[精品]“僵尸网络”的检测方法及防治对策.doc

《[精品]“僵尸网络”的检测方法及防治对策.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、“僵尸网络”的检测方法及防治对策【发布时间:2009年12月10日】【来源:信息安全协调司】【字号:大中小】一、僵尸网络的检测方法1.流量检测技术传统的基于特征的检测方法由于只关注僵尸网络表面呈现的持殊性，并没有深入挖掘僵尸网络的木质，往往随看隅尸网络所使用的协议不断变化而失效，ifufl通常是等到倨尸网络爆发后，才开始提取特征，不能有效遏制倜F网络。因此流鼠检测技术成为对抗個丿'网络的热点。有关专家提出针対IRC信道的同步性特征使川基丁•响应性和动态性的IRC网络流量检测方式。该思想是基于個F主机对于攻击者的命令响应是瞬时的，而合法的IRC客户交谈需要一个思考的时间，并做

2、了大量的实验，给出了以时间为X轴,网络流量为Y轴,僵尸主机/合法IRC客户为Z轴的曲面图,突出了僵尸主机与合法用户在网络流量上的显著区别。流量检测技术能较好的检测高度中心化的假尸网络，但由于不同的個尸网络往往具有不同的异构性，且基于P2P的倔尸网络中心化机制被攻击者弱化，因此流量检测方法并不能有效发现P2P结构個尸网络。2.路由黑洞与DNS检测技术通过DNS和路由器摧毁和破坏個丿'网络是一种有效手段。黑洞路由技术上耍是通过宣告BGP堆优路由改变原有流量的流向，将流量引入到空接口并丢弃。从路由层面看,在网络中形成了路由“黑洞”,吞噬这些异常流量的数据包。由于僞尸网络的控制和命

3、令(C&C)模式需要一个中心服务器支持，而僞尸网络控制者往往使用动态域名建立控制服务器，使用DNS服务器控制可以进一步瓦解個尸网络。针对個尸网络的C&C模式需要一个中心服务器支持，而個F网络控制者往往使用动态域名建立控制服务器，国外相关学者开始研究利用DNS流星检测個厂网络，以及使用DNS服务器进一-步瓦解僵尸网络。3.利用蜜罐蜜罐是收集恶意软件的一种新方法。一般是将未打补丁的蜜罐放置于网络中并密切监察被感染情况。蜜罐能有效获得恶意软件执行操作的详细信息，其中包括获得木马的有效载荷和监测偶尸网络的C&C流鼠。绘早开展個丿'网络跟踪研究工作的团队是徳国蜜网项目组，Bacher

4、和Holz等人通过部署包含有Windows蜜罐主机的第二代蜜网捕获了互联网上实际传播的大量個丿'程序，还进-步研究并开发了垄于低交互式蜜罐技术的恶意代码捕获器Nepenthes,从而支持大规模的僵尸程序样木采集和进-步的僵尸网络跟踪。McAfee公司的Thomas等人在相关文献中设计了一种基于Honeypot的rRC倨尸网络追踪策略，使用DMZ(DeMilitarizedZone)网络部署蜜罐，并设逍防火墙规则，确保在僞尸主机连接IRC服务器频道之前收集到必耍信息。4.安装网络入侵检测系统检测個尸网络的…个很好的入侵检测系统是利用对域名服务器査询的分析來找到行为界常的主机。

5、这是因为個尸网络通常使用DNS来寻找控制者的IP地址，这使控制者能够迅速地移动到先前断开的新的主机。一个基于域名服务器的入侵检测系统能够査找异常的DNS询问并将其记录下来。这些异常可以是已知的偎尸网络服务器、界常热门査询，或査询非正规格式，如使用大量MX命令査询一台并不运行SMTP服务的主机。二、防治僵尸网络的对策1.采用Web过滤服务Web过滤服务是迎战假尸网络的放有力武器°这些过滤服务扔描Web站点的不正常行为，或者扫描已知的恶意活动,并II阻止这些站点与用户接触cWebsense及Cyveillance等公司的工具都可以实时地监视互联网，并査找从事恶意或可疑活动的站点

6、，如卜载JavaScript或执行screenscrapes等正常'Web浏览之外的其它可疑操作。2.转换浏览器防止鮒'网络感染的刃种策略是采用微软的InternetExplorer或Mwilla的Firefox之外的浏览器。这两者是授流行的浏览器，但正因为如此，恶意软件作者们通常也乐意为它们编垢代码。同样的策略也适用于操作系统，据统计，苹果操作系统、桌jfliLinux操作系统用户很少受到倜尸网络的侵扰,这是因为大多数倜尸程序的作者都把目标指向了流行的Windows操作系统。1.禁用脚本一个极端的措施是完全地禁用浏览器的脚木功能，但需要注意的是，有时候这会不利于工作效率，

7、特别是在使川了定制的、基于Web的应用程序时更是如此。2.部署入侵检测和入侵防御系统应调整TDS（入侵检测系统）和IPS（入侵防御系统），使Z可以检测具有健尸主机特征的活动。例如，重复性的与外部的rp地址连接或菲法的DNS地址连接都是相当可疑的。此外还有一些典型特征，如-个机器中SSL通信的究然上升，特别是在某些端口上更是这样，这就可能表明一个偎尸控制的通道已经被激活了。然而，值得注意的是，许多IPS检测器使用基于特征的检测技术，也就是说，这些攻击被发现时的特征被添加到•个数据库中，如果数据库中没有有关的特征就无法