1、刘育文 学号:08211736 班级:082113201使用基于 mashup 方法的僵尸网络雇主检测摘要-僵尸网络被工业上和学术上的专家们认为是对因特网安全最大的威胁。这些网络由大量的被恶意软件感染的集中控制下的主机组成。它们通常用来进行分布式拒绝服务攻击或者钓鱼诈骗。这些僵尸网络的行为随着采用新的、尖端的感染方法,改变网络协议,使用不同的命令和控制机制不断演变。因此,安全社区总是处理这种不断的变化。然而,大多数的僵尸网络减灾方法提出的仅仅是特定的感染类型或者 C&C 协议(指挥和控制协议) 。因此,我们提出了一个基于这种已有工具的动态整合的僵尸网络减灾方法,共同采用以实现一个更有效地检测方
2、法。文章末尾,我们的方法基于一种称为 mashup 的新型 Web 2.0技术来执行相关的信息。该提案是可扩展的足以让甚至是非安全信息如在线地图应用程序接口被整合成更复杂的组合物,并且以一种更有意义的方式展示了结果。1.介绍个人电脑的增值和通信消费的降低导致了电脑网络,尤其是因特网的增长。不幸的是,这种增长带来了与之相关的越来越多的易受攻击的主机被感染。在过去,这些感染时由一些旨在妥协和禁用它们的目标的病毒和蠕虫。然而,这种局面已经改变了,病毒制造者不再仅仅旨在获取来自他们社区或者媒体的认可和关注,现在他们的主要兴趣是谋取利益。多数感染不再致力于引起受害者的非运作。相反,被感染的主机成为僵尸,
3、能够被称为雇主或僵尸雇主的人类操作员远程控制。这样的主机集合称为僵尸网络且通常用于非法目的,如大规模的分布式拒绝服务攻击,垃圾邮件和网络钓鱼。僵尸网络目前被认为是因特网上最大的安全威胁。主要原因之一就是大量的受感染的主机。根据 Vincent Cert,因特网上 25%以上的电脑属于僵尸网络。另一个原因是它们的有效性。结合广泛分布在因特网上上百台甚至上千台机器来完成一个简单的任务如一个服务器分布式拒绝服务攻击或者发送大量的垃圾信息使得这种方法非常有效并且很难阻止。由于该广泛性,使得解散这些网络也是一个很复杂的任务。然而,从概念上讲僵尸网络有一个单点故障,能够被潜在的挖掘。识别僵尸网络控制者开辟
4、了许多可能的对策,如阻塞通信,从僵尸网络中移除被感染的机器,或者甚至渗透控制者主机以识别他的僵尸网络所有的参与者,就如文献【4】提出的那样。大多数检测僵尸网络雇主的方法都是基于检测用于僵尸网络雇主和僵尸之间的通信机制,被称为 C&C 通道(指挥和控制通道),集中化僵尸网络已经广泛采用 IRC 协议(因特网中继聊天)很多年了。通过 IRC 或者禁用它们的通信从恶意软件中提取信息的努力是能被找到的,如文献【1】、【4】、【6】,然而,更复杂的僵尸网络开始使用其他的通信信道。例如,HTTP 被用来提供更强的隐匿性通过混合 C&C 信息和常规的 Web 流量,同时更容易地穿过防火墙。风暴蠕虫采用 P2
5、P 通信分布控制僵尸网络。这样的方法提高了检测僵尸网络雇主的难度,如今只有很少一部分工程声称解决所有的这些。用于发现僵尸网络雇主信息的一个技术就是把程序放在沙箱中执行。一个沙箱就是一个受控制的环境,它允许受感染的二进制文件安全的执行和对恶意软件行为的监测。该监测包括系统调用,被创建和执行的文件以及网络行为,这项技术已被证明其监测僵尸网络控制者的有效性。然而,该技术的采用带来了与之相关的建立环境和使用商业工具的费用。目前,有些是免费的,基于 Web 的沙箱,如文献【11】 、【12】和【13】,它们的使用能刘育文 学号:08211736 班级:082113202够减灾甚至消除这些费用,以一个更受
6、限制的功能和数据库为代价。鉴于该局面,我们提出了一个基于 mashup 方法来监测僵尸雇主。Mashup 是一项最新的 Web 2.0 技术,它提出一个 Web 网页上外部资源的灵活 动态整合,从该整合生成新的功能。我们的基于 mashup 方法包括从 web 上可用的二进制分析工具(即网上沙箱和反病毒)整合和相关信息。我们采用其他的免费的基于 web 的工具,如地理编码服务和地图应用程序接口,更好地展现取得的结果。该方案的主要目标是分析,如果免费使用和整合,web 可用工具是可行的、有效地。我们也为社区提供一新的工具检测和可视化僵尸雇主。本文余下部分组织如下,在第二部分,我们描述基于 mas
7、hup 的解决方案,在第三部分,定性的评估我们的方案,在第四部分,我们展示已得出的结论和提出将来的工作2.新方法在这部分,我们将讨论僵尸网络减灾方案,它包括一个僵尸网络检测工具,该工具整合和相关在线二进制分析的信息,在地图上显示被发现的基于它们 IP 地理位置的僵尸雇主。同时也提供了一个二进制提交接口和在线数据库,该数据库存储所有的关于已分析的二进制文件的信息。A 创建的 mashup我们开发了一个检测僵尸雇主和 C&C 信道的 mashup,如图 1 所示,整理和相关来自web 可用的二进制分析工具的信息,如沙箱和反病毒。所取得的结果定位在地图上。此外,地理和地图组建也被展示,我们同时开发了
8、另外两个,一个在线访问沙箱和反病毒工具,另一个是访问 IP 和 ASN 转化服务(如 Whois)分析:一个接受网络管理员上传的二进制文件的适用组件,并且将它转化到在线分析工具。它的输出是有关感染类型,C&C 服务器,IP 地址和时间分析等信息的集合。Whois:一个检索基于一个 IP 地址的 ASN 的适用组件,它被用来发现 C&C 服务器基于哪个 ISP。该信息是从一个 Whois 网页上检索的,该网页仅仅接受 IP 地址。僵尸雇主检测的 mashup 接收受感染的二进制文件,该文件能被用户或者由网络管理员聚集的蜜罐提交。这样的二进制文件被提交给三个在线二进制分析工具。CWSandbox
9、and Norman 将执行二进制文件和分析它的行为,且 Virus Total 将扫描二进制文件为病毒签名。然后从这三个工具集合的信息就是相关的。这样的相关旨在发现关于一个可能的 C&C通道的信息,如果成功的话,试图识别 C&服务器。有了 C&C 信息,为了发现 C&C 服务器和负责它的 ISP,我们使用我们的地理位置和Whois 组件。然后该信息被汇总和发送到 Map 组件,该组件生成一个互动的基于 map 的Web 网页。该网页允许通过标志代表僵尸网络的二进制向量时间蔓延世界的 C&C 服务器的可视化,如图 1 所示。进而,聚集起来的信息在被检测的僵尸网络向量和私用不同数据格式(即 XM
10、L and JSON)的 C&C 服务器的数据馈送里是可用的。该信息同时有计时邮戳,允许感染的暂时表述。来自许多沙箱和反病毒在线工具的结果的组成对基于集中化方法的僵尸网络的识别和减灾是供替代的选择。它以更简单的免费整合的工具代替复杂的、付费工具的使用。该基于 mashup 方法取得的适用性是很重要的,因为在 C&C 信道里使用的技术的异质性。因为每个沙箱工具能够分析和检测一套特定的技术,多重工具的使用允许 mashup 检测不同类型的感染。进一步,它允许不断的 self-atualization,通过新工具的加入来检测新的感染类型。新分析机制的支持通过包装的创建是可能的,这是一个简单的过程。最
11、后,mashup 被建立了可重用的思想,在这种情况下,这个特点允许已创建的刘育文 学号:08211736 班级:082113203mashup 被用来当做用于更先进的僵尸网络健在 mashup 的建筑块。例如,开发一个用于识别 P2P 僵尸网络的 mashup 是可能的。更进一步的可能性包括防火墙过滤的实现和添加,自动地把网络上潜在的主机从 C&C 信道分离开,且自动地通过流动分析检测受网络里感染的主机。3.评估和证明在这部分,我们评估僵尸网络减灾方法的 mashup,该评估划分为两个方面。第一,我们评估基于定性方法的 mashup,对它的优点和缺陷做了一个分析。然后我们做了一个比较的评估,将
12、我们的方法同当前的僵尸网络减灾和呈现在第三部分的信息集中技术相比较。A 定性评估为了定性的评估我们的方法,我们确定了一些即将被详细地讨论的特点。呈现在下面的这些特点,将是这个字部分的重点: 灵活性:涉及对新局面的适用能力,如处理新的僵尸网络或者新的 C&C技术; 可扩展性:被不同工具或者方法重用的可能性; 实现努力:实现理论研究方法所需要的努力; 使用努力:一旦僵尸网络减灾 mashup 实现就投入使用所需要的努力; 可靠性:僵尸网络减灾 mashup 有多可靠,特别是在重要形势下。我们的 mashup 的灵活性是基于整合新的僵尸网络信息和减灾工具的能力。这对僵尸网络减灾特别有意思,因为这样的
13、网络总是在不断演变。新的 C&C 协议,感染方法和混淆技术总是被使用且约束新技术的使用和处理它们的工具。包装器能被用来创造这些新的工具,使它们能够被整合进我们的僵尸网络减灾 mashup。此外,非排他性的安全工具能被用来增加 mashup 方法的有效性。例如,一个分析网络流量的模块流动寻找 C&C 信道可以被开发,且一个防火墙模块能动态地创建防火墙规则来停止这样的通信。获得灵活性是因为我们的 mashup 系统的模块化。我们提出并实现了模块(即包装器)来访问不同的在线沙箱和反病毒系统。这样的模块是由已存在的最初在其他方面(即窥探 BGP)创建的模块组成的(即地理位置和地图) 【15 】 。组成
14、的结果(即在第四部分展示的僵尸网络减灾 mashup)能再利用并且被 mashup 系统的其他用户扩展,但是,也包括不使用这个系统的用户,例如,在不同的数据格式下(即 JSON, CSV, XML)访问可利用的报告。该报告包括如下信息:感染类型,僵尸网络名字,被感染主机的 ASN,地理的和按时间顺序的消息。实现努力的降低通过包装器访问外部系统而实现。事实上,使用一个基于mashup 的方法减少了通过软件开发者创造独立的包装器付出的努力。这些包装器的整合是网络安全管理者的责任,他们很了解安全但是不必是一个熟练地程序员。关于使用努力,mashup 方法给终端用户提供了轻易操纵组件和改变组成的可能性
15、,这增加了另一个可扩展层,像之前论的那样。我们意识到我们方法的可靠性缺陷。它的发生是因为 mashup 依赖于免费得在线的和外部工具,它们都会失败。像离线服务,超载服务,中止服务及 API 改变这样的问题也许会导致这样的在线工具的使用。冗余曾被、现在被用来缓解这个问题。同样地服务在网上是可利用的,如在我们的实现里使用的沙箱。进一步,一旦关于僵尸网刘育文 学号:08211736 班级:082113204络的信息被收集,它将被存储在 mashup 系统里,为了防止外部服务的失败,二进制文件分析妥协了。但是存在的报告仍是具有功能的和有用的。因此,我们方法的可靠性跟管理员的需求是相适应的,但是它要求组
16、件的适当选择。4.结论本文中,我们提出了一个基于 mashup 的僵尸网络减灾方法。在我们的方案里,我们覆盖了不同僵尸网络减灾工具和技术同在僵尸网络减灾 mashup 里的外部资源的整合。基于这个方案,一个 mashup 原型被开发,其信息是关于被检测的僵尸网络使用免费得在线沙箱和反病毒工具与地理编码,Whois 个地图在线服务。由于不同技术整合的可能性,包括还没来的,覆盖了不同类型的僵尸网络,我们得出结论:我们的基于 mashup 方法适用于僵尸网络百变的局面。然而,该方法不旨在替代其他的僵尸网络减灾努力,但是利用和相关它们以最优化取得的结果并且从整合里创造新的。这将进一步通过在我们的评估部
17、分比较其他的演示方法增强,在评估部分,僵尸网络减灾 mashup 显示了优越的标准覆盖,跟当前的水平和垂直相关的方法。我们的理解是僵尸网络流动的、动态的特性作为一个安全威胁要求可扩展的和灵活的解决方案,像我们的。已经手动实现了我们的僵尸网络减灾 mashup 及受到 mashup 系统的帮助,我们已经得出结论:它的使用减少了具体化我们的方法的努力及进一步增强它的灵活性和可扩展性。通过 mashup 系统足够的包装器的帮助,整合可以通过网络管理员和(或者)安全专家展示,且结果更好地反映了需求。改变和扩展这个 mashup 变得同样容易。进一步,创造资源需求(IDS、IPS 和沙箱)的包装器是一个
18、较少的需求过程,相比与手动实现 mashups。我们的实现,同时提供好的信息和覆盖范围,免费使用可用的组件(即在线沙箱,反病毒,地理位置工具,地图 API),保持完全免费。然而,可靠性和可持续性遭受因为缺乏这些资源服务的保证。在更重要的实现里,我们建议更加可靠工具的使用。我们的提议将僵尸网络减灾 mashup 视为可扩展的工具,且我们方法的实现反应了这一点。为此,C&C 信息地图编码是可扩展的且用于创造地图的信息在报告里是可用的。例如,与防火墙整合自动地创建阻塞与僵尸雇主通信的规则和/或与流动分析器整合识别网络上受感染的主机都是即将被探索的案例。寻求用于整合的在线资源和怎样利用这些资源来减灾僵尸网络也是一个研究挑战。大量的工具,跟 相关的(如计算机诊断工具)或不相关的(如 RSS feeds)都可用于在线mashup,且他们带来了可能的新的 mashup 主机。另一方面,当前安全工具如基于 mashup方法里的 IDSs、IPSs、防火墙、反病毒整合性的评估也是一个我们想追逐的研究挑战。如果这些工具提供就评估,例如,web 接口,web 服务接口和电脑可读的报告及怎样在基于mashup 方法里使用它们。
