基於连线错误模型的殭屍主机侦测技术-知识分享平台.ppt

回報有感染bot 的主機IP 會隨著觀察失敗連線的次數增加而遞減。在觀察25 次的失敗連線就判斷主機是否有感染bot 所產生的IP 共有79個，觀察400 次則為32 個，幾乎減少了一半，到觀察統計800、900 次所產生的bot 主機IP 則降到剩同樣是8 個。 觀察連線失敗25 次以上的失敗次數，到觀察900 次失敗連線所產生的受感染主機IP 都有涵蓋在觀察連線失敗25 次的受感染主機IP 名單中，所以就以25 次所檢查的結果為主，來計算偵測準確度。 圖 13 為觀察各種失敗連線次數的準確度關係圖，累計25 次的連線失敗次數作統計偵測，所得到的偵測準確度有96.2%以上，而隨著觀察連線失敗次數的增加，所得到的偵測準確度能達到100%。而以累計最低的連線失敗次數25 次來觀察，從圖11 中可看出累計25 次的平均時間約3400秒，約為近1 小時，代表若要判斷電腦主機是否有感染bot，平均只需1 小時的流量即能判斷出來，代表平均在3400 秒內一定能累積到判斷所需的連線失敗次數。而再隨著觀察失敗連線次數增多，從實驗結果得知，能有效提高偵測準確度。在這實驗部分，最後得到的結果，以最低累計連線失敗次數25 次當作判斷的依據，能達到96.2%的偵測準確度。 討論與結論 系統實際於海洋大學宿舍真實流量上來做偵測，以觀察不同的失敗連線次數皆能得到最低96.2%的準確度。由實驗的結果來看，我們的系統在找出藏匿在正常流量下的殭屍網路確實有所幫助，可以加強現存的偵測系統，或當作獨立的偵測系統來做使用。 研究提出的方法有別與以往以signature based的偵測方式，而以失敗連線的差異方式找出與訓練過模型相符的有問題流量。此方法在經過訓練後能有不錯的偵測結果，但事先須要有各種不同種類的殭屍網路流量來幫助建立偵測模型。而未來也許駭客會為了躲避偵測，將連線失敗的特徵值打亂到與一般正常的使用者發生連線失敗所取出的特徵值一樣，而使模型無法運作。但在目前為止本系統還是足以在針對殭屍網路的偵測上有所貢獻，未來也能使用此偵測系統來幫助尋找受感染的電腦主機，使能有效減少殭屍網路其受害主機的規模。 第二十一屆資訊安全會議 Cryptology and Information Security Conference 2011 林佳宜, 黃俊穎, 鍾委璋, 王省閔 國立台灣海洋大學資訊工程學系 基於連線錯誤模型的殭屍主機偵測技術 指導老師：葉禾田教授 學生：劉耀鴻 摘要 網路攻擊已經由伺服器轉為一般個人電腦 駭客藉由散布電腦病毒、蠕蟲和木馬程式，在網路上大量控制受害者的電腦主機，竊取電腦上的私人機密資料，並透過命令控制這些主機來發送大量的攻擊。而這些被控制的電腦所形成的網路即稱為殭屍網路。受害的電腦主機可稱為殭屍主機。 殭屍網路是目前網路上嚴重的資訊安全問題，如何有效的找出受害主機，使其免於受殭屍網路的控制，是現今網路安全上急需解決的問題。 在本論文中，我們利用網路連線失敗來區分出正常流量、P2P 流量和感染殭屍網路的流量。 藉由觀察正常流量、P2P 和殭屍主機內網向外網失敗的連線，從中取出相關特徵屬性值，再將這些特徵值透過機器學習創造出偵測模型，利用偵測模型來區分不同類型的流量。 前言 典 型的殭屍網路透過控制與命令伺服器(Control and Command, CC server) 來控制受感染的電腦主機。 前言 殭屍網路難偵測的原因 CC 伺服器的位置難以被偵測出來 受害主機與CC 伺服器之間的連線通訊內容可能會加密，所以不易透過分析流量內容的方式來找出可疑的連線。 攻擊者也常以合法的IRC channel 作為通訊的媒介，使之更難以被偵測。而使用HTTP 的通訊方式，一般會被防火牆當作正常的流量，不會特別去阻擋，且常隱藏在正常的網路流量下，如著名的Zeus[3]。 現有的殭屍網路大多會定時自動更新其病毒版本，使其更加茁壯，同時電腦在受感染後，會自動關閉防毒軟體更新，導致防毒軟體無法更新病毒碼，想要偵測出殭屍網路就更加困難。 研究目的 從殭屍網路流量與一般正常流量和P2P 流量中，透過找出不同種類連線失敗流量特徵屬性的差異，對殭屍網路進行有效的偵測。 針對電腦感染殭屍網路病毒後會產生DNS多次查詢的特性，以及網路連線上若原本的CC控制伺服器的位置被偵測出來且移除掉後，受感染的電腦若沒更新病毒版本而繼續連線到舊位置，則會產生有別於一般正常未受到殭屍網路感染的連線失敗特性，我們藉此來有效偵測出殭屍網路主機。 設計利用可擷取TCP/IP 網路封包的函式庫libpcap，撰寫能分析網路流量的sniffer，將這些連線失敗的紀錄擷取出來，且從中擷取出相關特徵屬性值，透過機器學習方式來建立模型做偵測並分析統計判斷主機是否感染殭屍網路。 研究目標 利用簡單的封包擷取方