什麼是僵屍網路 僵屍網路的防禦(6)
算過程的結果,給出一個綜合評分。步驟3 分析可能的命令與控制連接,計算出連接同一伺服器的可疑僵屍主機數量、計算出可疑連接與 IRC 流量模型的相似性距離,並結合兩者計算該可疑連接為僵屍網路命令與控制通道的得分;
步驟4 通過與其他數據源(如基於蜜罐技術發現的僵屍網路數據)的關聯、DNS 功能變數名稱驗證和人工驗證確認檢測到的僵屍網路。
與之前工作相比,Karasaridis 等人的方法具有如下優勢:
? 分析方法完全在傳輸層以下進行,沒有涉及應用層資訊,因此檢測效率將更高,可在骨幹網上實施;? 基於網路流數據被動監聽與分析,不涉及到隱私問題,數據也明顯減少,並可以檢測加密通訊的 IRC僵屍網路;? 誤報率低,在實驗中達到了2%的較好水準,同時可以量化僵屍網路的規模等資訊。
Binkley等人提出了一個基於TCP掃描權重(TCP work weight)的啟發式異常檢測演算法以檢測IRC僵屍網路控制通信, w=(Ss+Fs+Rr)/Tsr
其中,Ss為發送的SYN包和SYN|ACK包數量,Fs為發送的FIN包數量,Rr為接收的RESET包數量,Tsr為全部TCP數據包數量,TCP掃描權重w為TCP控制報文數與總TCP報文數的比重。
該演算法基於IRC僵屍網路中大量僵屍主機連接到同一IRC頻道,並接受網路傳播命令進行大量的TCP SYN掃描這一觀察,按照公式(4)定義TCP掃描權重這一評價指標,並通過識別TCP掃描權重超出正常閾值的被感染IP地址及其連接的IRC頻道對僵屍網路進行檢測。 引起主機的高工作比重值的可能性有三個:1)掃描者;2)某種原因造成的失去伺服器連接的客戶端;3)P2P主機(通常是GUNTELLA客戶端)。同時通過觀察發現,比重值聚合成高端值和低端值(約為0.3%),攻擊者通常落在較高的範圍,P2P客戶端通常落在較低的範圍。
4.2 bot行為仿真及監控
利用主動式和被動式蜜罐系統獲取Bot程式樣本,監控Bot主機的傳播方式和通訊方式,從而得到botnet的行為特徵,包括感染行為:駐留系統的模式(用戶模式、內核模式)安裝檔、修改檔、修改註冊表、對系統進程和函數的調用、鍵盤操作記錄、對系統服務和網路服務的控制。傳播行為:掃描、漏洞的利用。通信行為:IP地址、端口號、協議特徵、命令。對代碼特徵的分析分析包括:加殼與脫殼、Shellcode、特徵指令序列、檔片段。對日誌的關聯分析:系統日誌、IPS攻擊日誌、流量資訊記錄。常用的分析方法包括:沙箱法(一種按照安全策略限制程式行為的執行環境)和蜜網線上資訊收集法(常見的系統監控程序包括SEBEK、入侵檢測系統)
4.3 流量數據特徵匹配
採用流量數據特徵匹配方法,必須充分瞭解僵屍程式,提取指紋資訊作為IDS檢測的特徵。傳統的IDS系統無論是基於特徵還是基於異常的,都是關注入流量,並查找點對點的入侵企圖的惡意特徵。NIDS系統具有檢測初始的入方向入侵企圖。但是從這些海量的入侵告警記錄中找到被感染的主機是非常艱巨和具有挑戰性的任務。為了解決這個問題,入侵告警關聯可以使分析人員獲得對告警事件流的更概括的解釋,因此可以減少噪音的問題。
這方面的研究有很多,其中一個主要的理論分支稱為 “告警焊接”, 例如把類似的告警事件放在同一個標籤下。最基本的目標就是減少日誌,在大多數系統中,要麼是基於多事件歸因於一個單一的威脅,要麼是提供一個針對一個單一的目標的經過整理的通用事件集的視圖,我們引入了“證據追蹤”的方法通過分析感染過程的通信序列來識別成功的Bot 感染,稱為會話關聯策略。在這個策略中, Bot 感染過程可以建模成感染主機與外部實體間一個鬆散順序的通訊流。特別是所有Bot都共用同樣的發生在感染週期的活動集:目標掃描、感染漏洞、二進位檔下載並執行、C&C頻道建立、向外地掃描。不必假設所有這些事件都是必須的,也沒有要求這些每個事件都被檢測到。系統收集每個內部主機的事件蹤跡找到一個滿足我們對bot 檢測要求的合併序列的門限。
BotHunter [7]管理器是一個基於IDS驅動的會話管理技術的具體實現。它是由Snort驅動的,它利用了Snort’s 特徵引擎的全部優勢,合併了一個惡意軟體特徵的大的集合。這些特徵引擎使得系統可以產生由探索漏洞活動所引起的對話告警,代碼下載、以及C&C 的服務模式。BotHunter 管理器還包括了兩個Bot特徵異常檢測插件:SLADE 和SCADE。SLADE 實現了一個鬆散的N-gram 入流量淨荷分析,對某種協議的位元組分佈差異進行分析,這種差異代表通常的入侵行為。SCADE 對流入和流出流量執行並行且互補的端口掃描分析。
BotHunter 關聯器將入方向的掃描和入侵告警與出方向高度懷疑已感染主機的通訊模式關聯。如果發現足夠的告警序列與BotHunter 模型匹配,則生成一個完整報告,涵蓋所有相關的事件和參與會話的感染主機。
參考文獻
[1] honeynet project ,”Know your enemy – Tracking Botnet”
[2] Joe Stewart , “Emerging Threats : From Discovery to Protection”
[3] Lurhq Threat Intelligence Group,”Phatbot Trojan Analysis”, http://www.lurhq.com/phatbot.html
[4] Lurhq Threat Intelligence Group,” Sinit P2P Trojan Analysis
[5] Anestis Karasaridis, Brian Rexroad, David Hoeflin,《Wide-scale Botnet Detection and Characterization》
[6] Binkley ,An Algorithm for Anomaly-based Botnet Detection
[7] Guofei Gu, BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation
頁:
[1]