从数据到真相：大网威胁研究实践 conv.docxVIP

从数据到真相：大网威胁研究实践

柯强

奇安信X实验室技术负责人

目录

1|DeepSeek攻击解读

2|XLAB在大网威胁研究方面的工作

3|大网DDoS攻击监控技术细节

EmpowerSecurityEnrichlife

DeepSeekDDoS攻击解读

1月初，DeepSeek开始在海内外得到大家关注，话题热度开始上升。

奇安信X实验室在1月3日、4日、6日、7日、13日，连续监测到针对DeepSeek的HTTP代理攻击开

始出现。

除夕（1月28日）凌晨，DeepSeek官方通报，受到恶意攻击。奇安信X实验室当天发出攻击分析报

告，判断出现大量CC攻击和暴力破解攻击。

2月5日，奇安信X实验室发现超过2千个仿冒DeepSeek的网站和钓鱼网站。DeepSeek官方当天发布通告，提示用户风险。

1月3日，首 1月20日，大量次检测到攻击UDP反射放大攻击

1月27日，应用层CC攻击暴增

1月30日，僵尸网络参与攻击

2月5日，发现当前，攻击依大量仿冒网站然时有发生

1月20日、22-26日，攻击方法转为SSDP、NTP反射放大攻击，相对容易防御，因此未对DeepSeek

造成严重影响。

1月30日，HailBot和RapperBot两个专业提供DDoS攻击服务的僵尸网络进场，攻击烈度再次升级。奇安信第一时间将攻击主控等重要情报给

防护方。

DeepSeekDDoS攻击分当前状态

?当前攻击依旧时有发生?多种攻击方式混合

?新增两个僵尸网络加入（Kitty，moobot)

EmpowerSecurityEnrichlife

X实验室在大网威胁研究方面的工作

EmpowerSecurityEnrichlife

XLAB在全球DDoS攻击监控方面的工作

? X实验室是大网监控全球领先团队 ???X?榍?DDoS??????????廈?

? 对全球几乎所有大型DDoS僵尸网络进行监控，独家披露并命名了30+全球有影响力的僵尸网络

? 多年以来全球各国政府，安全机构，网络服务提供商，全球各头部互联

网公司针对网络攻击事件寻求我们帮助

? 针对Mirai，Satori僵尸网络的持续分析工作得到美国FBI、美国司法部的

致谢，并与全球10几个国家Cert在DDoS攻击监控领域进行合作

全球部署近千个蜜罐节点

每日捕获近万模拟肉鸡，每日对数千攻击样本僵尸网络CC进行监

控

摧毁僵尸网络组织，配合抓捕嫌疑人

接管僵尸网络CC，进行反制

每日捕获近十万攻击指令

EmpowerSecurityEnrichlife

XLAB如何实现大网威胁研究

数据 系统 人+AI

?国内首个公开的PassiveDNS数据库，千亿级数据DNS记录，覆盖国内8000万用户

?Whois数据库（70亿）

?SSL证书数据库（60亿）?样本库（300亿）

?测绘数据库

?超过千台大数据服务器集群，每秒处理2000多万条记录，每日处理大网数据近200T

?全球近千个蜜罐节点，模拟百级协议和应用，千级别漏洞

?数据采集、Payload检测、样本分析、指令跟踪，Yara规则管理，情报提取，

全流程自动化

?超过十年的积累

?研究成果丰硕，坚持发表高质量技术文章，在国内外多个重要技术会议发表演讲

?开始在未知payload识别，恶意域名分析等领域尝试采用LLM和AIAgent，后续将AI应用于威胁检测和分析将是工作重

点

EmpowerSecurityEnrichlife

大网DDoS攻击监控技术细节

EmpowerSecurityEnrichlife

原始数据层–XLAB大网蜜罐

?收集网络空间网络扫描、漏洞利用、样本投递信息

?模拟程序丰富：百级协议和应用程序，千级别漏洞

?涵盖传统互联网、物联网、工业互联网。

urity

数据层加工层–Payload分析

? 分析方法

?主要目的 ?漏洞利用信息识别

?谁发起的攻击 ?网络攻击信息识别?反射放大攻击

?用的方式 ? HTTP代理攻击

?有效攻击载荷是什么

?

? UDP反射放大攻击

样本下载链接等关键信息提取

?敏感信息提取（账号密码、邮