僵尸网络机理与防御技术概要.ppt

I II 僵尸网络发展趋势 进一步研究方向 第三部分 问题与 展望 I 僵尸网络网络防御主要问题 1.僵尸程序分析和僵尸网络逆向工程的可扩展性问题 2.缺少新的可实际部署的检测技术 3.技术上缺少对大范围跨地域信息共享和协作响应的支持 僵尸网络网络防御主要问题 技术问题 .全球范围内的信息共享的协作响应和联动面临各种非技术 需要进一步促使ISP 加强对其域内互联网资源的管理和自律 是从法律上需要加强对互联网犯罪惩戒力度, 非技术问题 僵尸网络的发展趋势 规模方面 智能化传播 经济利益驱动 有组织的犯罪集团控制少量超大规模僵尸网络,并在不断发展增强僵尸网络自身安全性的技术手段来与安全社区进行技术博弈与竞争 僵尸网络背后的地下经济利益驱动更加明显,盈利方式也更加多样化和隐蔽化. 命令控制及攻击手段更加精细,更为充分地利用社交网络来进行传播与控制,同时,逐步扩展至移动设备终端等新型计算环境 可能进一步的研究方向 新型僵尸网络的发现和工作机制分析; 可扩展的僵尸网络逆向工程方法; 可部署的僵尸网络检测技术 大范围信息共享和协同响应的 对僵尸网络背后的地下经济市场的研究. 僵尸网络机理与防御技术 朱文跃 僵尸网络案例分析 一、全球最大垃圾邮件源头Rustock僵尸网络被关闭 二、河北黑客操控六万台电脑制造僵尸网络攻击案 全球最大垃圾邮件源头Rustock Rustock僵尸网络是由一群受到病毒感染的电脑组成的国际网络，多年来它每天要发送几十亿个垃圾电子邮件，在网上推销未经当局许可的配方和廉价药品。　 河北黑客操控六万台电脑制造僵尸网络 ■警方锁定神秘黑客 　　公安部经侦查发现，在我国互联网上有超过6万台的电脑，受到一神秘黑客编译的一种名为IPXSRV的后门程序的控制，组成了一个庞大的“僵尸网络”。而神秘黑客则通过操纵这个控制有6万余台电脑的“僵尸网络”，对北京那家网站进行“拒绝服务”攻击，让6万余台电脑同时登录该网站，造成网络堵塞，让其他客户无法访问该网站。 　　如此大规模的“僵尸网络”攻击案在我国尚属首例。 　　今年1月10日，公安部专家来到唐山，直接督导侦破工作，最终查到唐山黑客的主机位置，并确定主机所有人是唐山某企业职工徐某。通过高科技手段分析数据，警方进一步确认徐某就是他们要找的神秘黑客，并于当日下午1时许，将其在家中擒获。 ■唐山黑客仅是个技校毕业生 　　徐某今年27岁，唐山市路北区人，某企业职工。 　　据徐某自述，其文化程度并不高，仅是个技校毕业生，而且所学专业还是车工。最初接触电脑是在1995年，他受一位小学同学影响，开始自学计算机知识，并很快成了一个电脑痴迷者，主攻计算机程序编译。 　　 论文摘要 背景 僵尸网络的网络攻击活动是互联网所面临的最为严重的安全威胁之一. 僵尸网络不断演化、越来越复杂和隐蔽。如何有效应对僵尸网络的威胁是一项持续而具有挑战性的课题 研究方法 僵尸网络的传播、攻击命令、控制这3 个方面介绍近年来僵尸网络工作机制的发展 从监测、工作机制、特征分析、检测和主动遏制这5 个环节对僵尸网络防御方面研究进行总结和分析 发展趋势 目前的防御方法的局限、僵尸网络的发展趋势和进一步的研究方向进行了讨论. 背景知识 研究现状 问题与展望 演讲内容分为三个部分 第一部分 第三部分 3 2 1 第二部分 I II III 僵尸网络定义 工作原理 发展历程 第一部分 背景 III 分类 III 攻击方式 僵尸网络定义 中文名称：僵尸网络 英文名称：botnet 定 义：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。 IRC僵尸网络工作原理，如下图所示 僵尸网络工作原理 P2P僵尸网络工作原理，如下图所示。 IRC僵尸网络工作原理，如下图所示 僵尸网络的发展历程 IRC 聊天网络中出现Bot 工具——Eggdrop 1 分布式拒绝服务攻击概念的成熟 2 IRC 协议构建攻击者对僵尸主机的控制信道 3 独立使用P2P 结构构建控制信道 4 Botnet发展成规模庞大、功能多样、不易检测的恶意网络 5 僵尸网络主要由攻击者、僵尸主机、命令与控制信道构成。 通过命令与控制信道的类型对僵尸网络进行分类： (1) 使用中心服务器的僵尸网络，主要有基于IRC的僵尸网络；(2) 不使用中心服务器的僵尸网络，主要是基于P2P 的僵尸网络。 僵尸网络的分类 僵尸网络攻击的方式 分布式拒绝服务(DDos) 垃圾邮件（spam） 钓鱼网站（phish