返回
发现和跟踪僵尸网络

发现和跟踪僵尸网络

ID:41860853

大小:455.00 KB

页数:28页

时间:2019-09-03

发现和跟踪僵尸网络_第1页
发现和跟踪僵尸网络_第2页
发现和跟踪僵尸网络_第3页
发现和跟踪僵尸网络_第4页
发现和跟踪僵尸网络_第5页
资源描述:

《发现和跟踪僵尸网络》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、发现和跟踪僵尸网络诸葛建伟狩猎女神项目组TheArtemisProject北京大学计算机科学技术研究所内容狩猎女神项目组僵尸网络概述发现僵尸网络跟踪僵尸网络总结与进一步工作2狩猎女神项目组TheArtemisProject项目组简介蜜罐和蜜网技术研究组北京大学计算机研究所信息安全工程研究中心HoneynetResearchAlliance中国唯一团队-ChineseHoneynetProject项目组网站:www.honeynet.org.cn项目组邮件列表:artemis@icst.pku.edu.cnHoneynetCN邮件组:grou

2、ps.yahoo.com/group/honeynetcn<<电脑安全专家>>2005年7月份非常话题专栏4项目组目前研究工作蜜网维护及攻击案例分析结合第三代蜜网技术和honeyd虚拟蜜罐工具“利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会恶意软件的捕获与分析重点针对僵尸网络蜜网数据分析与可视化研究网络环境信息获取工具NetEye攻击数据统计分析与可视化工具基于多源数据融合框架的攻击态势评估技术研究5僵尸网络概述僵尸网络起源Eggdropbot:1993良性Bot工具:Spiders,…恶意Bot工具DDoS攻击工具:199

3、9年11月Subseven2.1IRCBot:GTBot、SdBot结合蠕虫传播机制:Agobot/Gaobot,rBot/SpybotP2PBot:Phatbot7僵尸网络危害分布式拒绝服务攻击2004年6月份-Akamai关键域名服务器被僵尸网络DDoS在线讹诈发送垃圾邮件抓取电子邮件地址、打开OpenRelay服务、发送垃圾邮件从僵尸主机上收集敏感信息在线银行账号/密码,信用卡信息,注册码,在线游戏账号/装备8僵尸网络的基本网络结构9僵尸程序的定义特性一对多控制关系僵尸程序与其他恶意软件的区别传播性可控性窃密性危害等级僵尸程序可控传播

4、(1对多)可控有完全控制,高后门不具备(1对1)可控有完全控制,高蠕虫主动传播一般没有没有网络流量,高Spyware被动传播一般没有有信息泄漏,中病毒用户干预一般没有没有感染文件,中10IRC僵尸程序的基本活动步骤11发现僵尸网络如何发现僵尸网络?IDS方法必须充分了解僵尸程序,提取指纹信息作为IDS检测的特征行为监测法僵尸程序行为模式:快速连接控制信道、长时间在线发呆、…蜜罐捕获法通过部署蜜罐对僵尸程序进行捕获-样本通过对网络行为进行监视和分析-僵尸网络控制信道信息13僵尸程序的传播方式主动攻击漏洞攻击漏洞,通过shellcode注入僵尸

5、程序与蠕虫主动传播方式结合:Agobot,rBot邮件病毒即时通讯软件:MSN性感鸡恶意网站脚本特洛伊木马14恶意软件捕获器mwcollect针对主动攻击漏洞传播的恶意软件(包括僵尸程序)模拟RPCDCOM、LSASS等知名漏洞对主动攻击漏洞恶意软件注入的shellcode进行分析,获取恶意软件传播使用的URL通过URL获取恶意软件样本15其他的僵尸程序来源InternationalmwcollectAlliance共享捕获的恶意软件样本资源与反病毒厂商的样本交换PandaSoftware公开的恶意软件分析报告资源Sandbox.norma

6、n.no16僵尸程序样本分析任务-获取僵尸网络控制信道信息控制服务器host/port连接口令加入的频道名/频道口令用户名和昵称的结构–CHN

7、xxxxx?方法沙箱:sandbox.norman.no蜜网在线攻击分析技术逆向工程技术17跟踪僵尸网络HoneyBot僵尸网络跟踪工具HoneyClient-客户端蜜罐技术能够根据给定的控制信道信息连入僵尸网络,并隐蔽地对僵尸网络活动进行跟踪和审计的蜜罐僵尸工具同时跟踪多个僵尸网络Honeybot原型系统:python+ircclientlib19僵尸网络控制服务器分布20僵尸网络规模分布21一个

8、典型的僵尸网络规模增长情况22使用mIRC跟踪僵尸网络23跟踪到的僵尸网络扫描活动24跟踪僵尸网络的一些经验相当大比例的僵尸网络生命周期较短首先使用自动化跟踪工具确定其存活情况、规模等信息,再进行选择跟踪伪装性昵称和用户名必须与其他僵尸程序一致DisableIRC协议的CTCP(ClienttoClientProtocol)功能使用SOCKS代理保证跟踪源的隐蔽性如果被僵尸网络控制者识破:DDoS25进一步工作增大恶意软件的捕获范围分布式部署重定向机制-将针对业务网络的恶意软件感染重定向到蜜罐网关ARP重定向机制接入交换机DNAT重定向机制

9、-未分配IP、VDS更有效的分析僵尸程序蜜网在线数据分析技术更全面地跟踪僵尸网络HoneyBot工具的进一步工作全网范围内监控僵尸网络根据HoneyBot获得的僵尸程序指纹特征及

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。