僵尸网络研究进展botnet countermeasures.pptxVIP

Botnet Countermeasures（僵尸网络防御） 李书豪再谈Botnet的定义维基百科上的描述-Botnet is a jargon term for a collection of software agents, or robots, that run autonomously and automatically. The term is most commonly associated with malicious software, but it can also refer to the network of computers using distributed computing software.Botnet的术语控制者/攻击者：botmaster / attacker僵尸终端/主机：bot / compromised computers / host命令控制通道：Command Control命令控制服务器/集结点：CC Server / rendezvous points近几年流行的BotnetNameTimeCC ModuleNefarious activitiesRemarkZeus2007.07HTTPSteal bank infomationKing of BotsTorpig2008.11HTTPsteal the details of about 500,000 online bank accounts and credit and debit cardsone of the most advanced pieces of crimeware ever createdConficker2008.11HTTPP2PDownload other softwaresFor Waledacwaledac2009Hybrid P2PSpamstorm2007.01P2PSpamStorm2(HTTP)Rustock2006HTTPSpamMegaD2008.11HTTPSpamBotnets’ Threat DistributionChina(2nd) USA(1st) Brazil(3rd) Botnets’ Threat DistributionBotnet攻防对抗Botnet的特征1）非法性攻击者利用入侵手段，在僵尸终端（受害者计算机）非法运行僵尸程序；2）可控性攻击者可以通过通信控制通道操控僵尸终端；区别于其他恶意代码（如病毒、蠕虫等）的本质属性。3）恶意性攻击者通过僵尸网络从事一种或者多种恶意活动（如DDoS，Spamming等），来牟取利益或者达到其他目的。特点1）和3）区别于其他合法程序。Botnet攻防对抗Botnet的防御Botnet的防御围绕其三大特征来展开：1）针对“非法性”防御者利用防火墙、入侵检测系统（IDS）和杀毒软件等安全工具监测僵尸程序及其行为，来阻止攻击者的入侵。2）针对“可控性”防御者利用蜜罐蜜网、逆向工程、通信监测、渗透和劫持等技术手段，来阻断或者减弱控制者对僵尸网络的控制。3）针对“恶意性”利用DDoS防御、垃圾邮件过滤和敏感数据保护等技术手段，来消除僵尸网络的恶意活动，使攻击者的阴谋破产。必要的情况下，防御者与CERT、ISP等相关部门合作，联合防御。Botnet攻防对抗Botnet的生命周期Botnet攻防对抗Botnet协议栈结构僵尸网络是弱通信网，交互性较低，甚至可以不知道彼此。僵尸网络的通信协议是私有的，而且不同的僵尸通信协议格式不一样。1）通信控制协议决定了僵尸网络的结构，如IRC、HTTP僵尸网络，以及当前热门的P2P僵尸网络。2）命令控制协议决定了僵尸网络的性质，表明僵尸网络从事哪些恶意活动。Botnet防御Botnet Countermeasures广义上，僵尸网络防御技术按照不同的阶段大致可以划分为六类。DetectionMeasurementPredictionTrackingProactive DefenseHijackingBotnet CountermeasuresPurposeTechniquesRemarkDetectionWhere are botnets?HoneynetAbnormal DetectionMeasurementHow is botnets like?Traffic MonitoringInfiltrationTrackingWhat do botnets do?InfiltrationHijackingHow to make use of botnets?Modify Cmds/Inject Fake CmdslessProactive DefenseHow to block or destroy