自訂搜尋

Sunday, May 27, 2012

TANET2010論文:「Follow the spam:殭屍電腦偵測通報機制」

Botnet,或者我說的殭屍電腦,指的是一群被植入惡意軟體,而被駭客自遠端控制的電腦。我不像防毒軟體公司那樣,把惡意軟體分成病毒(virus)、木馬(Torjan)、蠕蟲(Worm)那麼多類;也許那樣的區分對他們很重要,但對我,一個前網路管理人員來說,只要被植入惡意軟體,不管屬於哪一類,我都想偵測出來並將它清除。

2007年愛沙尼亞遭受來自殭屍電腦的大規模網路攻擊後,我將自己對殭屍電腦的想法寫了下來。我認為殭屍電腦的威脅來自於其數量;當大量的殭屍電腦發動攻擊時,任何的防禦措施都沒有用的。有效的解決方案應該將重點放在減少殭屍電腦的數目,才能在攻擊發生前削減其攻擊能量。

我曾利用Greylisting阻擋來自殭屍電腦的電子郵件(並以此經驗寫了另一篇TANET論文:Open Relay自動測試通報機制),此時便想到可藉此偵測發送垃圾郵件的殭屍電腦;搭配對殭屍電腦受害者(也就是電腦的真正擁有者)的通報措施,應該就可達到削減殭屍電腦攻擊能量的效果。

當初原本希望在台灣學術網路驗證這個想法,卻遲遲未能如願;兩年後(2009年),我等不下去了,決定自己動手來驗證。由於資源的限制(沒有外界的支援),此時我並非利用Greylisting來偵測殭屍電腦;所幸結果還算成功。我對(發送垃圾郵件的)殭屍電腦的偵測與通報,對2009年後全球垃圾郵件逐年減少的趨勢,應該也有部分的貢獻。

以下列出這篇論文的中英文摘要;有興趣的人,不妨下載PDF檔(按此下載)來看。

中文摘要:

由於控制了大量的運算能力與網路頻寬,殭屍電腦被公認是網際網路上的重大資安威脅。目前多數的反制措施仍著重在切斷駭客透過C&C server控制殭屍電腦的能力,但由於未能通知受害者修補系統內的安全弱點,其電腦終將再次被駭客所控制,持續威脅資訊安全。

為有效解決此一問題,本機制將重點放在偵測殭屍電腦的IP位址並進行通報上。藉由追蹤垃圾郵件的發送來源(follow the spam),此機制每天平均可偵測到3300台以上的殭屍電腦,並對其中2900個以上的IP進行通報。

Abstract (英文摘要):

Because of the tremendous computing power and bandwidth they possess, botnets have been viewed as a serious threat to the Internet. Most mitigation efforts try to bring down botnets by taking the C&C servers offline. However, they often fail to notify the victims, and vulnerabilities within the zombie computers remain unfixed. Thus it is just a matter of time before hackers take control of those computers again.

A botnet detection system has been built to solve the problem above, and it focuses instead on tracking zombie computers and notifying the victims. By following the spam, and tracing back to the origin, on average the system is able to uncover more than 3300 zombie computers every day, and notify the victims for around of 2900 of them.
Share/Bookmark

No comments: