具有相似性或规律性频繁发送大量数据包(每个客户端每秒至少发生 510个包)发送垃圾邮件 、发送 DDoS攻击流量传输层流特征( flows-per-address(fpa), packets-per-flow(ppf) and bytes-per-packet(bpp) )包大小(包大小的中值 100Bytes)、特定的端口号( 6667, 6668, 6669, 7000, 7514)应答内容的相似性特征内容: bot*, ddos*, scan* in Agobot传输加密Botnet的网络行为特征大量失败连接(大量 ICMP 目标不可达和 Reset 包) P2P同时打开大量端口 P2PDNS查询相关的特征AT&T: 大范围僵尸检测和特征刻画CCC( candidate controller conversation)记录 :客户端 IP地址远程服务器 IP地址远程端口流数包数字节数流开始和结束的时间戳发生在哪条链路检测类型AT&T: 大范围僵尸检测和特征刻画AT&T: 大范围僵尸检测和特征刻画AT&T: 大范围僵尸检测和特征刻画 AT&T 研究成果简评 利用流级数据可以检测 Botnet 算法过于复杂,涉及过多的数学计算 部分算法有可取之处或有所启发 误报率低 ,在实验中达到了 2%的较好水平 ,同时可以量化僵尸网络的规模等信息 基于 网络流数据被动监听与分析 ,不涉及到隐私问题 ,数据也明显减少,并可以 检测加密通讯的 IRC僵尸 网络 分析方法完全在传输层以下进行 ,没有涉及应用层信息 ,因此 检测效率将更高 ,可在骨干网上实施AT&T: 大范围僵尸检测和特征刻画w=(Ss+Fs+Rr)/Tsr其中 ,Ss为发送的 SYN包和 SYN|ACK包数量 ,Fs为发送的 FIN包数量 ,Rr为接收的 RST包 数量 ,Tsr为全部 TCP数据包数量 ,TCP扫描权重 w为 TCP控制报文数与总 TCP报文数的比重 .比重比较高的三种可能:扫描者无法找到服务器 的客户端P2P主机(通常是 GUNTELLA客户端)TCP比重统计检测技术DNS查询与已知恶意信息比对DNSBL查询的异常检测关联 DNS查询与实际流量非正常的 突发 MX/PTR 查询动态 DNS查询率异常对 Fast-Flux 域名(小 TTL,多 IP地址)的跟踪基于 DNS的检测技术基于聚合分析的检测技术PKT=5, TCP-FLAG=SYN,BYTE=224,RPORT=220PKT=3, TCP-FLAG=SYN,BYTE=64,RPORT=120PKT=6, TCP-FLAG=RST,BYTE=210,RPORT=23 PKT=9, TCP-FLAG=RST,BYTE=200,RPORT=443原始流量记录数据(流记录格式) 聚合后的流量记录数据流量记录符合聚合特征的 IP地址(疑似攻击 IP地址)基于聚合分析的检测技术疑似攻击的 IP地址 疑似攻击 IP的通讯对端 IP地址基于聚合分析的检测技术1 僵尸网络概述议题2 僵尸网络工作原理3 基于网络行为的僵尸网络检测技术4 基于主机行为的僵尸网络监测技术Botnet的主机行为特征感染行为: 驻留系统的模式(用户模式、内核模式)安装文件、 修改文件、 修改注册表、 对系统进程和函数的调用、 键盘操作记录、 对系统服务和网络服务的控制。传播行为: 扫描 漏洞的利用。代码特征的分析分析: 加壳与脱壳 Shellcode 特征指令序列 文件片段。蜜 罐 设 备 流 量 分 析 / I D SA B C 控制服务器1. 蜜罐首先发现内网主机 A正在设
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 护理安全用药管理
- 光电节能幕墙知识培训课件
- 光电知识专业培训课件
- 2025年合模机项目提案报告模范
- 光沿直线传播课件
- 护理专利相关课件
- 鲍叔牙发言稿题目
- 陕西公务员真题2025
- 光学传感器课件
- 二零二五版护工健康管理服务合同
- 人教版高一英语必修一单词表(带音标) mp3跟读朗读听力下载
- 中国移动家集客考试题库(浓缩700题)
- 《新媒体写作与传播(第2版)》教学大纲、课程标准、习题答案
- 医疗器械产品生命周期管理-洞察分析
- T∕CFA 0308052-2019 铸造绿色工艺规划要求和评估 导则
- 中国古代文学史明代文学
- 《薄冰英语语法详解》
- 律师事务所数据安全应急预案
- 生涯规划讲座模板
- 男生形体课课件
- 餐厅转包合同范本
评论
0/150
提交评论