通信世界网(CWW)4月16日消息 今天,“2009通信网络和信息安全高层论坛”在北京南粤苑宾馆隆重举行。会议由人民邮电出版社主办、信通传媒承办。会议得到了工业和信息化部、中国电信集团、中国移动集团、中国联通集团等相关部门的大力支持。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 绿盟科技行业技术顾问 田民
个人简介
田民:绿盟科技行业技术顾问。具有多年信息网络通信及安全从业经验,先后就职于北京新宇计算机系统有限公司、以色列VocalTec通信系统有限公司。回国后在美国Narus系统有限公司北京代表处作为技术负责人承担与网络流量分析与安全相关的技术支持工作。现就职于绿盟科技,负责运营商行业安全研究与方案编写。
演讲实录
田民:各位尊敬的领导、来宾,大家好!
我今天的题目是《僵尸网络的发现与防治》,内容包括了三个方面,第一个是阐述师一下僵尸网络的威胁和危害,第二个方面介绍一下发现与防治的手段,第三个方面我们探讨一下运营商为什么要治理僵尸网络,以及如何开展一些例如僵尸网络防治的业务运营。
首先,僵尸网络是一种武器,而且是致命的武器。在前不久,就是在4月1日之前,国内外的很多安全机构宣称愚人节Confick蠕虫将爆发,这个数据是来自CNERT,它统计了今年的4月1日到4月6日的数据,飞客蠕虫每日感染IP数量超过了10万个。
我们是否记得07年著名的风暴僵尸网络,该网络在当年的9月份到了一个顶峰,据统计数量超过了5千万台计算机。这个网络发动了很多的DDoS攻击包括自动的报复性反探测攻击。毫无疑问,是针对网络的探测行为激怒了这个网络怪兽。风暴僵尸网络通过发送大量的垃圾邮件盗窃个人的隐私,而且风暴僵尸网络操作股票交易,使投资人有很多的措施。
每一个僵尸网络操作的主机数量超过了1千万台。如果这些主机在某一时刻同时攻击一个出口后果是不堪设想的。问题是,这个僵尸网络的控制者,他们以何种目的,或者说在何种利益的驱使下,在什么时候发动这么一场网络的核武战争?
其实僵尸程序最早是善意的,并不是恶意的。在93年的时候,第一个僵尸程序诞生在IRC里面,这个程序最开始只是帮助IRC的委员自动管理IRV的频道,不幸地是被黑客所利用。
一般认为,BOTNET分别是DDoS攻击、垃圾邮件、监听网络流量、键盘记录、大规模身份窃取。对于运营商来说,无论是从攻击的范围和程度上来讲,DDoS和垃圾邮件是最严重的。我们这里以垃圾邮件为例,根据NSFOCUS公司的统计,全球80%的的攻击来自于僵尸网络。对于用户而言,主要的危害是来自于蠕虫。以键盘记录为例,某些蠕虫可以记下用户的键盘记录规则,用户所有通过键盘输入的记录被记录下来,我们可以想象一下,一个用户访问工商银行网站的时候,他很多的信息,比如说他的帐号、口令有可能被窃取掉。
现在来说,僵尸网络的类型分为四种,第一周是基于IRC的,第二种是基于P2P的,第三种是基于HTTP的,第三种是基于DNS的。基于IRC的僵尸网络数量正在逐渐建设,而基于P2P和HTTP和DNS的正在逐渐增多。
前面我们了解到,僵尸网络的危害是非常大的,我们应该如何防治它呢?现在关于BOTNET的发现方法有很多,但是由于BOTNET不断发展的传播和自我保护技术,使得对BOTNET的识别和定位非常困难。首先,很多的BOTNET是基于P2P和DNS进行传播和攻击的。我们以DNS为例,我们知道DNS是和固定的IP地址所对应的。但是,某些可以实现非常快速的IP地址的变化。我们这里以风暴僵尸网络为例,风暴僵尸网络事实上可以实现每3分钟变换一次IP地址,这样提高了对于僵尸网络的识别难度。此外,僵尸网络普遍采用加密、实名等导致发现它很难。正是由于不能够有效地发现、辨别BOTNET,就不断涌现或者是层出不穷的DDoS攻击。
现在来说,BOTNET的发现技术主要三个模块,第一个是基于行为、特征和统计分析的方式进行发现。其中以贝叶斯统计分析为代表。第二种是基于行为仿真及样本采集的方式进行识别,这种行为以蜜罐和蜜网为代表。第三种是流量数据特征进行判断的。
国内外的很多机构和标准化组织,都在进行BOTNET的研究。我们看一下国内,CNCERT一直在进行BOTNET的防治研究,国内以及行业的标准协会也在起草相关的标准。国外来讲,ITU-T成立了一个计划,这是如何对于BOTNET的防治和攻击开发进行研究。其他的像蜜罐的组织也在进行防治。
通过蜜罐和IDS的配合,去发现和定位BOTNET的一个例子。首先,我们在网络中部署蜜罐和IDS,一台感染了僵尸程序的主机,它会尝试地感染这个蜜罐,或者是我们事先在蜜罐上已经安装好了一个仿真程序。隐藏在互联网里面的僵尸的服务器,他会尝试连接蜜罐设备。这个动作蜜罐是可以感知的,继而蜜罐将流量的特征,以及控制的信息发送给IDS。IDS就可以依据这些信息,可以发现网类存在的类似于僵尸控制服务器和主机的通信。这样以来,就可以定位一个网络里面的节点。
前面我们介绍了僵尸网络的威胁是很大的,以及如何发现和防治僵尸网络。下面,我们探讨一下运营商为什么要治理BOTNET,以及如何开展BOTNET的防止运营呢?
首先,不可否认的是,BOTNET的承载者是运营商。站在国家层面上来说,治理BOTNET是国家和运营商义不容辞的责任。站在运营商自身利益的层面上我们来看,BOTNET对于网络设备、基础设施、数据业务的威胁是非常巨大的。特别是一些DDoS和逻辑邮件,挤占了我们很多宝贵的带宽。因此,治理BOTNET可以提高运营商网络的使用效率,以及提高系统和业务的稳定性。
第三,用户来看的话,如何保护运营商访问用户的信息系统的安全,避免他们的个人信息或者是隐私被窃取,这对于运营商来说也是一个挑战,同时也是一份责任。
我们从三个层面,国家层面、运营商自身利益的层面,以及用户的层面,去探讨一下运营商治理BOTNET的定义。我们换个角度来看,运营商是否可以通过提供BOTNET的防治的增值业务去盈利呢?答案是肯定的。
我们看一下国外的案例,首先看一下AT&T,他们从网络上采集流量进行分析之后,向他的客户提供安全攻击的预警。这个预警信息里面,就包含了BOTNET的定位信息和预警信息,以及DDoS的攻击预警。
