欢迎来到天天文库
浏览记录
ID:1190413
大小:101.77 KB
页数:7页
时间:2017-11-08
《僵尸网络的发现与跟踪》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、全国网络与信息安全技术研讨会’2005·1·僵尸网络的发现与跟踪诸葛建伟,韩心慧,叶志远,邹维(北京大学计算机科学技术研究所,北京100871)摘要:僵尸网络(Botnet)是近年来兴起的危害互联网的重大安全威胁之一,对僵尸网络的发现和跟踪能够帮助安全研究人员深入了解僵尸网络攻击模式。本文介绍了发现和跟踪大量僵尸网络的方法,即通过恶意软件收集器及样本交换等途径收集大量僵尸程序(Bot),并通过对僵尸程序的分析获取进入僵尸网络控制信道的必需信息,然后使用自动化僵尸网络控制服务器所属国查询以及规模查询工具得出该僵尸网络的基本信息,最后使用IRC客户端软件对IRC僵尸网络进行全面跟踪。本文通
2、过大量的僵尸网络发现和跟踪经验给出了控制服务器所属国、僵尸网络规模的分布统计,以及对典型IRC僵尸网络的跟踪记录。关键词:僵尸网络;僵尸程序;恶意软件;蜜网DiscoverandTrackBotnetsZhugeJianwei,HanXinhui,YeZhiyuan,ZouWei(InstituteofComputerScienceandTechnology,PekingUniversity,Beijing,100871)Abstract:BotnetisoneoftheemergingseriousthreatsoftheInternet.Discoveringandtracking
3、botnetscanhelpthesecurityresearcherstounderstandtheattackpatternsofthebotnetsdeeply.Thispaperpresentsthemethodologyofbotnetdiscoveryandtracking.First,agreatdealbotswerecollectedthroughanautomatedmalwarecollectorandsampleexchangingwithAVvendors,thentheywereanalyzedtoextractallnecessaryinformation
4、toconnectintothecontrolchannelofbotnets,withtheseinformation,anautomatedwhoisqueryandbotnetsizetrackingtoolwasusedtoextractthelocationsandsizesofthebotnets,furthermore,anIRCclientsoftwarewasusedtotrackandlogtheactivitiesofthesebotnets.Throughdiscoveryandtrackingofagreatdealofbotnets,thispapersho
5、wsthedistributionoflocationsofthebotnetcontrolservers,aswellasthesizesofthebotnets.Furthermore,atypicalIRCbotnettrackingexamplewaspresented.keywords:botnet;bot;malware;honeynet基金资助:第一作者受2004年微软学者计划及2005年IBMPh.D.Fellowship计划资助。作者简介:诸葛建伟(1980-),男,浙江瑞安人,博士研究生,Email:zhugejianwei@icst.pku.edu.cn。·2·全
6、国网络与信息安全技术研讨会’20051.引言僵尸网络是近年来兴起的危害互联网的重大安全威胁之一,攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。大部分的僵尸网络都可以在攻击者的控制下进行进一步的传播,从而使得僵尸网络的规模越来越庞大。一旦攻击者拥有一定规模的僵尸网络,就可以利用僵尸网络所控制的资源,在互联网上建立起了一种强势地位,并且可以利用这些资源获取经济利益。僵尸网络的危害主要体现在发动分布式拒绝服务攻击、发送垃圾邮件以及窃取僵尸主机内的敏感信息等。一个稍具规模的僵尸网络所拥有的带宽资源就足以对任何站点实施分
7、布式拒绝服务攻击,著名的案例如2004年6月份互联网基础设施提供商Akamai的一台关键域名服务器受到僵尸网络发动的分布式拒绝服务攻击,导致其客户Google、Microsoft、Yahoo和Apple等知名网站不能提供正常服务;同时僵尸网络控制者往往以分布式拒绝服务攻击对一些在线网站进行讹诈以获得经济利益。僵尸网络控制者还可以滥用僵尸主机的计算和带宽资源,抓取本地或互联网上的邮件地址,并在僵尸主机上打开邮件转发服务,发送垃圾邮件,根据著名的反
此文档下载收益归作者所有