Centralized Botnet Detection by Traffic

Aggregation

Tao Wang,Shun-Zheng Yu Page(s): 86 – 93 2009 IEEE International Symposium on Parallel and Distributed Processing with Applications

報告者 : 林智偉

大綱

• 研究動機與目的• 殭屍網路介紹• 偵測機制和方法 結論

研究動機與目的

研究動機

• 根據賽門鐵克發表的「全球網路安全威脅研究報告第 17 期」報告指出：

• 台灣在全球國家殭屍網路感染排名第二（僅次於美國）。

• 在亞太區更是排名稱冠，顯示殭屍網路為台灣網路安全最大隱憂。

研究動機

• 個資法 2010 年 4 月修正通過， 2012 年 10 月 1號上路。

• 企業將面臨到殭屍網路所帶來的攻擊與竊取個人資料外洩的威脅與龐大的法律賠償。

研究目的

• 透過網路流量的分析來了解 HTTP-based 殭屍網路的運作和行為模式， 找出可利用的行為特徵。

• 保護使用者的電腦不被殭屍網路入侵。

• 提升網路安全。

殭屍網路介紹

• IRC-based 殭屍網路

• P2P-based 殭屍網路

• HTTP-based 殭屍網路

introduction

• Centralized botnet?– IRC Based & HTTP Based botnet– low-latency,anonymous efficient real-time

communication

12

1993 1998 2002 2003 2004 2005 2006 2007 2008

IRC-based

P2P-based

HTTP-based

GT-bot

SDbot, Agobot, Slapper

Spybot

Sinit Phatbot

Spamthru. Nugache

Peacomm(storm)

Karken

Web-based C&CBlackEnergy Pushdo, Cyber bot,

Black Sun RAT, …

1999

PrettyPark

殭屍網路發展示意圖

殭屍網路類別比較IRC-based P2P-based HTTP-based

感染途徑 透過 IRC 的程式 透過一組同儕清單(Peer List) 連線至殭屍網路

主要為強迫下載(Drive-by-Download)

類別優點 透過網頁即可使別人感染，不易被察覺

類別缺點 大部分公司的防火牆已經封鎖此種傳輸協定。

無法在同一時間將指令下達給所有的Bot

• 自身的流量隱藏在正常網頁流量下，使得不易判斷和偵測。

• 由使用者的電腦從內而外穿透防火牆連線。

HTTP-based 殭屍網路特點

Http-based殭屍網路構成元素

Botmaster C&C Server(s) Bots

Botmaster

Bot Bot Bot Bot Bot

目標銀行 /企業網站

C&C Server(s)

散佈垃圾郵件竊取重要機密和帳密

…..

阻斷服務攻擊

16

偵測機制和方法

偵測機制和方法• 1.Preprocessing Module– Traffic filtering– Whitelist• Static • dynamic

• 2.Aggregation Module– Payload group similarity– Sequence group correlation

• 3.Tracking Module• 4.Anti-Botnet

偵測機制和方法

NCD : normalized compression distance

• NCD : normalized compression distance • C(PfiPfj) : compressed size of coneatenation

結論

結論• 本論文提出了一個檢測殭屍網路流量的一個方法，可以判

斷正常流量與異常流量的相似性。

• 針對加密連線 (HTTPS) 的偵測提出了用 Packet Size 與 Packet Interval 來分析流量。

• 透過這個方法提供防毒軟體或 IDS( 入侵偵測系統 ) 一個判斷的依據。

Q & A

Thank you