僵尸網(wǎng)絡(luò)近年來已經(jīng)成為企業(yè)的大敵���,近期發(fā)現(xiàn)有這樣一群僵尸機(jī)“捆綁銷售”,常年堅(jiān)持多渠道僵尸網(wǎng)絡(luò)活動和DDoS攻擊��,“不拋棄”“不放棄”�。
人設(shè):
◆ “C位成員”(僅占攻擊者中2%)以一己之力發(fā)起了20%的攻擊;“核心成員”(僅占攻擊者中的20%)發(fā)起了80%的攻擊;
◆全員酷愛反射攻擊,特別是大流量攻擊;
我們將這樣的團(tuán)體稱為“IP團(tuán)伙”(IP Chain-Gang)��。每個IP團(tuán)伙由某個或者一組黑客控制者����。因此����,同一個團(tuán)伙在不同的攻擊中必然會表現(xiàn)出相似的行為���。
綠盟科技根據(jù)近兩年所搜集的DDoS攻擊數(shù)據(jù)�、多個IP團(tuán)伙并研究了他們的團(tuán)伙行為�,近期推出了《IP團(tuán)伙行為分析》�����。本文簡要介紹報(bào)告中的IP團(tuán)伙的識別手段��,分析IP團(tuán)伙的規(guī)模��、攻擊次數(shù)�����、攻擊時長和攻擊流量���。希望����,通過研究團(tuán)伙的歷史行為建立團(tuán)伙檔案,以便更準(zhǔn)確地描述其背后一個或多個攻擊控制者的行動方式��,同時更有效地防御這些團(tuán)伙未來可能發(fā)起的攻擊��,防患于未然�。
1識別IP團(tuán)伙
為識別IP團(tuán)伙,我們首先分析了綠盟科技自2017年以來所搜集的DDoS攻擊數(shù)據(jù)�����,并按步驟進(jìn)行了下述操作:
a. 確定一次協(xié)同攻擊中的攻擊者并將其劃歸一組��。這里�����,我們將協(xié)同攻擊定義為針對同一目標(biāo)幾乎同時發(fā)起的攻擊����。由于這些攻擊者協(xié)同工作,因此有理由相信他們?yōu)橥粋€攻擊控制者控制�。
b. 如果上一步中有兩個組重疊或其行為非常相似,則將其合并為一個更大的組�����。重復(fù)此合并過程,直到不再存在重疊的組����。在此過程中,使用復(fù)雜的機(jī)器學(xué)習(xí)算法來確定“相似性”閾值��。
c. 清除組中的“偶然攻擊者”(僅參與一小部分攻擊的攻擊者)�����,提取每個攻擊組的核心成員�,得出我們所稱的“IP團(tuán)伙”����。
通過這一步驟,我們確定了80多個活躍的IP團(tuán)伙�����。在本研究報(bào)告中����,我們在算法中選擇了相當(dāng)嚴(yán)格的參數(shù),因此�,這些團(tuán)伙中的所有成員都是實(shí)實(shí)在在的慣犯����。每個慣犯都在我們的研究期間進(jìn)行了多次攻擊����。因此,盡管這些團(tuán)伙成員的數(shù)量僅占我們數(shù)據(jù)集中所有攻擊者的2%�,但它們發(fā)起的攻擊約占所有攻擊的20%。
應(yīng)該注意的是����,任何團(tuán)伙的組成都會動態(tài)變化。本報(bào)告中����,我們將研究期間的團(tuán)伙行為視為靜態(tài)。在未來的研究中�,我們將考慮動態(tài)性質(zhì)。
2 IP團(tuán)伙統(tǒng)計(jì)分析
在確定團(tuán)伙之后�,我們從幾個不同的角度研究了各團(tuán)伙的行為。除非另有說明����,本節(jié)中提及的數(shù)字為同一團(tuán)伙所有成員的累計(jì)計(jì)數(shù)。
2.1 IP團(tuán)隊(duì)規(guī)模:千人團(tuán)體占主導(dǎo)
下圖展示了IP團(tuán)伙規(guī)模的分布情況。大多數(shù)團(tuán)伙成員不到1000人�,但我們也發(fā)現(xiàn)有一個團(tuán)伙的成員高達(dá)26,000多人。
圖1 IP團(tuán)伙規(guī)模
2.2 20/80法則�,到哪里都適用
下圖展示了各團(tuán)伙發(fā)起的DDoS攻擊事件的數(shù)量,按事件次數(shù)統(tǒng)計(jì)����。毫不意外,大約20%的團(tuán)伙發(fā)起了80%的攻擊���。
圖2 攻擊總次數(shù)(按各團(tuán)伙攻擊統(tǒng)計(jì))
攻擊事件次數(shù)
2.3 團(tuán)伙最長總攻擊時長超過13“年”
下圖展示了同一團(tuán)伙所有成員的總累計(jì)攻擊時長的分布情況����。有些團(tuán)伙的總攻擊時長高達(dá)5000多天(>13“年”)��,但多數(shù)團(tuán)伙不到1000天��。
圖3 團(tuán)伙總攻擊時長
2.4 更少的團(tuán)員���、更多攻擊次數(shù)、更大攻擊流量
我們一般總感覺���,較大的團(tuán)伙會發(fā)動較多攻擊時間��,且產(chǎn)生的攻擊總流量也較大����,但事實(shí)并非如此。
如下圖所示����,與更大規(guī)模的IP團(tuán)伙相比,擁有較少成員的團(tuán)伙可能會發(fā)動更多攻擊并發(fā)出更多攻擊流量��。這說明�����,特定團(tuán)伙中的攻擊者可能擁有更多渠道可以利用�����。
下圖展示了按總流量排名的前10個團(tuán)伙��,攻擊總流量以不同大小的橙色氣泡表示����。
圖4 團(tuán)伙規(guī)模、攻擊次數(shù)及攻擊總流量對比
如上圖所示����,發(fā)動攻擊次數(shù)最多(> 50K)的團(tuán)伙僅擁有274名成員����,超過了所有其他團(tuán)伙�。而最大的氣泡(即攻擊總流量最大)對應(yīng)的團(tuán)伙攻擊次數(shù)竟然較少(<10K)。
結(jié)語
據(jù)我們所知���,將DDoS攻擊作為協(xié)同團(tuán)伙活動進(jìn)行研究尚屬首次�。從這一全新角度來研究��,可以獲得一些獨(dú)特見解�����,有助于我們更好地檢測���、緩解��、取證分析甚至預(yù)測DDoS攻擊。
本報(bào)告是IP團(tuán)伙主題系列中的開篇之作�����。在后續(xù)報(bào)告中,綠盟科技計(jì)劃進(jìn)一步研究團(tuán)伙成員構(gòu)成如何演化與聯(lián)系���,以及如何基于此構(gòu)建更有效的防御措施���。
了解更多,可查看綠盟科技《IP團(tuán)伙行為分析》報(bào)告完整版 http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/
分享名稱:IP團(tuán)伙行為分析:大流量與多渠道攻擊一體化
URL標(biāo)題:
http://uogjgqi.cn/article/coiohho.html
