《使用基于mashup方法的僵尸网络雇主检测》由会员分享,可在线阅读,更多相关《使用基于mashup方法的僵尸网络雇主检测(4页珍藏版)》请在金锄头文库上搜索。
1、刘育文学号:08211736班级:082113201使用基于使用基于 mashup 方法的僵尸网络雇主检测方法的僵尸网络雇主检测摘要摘要-僵尸网络被工业上和学术上的专家们认为是对因特网安全最大的威胁。这些网络由大量的被恶意软件感染的集中控制下的主机组成。它们通常用来进行分布式拒绝服务攻击 或者钓鱼诈骗。这些僵尸网络的行为随着采用新的、尖端的感染方法,改变网络协议,使 用不同的命令和控制机制不断演变。因此,安全社区总是处理这种不断的变化。然而,大 多数的僵尸网络减灾方法提出的仅仅是特定的感染类型或者 C&C 协议(指挥和控制协议) 。 因此,我们提出了一个基于这种已有工具的动态整合的僵尸网络减灾
2、方法,共同采用以实 现一个更有效地检测方法。文章末尾,我们的方法基于一种称为 mashup 的新型 Web 2.0 技术来执行相关的信息。该提案是可扩展的足以让甚至是非安全信息如在线地图应用程序 接口被整合成更复杂的组合物,并且以一种更有意义的方式展示了结果。1.介绍介绍个人电脑的增值和通信消费的降低导致了电脑网络,尤其是因特网的增长。不幸的是, 这种增长带来了与之相关的越来越多的易受攻击的主机被感染。在过去,这些感染时由一 些旨在妥协和禁用它们的目标的病毒和蠕虫。然而,这种局面已经改变了,病毒制造者不 再仅仅旨在获取来自他们社区或者媒体的认可和关注,现在他们的主要兴趣是谋取利益。 多数感染不
3、再致力于引起受害者的非运作。相反,被感染的主机成为僵尸,能够被称为雇 主或僵尸雇主的人类操作员远程控制。这样的主机集合称为僵尸网络且通常用于非法目的, 如大规模的分布式拒绝服务攻击,垃圾邮件和网络钓鱼。僵尸网络目前被认为是因特网上最大的安全威胁。主要原因之一就是大量的受感染的 主机。根据 Vincent Cert,因特网上 25%以上的电脑属于僵尸网络。另一个原因是它们的有 效性。结合广泛分布在因特网上上百台甚至上千台机器来完成一个简单的任务如一个服务 器分布式拒绝服务攻击或者发送大量的垃圾信息使得这种方法非常有效并且很难阻止。由 于该广泛性,使得解散这些网络也是一个很复杂的任务。然而,从概念
4、上讲僵尸网络有一 个单点故障,能够被潜在的挖掘。识别僵尸网络控制者开辟了许多可能的对策,如阻塞通 信,从僵尸网络中移除被感染的机器,或者甚至渗透控制者主机以识别他的僵尸网络所有 的参与者,就如文献【4】提出的那样。 大多数检测僵尸网络雇主的方法都是基于检测用于僵尸网络雇主和僵尸之间的通信机 制,被称为 C&C 通道(指挥和控制通道),集中化僵尸网络已经广泛采用 IRC 协议(因 特网中继聊天)很多年了。通过 IRC 或者禁用它们的通信从恶意软件中提取信息的努力是 能被找到的,如文献【1】、【4】、【6】,然而,更复杂的僵尸网络开始使用其他的通信 信道。例如,HTTP 被用来提供更强的隐匿性通过
5、混合 C&C 信息和常规的 Web 流量,同 时更容易地穿过防火墙。风暴蠕虫采用 P2P 通信分布控制僵尸网络。这样的方法提高了检 测僵尸网络雇主的难度,如今只有很少一部分工程声称解决所有的这些。 用于发现僵尸网络雇主信息的一个技术就是把程序放在沙箱中执行。一个沙箱就是一 个受控制的环境,它允许受感染的二进制文件安全的执行和对恶意软件行为的监测。该监 测包括系统调用,被创建和执行的文件以及网络行为,这项技术已被证明其监测僵尸网络 控制者的有效性。然而,该技术的采用带来了与之相关的建立环境和使用商业工具的费用。 目前,有些是免费的,基于 Web 的沙箱,如文献【11】、【12】和【13】,它们的
6、使用能刘育文学号:08211736班级:082113202够减灾甚至消除这些费用,以一个更受限制的功能和数据库为代价。 鉴于该局面,我们提出了一个基于 mashup 方法来监测僵尸雇主。Mashup 是一项最新 的 Web 2.0 技术,它提出一个 Web 网页上外部资源的灵活 动态整合,从该整合生成新的 功能。我们的基于 mashup 方法包括从 web 上可用的二进制分析工具(即网上沙箱和反病 毒)整合和相关信息。我们采用其他的免费的基于 web 的工具,如地理编码服务和地图应 用程序接口,更好地展现取得的结果。该方案的主要目标是分析,如果免费使用和整合, web 可用工具是可行的、有效地
7、。我们也为社区提供一新的工具检测和可视化僵尸雇主。 本文余下部分组织如下,在第二部分,我们描述基于 mashup 的解决方案,在第三部 分,定性的评估我们的方案,在第四部分,我们展示已得出的结论和提出将来的工作2.新方法新方法在这部分,我们将讨论僵尸网络减灾方案,它包括一个僵尸网络检测工具,该工具整 合和相关在线二进制分析的信息,在地图上显示被发现的基于它们 IP 地理位置的僵尸雇主。 同时也提供了一个二进制提交接口和在线数据库,该数据库存储所有的关于已分析的二进 制文件的信息。 A 创建的创建的 mashup我们开发了一个检测僵尸雇主和 C&C 信道的 mashup,如图 1 所示,整理和相
8、关来自 web 可用的二进制分析工具的信息,如沙箱和反病毒。所取得的结果定位在地图上。此外, 地理和地图组建也被展示,我们同时开发了另外两个,一个在线访问沙箱和反病毒工具, 另一个是访问 IP 和 ASN 转化服务(如Whois)分析分析:一个接受网络管理员上传的二进制文件的适用组件,并且将它转化到在线分析工 具。它的输出是有关感染类型,C&C 服务器,IP 地址和时间分析等信息的集合。Whois:一个检索基于一个 IP 地址的 ASN 的适用组件,它被用来发现 C&C 服务器基于哪 个 ISP。该信息是从一个Whois网页上检索的,该网页仅仅接受 IP 地址。 僵尸雇主检测的 mashup
9、接收受感染的二进制文件,该文件能被用户或者由网络管理 员聚集的蜜罐提交。这样的二进制文件被提交给三个在线二进制分析工具。CWSandbox and Norman 将执行二进制文件和分析它的行为,且 Virus Total 将扫描二进制文件为病毒签 名。然后从这三个工具集合的信息就是相关的。这样的相关旨在发现关于一个可能的 C&C 通道的信息,如果成功的话,试图识别 C&服务器。 有了 C&C 信息,为了发现 C&C 服务器和负责它的 ISP,我们使用我们的地理位置和 Whois 组件。然后该信息被汇总和发送到 Map 组件,该组件生成一个互动的基于 map 的 Web 网页。该网页允许通过标志
10、代表僵尸网络的二进制向量时间蔓延世界的 C&C 服务器 的可视化,如图 1 所示。进而,聚集起来的信息在被检测的僵尸网络向量和私用不同数据 格式(即 XML and JSON)的 C&C 服务器的数据馈送里是可用的。该信息同时有计时邮戳, 允许感染的暂时表述。 来自许多沙箱和反病毒在线工具的结果的组成对基于集中化方法的僵尸网络的识别和 减灾是供替代的选择。它以更简单的免费整合的工具代替复杂的、付费工具的使用。该基 于 mashup 方法取得的适用性是很重要的,因为在 C&C 信道里使用的技术的异质性。因为 每个沙箱工具能够分析和检测一套特定的技术,多重工具的使用允许 mashup 检测不同类
11、型的感染。进一步,它允许不断的 self-atualization,通过新工具的加入来检测新的感染类 型。新分析机制的支持通过包装的创建是可能的,这是一个简单的过程。 最后,mashup 被建立了可重用的思想,在这种情况下,这个特点允许已创建的刘育文学号:08211736班级:082113203mashup 被用来当做用于更先进的僵尸网络健在 mashup 的建筑块。例如,开发一个用于识 别 P2P 僵尸网络的 mashup 是可能的。更进一步的可能性包括防火墙过滤的实现和添加, 自动地把网络上潜在的主机从 C&C 信道分离开,且自动地通过流动分析检测受网络里感 染的主机。3.评估和证明评估和
12、证明在这部分,我们评估僵尸网络减灾方法的 mashup,该评估划分为两个方面。第一, 我们评估基于定性方法的 mashup,对它的优点和缺陷做了一个分析。然后我们做了一个比 较的评估,将我们的方法同当前的僵尸网络减灾和呈现在第三部分的信息集中技术相比较。A定性评估定性评估为了定性的评估我们的方法,我们确定了一些即将被详细地讨论的特点。呈现在下面 的这些特点,将是这个字部分的重点: 灵活性灵活性:涉及对新局面的适用能力,如处理新的僵尸网络或者新的 C&C 技术; 可扩展性可扩展性:被不同工具或者方法重用的可能性; 实现努力实现努力:实现理论研究方法所需要的努力; 使用努力使用努力:一旦僵尸网络减
13、灾 mashup 实现就投入使用所需要的努力; 可靠性可靠性:僵尸网络减灾 mashup 有多可靠,特别是在重要形势下。 我们的 mashup 的灵活性是基于整合新的僵尸网络信息和减灾工具的能力。这对 僵尸网络减灾特别有意思,因为这样的网络总是在不断演变。新的 C&C 协议,感染方 法和混淆技术总是被使用且约束新技术的使用和处理它们的工具。包装器能被用来创 造这些新的工具,使它们能够被整合进我们的僵尸网络减灾 mashup。此外,非排他 性的安全工具能被用来增加 mashup 方法的有效性。例如,一个分析网络流量的模块 流动寻找 C&C 信道可以被开发,且一个防火墙模块能动态地创建防火墙规则来
14、停止这 样的通信。 获得灵活性是因为我们的 mashup 系统的模块化。我们提出并实现了模块(即包 装器)来访问不同的在线沙箱和反病毒系统。这样的模块是由已存在的最初在其他方 面(即窥探 BGP)创建的模块组成的(即地理位置和地图) 【15】 。组成的结果(即在 第四部分展示的僵尸网络减灾 mashup)能再利用并且被 mashup 系统的其他用户扩展, 但是,也包括不使用这个系统的用户,例如,在不同的数据格式下(即 JSON, CSV, XML)访问可利用的报告。该报告包括如下信息:感染类型,僵尸网络名字,被感染 主机的 ASN,地理的和按时间顺序的消息。 实现努力的降低通过包装器访问外部系
15、统而实现。事实上,使用一个基于 mashup 的方法减少了通过软件开发者创造独立的包装器付出的努力。这些包装器的 整合是网络安全管理者的责任,他们很了解安全但是不必是一个熟练地程序员。关于 使用努力,mashup 方法给终端用户提供了轻易操纵组件和改变组成的可能性,这增 加了另一个可扩展层,像之前论的那样。 我们意识到我们方法的可靠性缺陷。它的发生是因为 mashup 依赖于免费得在线 的和外部工具,它们都会失败。像离线服务,超载服务,中止服务及 API 改变这样的 问题也许会导致这样的在线工具的使用。冗余曾被、现在被用来缓解这个问题。同样 地服务在网上是可利用的,如在我们的实现里使用的沙箱。
16、进一步,一旦关于僵尸网刘育文学号:08211736班级:082113204络的信息被收集,它将被存储在 mashup 系统里,为了防止外部服务的失败,二进制 文件分析妥协了。但是存在的报告仍是具有功能的和有用的。因此,我们方法的可靠 性跟管理员的需求是相适应的,但是它要求组件的适当选择。4.结论结论本文中,我们提出了一个基于 mashup 的僵尸网络减灾方法。在我们的方案里, 我们覆盖了不同僵尸网络减灾工具和技术同在僵尸网络减灾 mashup 里的外部资源的整合。 基于这个方案,一个 mashup 原型被开发,其信息是关于被检测的僵尸网络使用免费得在 线沙箱和反病毒工具与地理编码,Whois 个地图在线服务。由于不同技术整合的可能性,包括还没来的,覆盖了不同类型的僵尸网络,我们得 出结论:我们的基于 mashup 方法适用于僵尸网络百变的局面。然而,该方法不旨在替代 其他的僵尸网络减灾努力,但是利用和相关它们以最优化取得的结果并且从整合里创造新 的。这将进一步通过在我们的评估部分比较其他的演示方法增强,在评估部分,僵尸网络 减灾 mashup 显示了优越的标准覆盖,跟
