本研究以叢聚分析法對網域內收到的 SSH 字典檔攻擊資料進行分析,對所 有攻擊來源進行分群歸類,把字典檔內容相似度高的攻擊來源分為同一群內,視 為同一類型殭屍網路內的攻擊行為。以這樣的方法流程,本研究將蒐集到的兩個 不同網域的攻擊資料,加上每個攻擊來源攻擊發動時間的變數,觀察同一殭屍網 路內攻擊發動時間的特性,圖 4-8 及 圖 4-9 為根據兩個不同網域收到的資料 所呈現的結果,兩個觀測網域分別代稱為網域 A 以及網域 B ,群組取樣上以 叢聚分析結果後群內有超過 10 個攻擊殭屍的群組,滿足這個條件的在網域 A 有 5 個群組,在網域 B 有 8 個群組:
圖 4-8. 網域 A 內叢聚分析後群內個數數量前五名與時間特性比較
33
圖 4-9. 網域 B 內叢聚分析後群內個數數量前八名與時間特性比較
在圖 4-8 、圖 4-9 中,每個點代表的是攻擊來源,X 軸代表時間,從 2009 年 10 月到 2010 年 11 月,Y 軸代表群體,在同一 Y 軸上即代表為同一群體內。
從圖內各群內個數的集中情形可以發現,屬於同一群組內的攻擊殭屍在攻擊時間 上有一定程度的集中性,以網域 A 的 ClusterA-1 群組為例,群內個體發動攻 擊時間集中在兩個時間區塊,分別為 2009 年 11 月到 2010 年 3 月,以及 2010 年 6 月到 2010 年 9 月。而在其他各群內,也可看到時間集中特性,大 多集中在兩到三塊的時間區塊,亦有只集中於某一時段內,如網域 B 的第六群 組,因此以圖 4-6 、圖 4-7 的群組內攻擊時間分布情形而言,在這些觀測網域 中進行攻擊的群組具有一定程度的時間集中特性。
除了圖 4-8 、 4-9 的分佈圖外,本研究對於時間集中特性統計了各群組內 攻擊殭屍的平均相鄰時間,與對照組的平均相鄰時間做比較,當群組的平均相鄰 時間小於對照組時,代表群組內較有時間集中特性。本研究以一日為單位,計算 群組內每個攻擊殭屍的最小相鄰時間間距,將這些值相加後求出平均數就是群組 的平均相鄰時間。做為比較的對照組,本研究隨機抽樣與群組所在的網域中的攻 擊殭屍,每次抽樣的數量都與群組中的個體數量相同,以此方式抽樣五次後算出 的平均值為該群組結果的對照組。在以下表 4-5 、表 4-6 中,除了計算各群組 及對照組的平均相鄰時間外,亦用 T 檢定( Student’s T Test )檢視各群組與對照 組是否有差異性。
34 ClusterA-5 、 ClusterB-2 、 ClusterB-6 、 ClusterB-7 群組,也有群組與對照 組的相比並無差異,甚至群組內的平均相鄰時間多於對照組,如 ClusterA-3 、 ClusterB-1 、 ClusterB-3 、 ClusterB-5 、 ClusterB-8 群組。以 T 檢定檢視的 結果則只有 ClusterA-1 、 ClusterB-2 、 ClusterB-6 的平均相鄰時間顯著地少 於對照組, ClusterA-4 的平均相鄰時間在 0.05 以上的顯著水準才顯著地少於 對照組。以此兩個網域的結果,本研究認為就整體趨勢而言群組內的各個攻擊殭 屍發動攻擊的時間相較於整個網域內攻擊殭屍的攻擊時間並無明顯時間集中特 性,但各個群組的攻擊時間集中情形會有彼此程度上的差異,即代表有些群組有 著明顯的攻擊時間集中特性,有些群組的攻擊時間集中特性較不明顯。
35
8 Germany 14 2.3%
9 France 13 2.1%
9 Germany 24 2.3%
10 Great Britain 18 1.7%
Thailand 12 1.1%
Netherlands 12 1.1%
European