本研究認為隨著 SSH 字典檔攻擊的發展時間越長,會逐漸有越來越多入侵 機率較高的帳號密碼組合被放入字典檔中,因此兩個不同時間區間出現的帳號密 碼組合,當時間區間距離較長時應會有較大差異,反之當時間區間較近時會有較 高的相似度。本研究將各月份做為時間區間代表,以 Jaccard 距離將網域 A 、 網域 B 各月的出現次數前二十名帳號密碼組合對其他月份所出現次數前二十 名的帳號密碼組合進行計算之結果,分別呈現在圖 4-10 、 圖 4-11 。
圖 4-10. 網域 A 的各月份帳號密碼出現前二十名之相對距離
在網域 A 中,以 200910 ( 2009 年 10 月)為例,與 200911 和 200912 的距離 皆只有 0.33 ,與 201009 以及 201010 的距離則拉開到 0.67 以上,依序與其 他月份相較,其距離也是呈現逐漸加大的趨勢。在其他月份大多也是與相近月份 的距離比其他月份的距離短,因此在網域 A 中呈現了帳號密碼組合進行變動的 趨勢。
42
圖 4-11. 網域 B 的各月份帳號密碼出現前二十名之相對距離
相較於網域 A 的情形,大多數月份與相近月份的距離並沒有明顯比其他月份短,
因此網域 B 的帳號密碼變動的趨勢並不像網域 A 來的明顯,但每月最遠距離 大多出現在距離較長的月份,如與 200910 相較最遠距離的月份為 201004 ,因 此在網域 B 中仍有少部分帳號密碼組合變動趨勢的特性。
從以上結果可以呈現以下的現象: 1. 網域 A 與 B 皆有一定程度以上的帳 號密碼組合變動的特性。 2. 在同一網域內各月份的帳號密碼組合情形呈現一定 程度的差異性,很少有兩個月份的帳號密碼組合情形呈現高度相似。由於每月份 出現的帳號密碼組合會有變動的現象,因此對於系統使用者而言,除了避免使用 簡單的帳號密碼組合之外,隔一段時間做更換密碼的動作,更能夠降低被入侵的 可能性。此外,相似度較高的幾個月份代表了這幾個月份以相似的帳號密碼組合 為攻擊主流,因此這些現象極有可能是一個大型的殭屍網路正在進行活動,讓這 些月份出現的字典檔相似,而讓這些月份出現的帳號密碼組合呈現相似的情形。
43
44
最後根據全部蒐集到的 SSH 攻擊字典檔,統計所有帳號密碼組合的出現次 數以及在每個月的排名趨勢,在每個月出現的 SSH 攻擊字典檔排名呈現相當程 度的差異,在各月份與相距較近月份及較遠的月份做比較,可以發現在時間相差 較遠的月份間所出現的帳號密碼組合排名也會有較大的差異,與相距較近的月份 的差異較小,因此本研究認為 SSH 攻擊字典檔常用的帳號密碼組合會隨著時間 而產生變化,新出現的 SSH 字典檔攻擊所使用的 SSH 攻擊字典檔與過去相較 會具備較不一樣的內容。
雖然本研究以 SSH 攻擊字典檔對所有攻擊來源進行叢聚分析,並探討殭屍 網路內的攻擊時間集中特性以及來源地域集中特性,但仍有一些研究上限制,可 供未來相關研究做為參考:
1. 殭屍網路所植入的內部控制機制程式及惡意程式亦是該殭屍網路的攻擊特 性之一,然而本研究只對被動接受到攻擊的 SSH 攻擊字典檔內容做叢聚分 析,並無法蒐集到完整的殭屍網路做為驗證的依據,未來若能擷取到更為完 整控制與命令伺服主機的資訊,則可更進一步驗證本研究的結論。
2. 在本研究中只能蒐集到兩種不相同的網域環境中的 SSH 字典檔攻擊資料,
無法探討不同性質的網域環境,例如商業網路或政府網路的不同網域對於殭 屍網路的群組分布以及攻擊資料的影響情形。
3. 在本研究中只針對於 SSH 的殭屍網路做分析,未來也應擴充本研究的成果,
對於不同類型的殭屍網路,例如 Web 控制的殭屍網路做更進一步的分析,
以更能明瞭在不同殭屍網路控制技術的細節,並且分析是否如本研究在時間 性與地域性所反應的特性。
4. 過去文獻較欠缺長期監測同一殭屍網路內的活動情形,本研究雖以主動式誘 捕系統監控殭屍網路,但監控時間以及蒐集資訊仍不足以完整呈現殭屍網路 內部情形,且若以誘捕系統長期監控殭屍網路,被殭屍網路內部的防護機制 所阻擋的機率也會大增,因此本研究建議未來進行相關研究時,可以在監控 主機的外部環境架設更完善的網域防護機制以及監控機制,降低被殭屍網路 內部防護機制阻擋的機率,以避免更多被進行攻擊的風險,並蒐集到更完整 的資訊。
45
參考文獻
1. Acohido, B., & Swartz, J. (2009). Hacker attack takes down Twitter, Facebook, LiveJournal. 2011,
from http://www.usatoday.com/tech/news/2009-08-06-twitter-attack_N.htm 2. Akiyama, M., Kawamoto, T., Shimamura, M., Yokoyama, T., Kadobayashi, Y., &
Yamaguchi, S. (2007). A Proposal of Metrics for Botnet Detection Based on Its Cooperative Behavior. Paper presented at the SAINT-W '07 Proceedings of the 2007 International Symposium on Applications and the Internet Workshops.
3. Bailey, M., Cooke, E., Jahanian, F., Xu, Y., & Karir, M. (2009). A Survey of Botnet Technology and Defenses. Paper presented at the CATCH, Cybersecurity Applications & Technology Conference for Homeland Security
4. Bergande, E. F. G., & Smedsrud, J. F. (2007). Using Honeypots to Analyze Bots and Botnets.
5. Binkley, J. R., & Singh, S. (2006). An algorithm for anomaly-based botnet detection. Paper presented at the Proceedings of the 2nd conference on Steps to Reducing Unwanted Traffic on the Internet - Volume 2.
6. Brodsky, A., & Brodsky, D. (2007). A distributed content independent method for spam detection. Paper presented at the Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets.
7. Choi, H., Lee, H., Lee, H., & Kim, H. (2007). Botnet Detection by Monitoring Group Activities in DNS Traffic. Paper presented at the CIT '07 Proceedings of the 7th IEEE International Conference on Computer and Information
Technology.
8. Cisco. (2004). Cisco IOS NetFlow. 2011,
from http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_grou p_home.html
9. Daigle, L. L. (2004). WHOIS Protocol Specification, RFC 3912: IETF.
10. Furnell, S. M., & Karweni, T. (1999). Security implications of electronic commerce: a survey of consumers and businesses. [General review]. Internet Research, 9(5), 372-382.
11. Goebel, J., & Holz, T. (2007). Rishi: Identify Bot Contaminated Host by IRC Nickname Evaluation. Paper presented at the Proceedings of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots).
12. Gu, G., Perdisci, R., Zhang, J., & Lee, W. (2008). BotMiner: Clustering analysis of network traffic for protocol-and structure-independent botnet detection. Paper presented at the Proceedings of 17th USENIX Security Symposium on USENIX
46
Security Symposium.
13. Gu, G., Porras, P., Yegneswaran, V., Fong, M., & Lee, W. (2007). BotHunter:
Detecting Malware Infection Through IDS-Driven Dialog Correlation. Paper presented at the Proceedings of 16th USENIX Security Symposium on USENIX Security Symposium.
14. Gu, G., Zhang, J., & Lee, W. (2008). BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. Paper presented at the NDSS.
15. Jaccard, P. (1901). Distribution de la flore alpine dans le bassin des Dranses et dans quelques régions voisines. Bulletin de la Société Vaudoise des Sciences Naturelles, 37, 241-272.
16. Kamluk, V. (2008). The botnet business. 2010,
from http://www.securelist.com/en/analysis?pubid=204792003
17. Karasaridis, A., Rexroad, B., & Hoeflin, D. (2007). Wide-scale botnet detection and characterization. Paper presented at the HotBots'07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
18. Kullback, S., & Leibler, R. A. (1951). On Information and Sufficiency. The Annals of Mathematical Statistics, 22(1), 79-86.
19. Lai, C.-H., & Liu, D.-R. (2009). Integrating knowledge flow mining and
collaborative filtering to support document recommendation. Journal of Systems and Software, 82(12), 2023-2037.
20. Lee, M.-C. (2008). Factors influencing the adoption of internet banking: An integration of TAM and TPB with perceived risk and perceived benefit.
Electronic Commerce Research and Applications, 8(3), 130-141.
21. Lu, W., Tavallaee, M., & Ghorbani, A. A. (2009). Automatic discovery of botnet communities on large-scale communication networks. Paper presented at the Proceedings of the 4th International Symposium on Information, Computer, and Communications Security.
22. Oikarinen, J., & Reed, D. (1993). Internet Relay Chat Protocol: IETF.
23. Owens, J. P. (2008). A Study of Passwords and Methods Used in Brute-Force SSH Attacks. Clarkson University.
24. Pinkas, B., & Sander, T. (2002). Securing passwords against dictionary attacks.
Paper presented at the Proceedings of the 9th ACM conference on Computer and communications security.
25. Rajab, M. A., Zarfoss, J., Monrose, F., & Terzis, A. (2006). A multifaceted approach to understanding the botnet phenomenon. Paper presented at the Proceedings of the 6th ACM SIGCOMM conference on Internet measurement.
26. Ramachandran, A., Feamster, N., & Dagon, D. (2006). Revealing botnet membership using DNSBL counter-intelligence. Paper presented at the
47
Proceedings of the 2nd conference on Steps to Reducing Unwanted Traffic on the Internet - Volume 2.
27. Shannon, C. E. (2001). A mathematical theory of communication. ACM SIGMOBILE Mobile Computing and Communications Review 5(1), 3-55.
28. Strayer, W. T., Walsh, R., Livadas, C., & Lapsley, D. (2006). Detecting Botnets with Tight Command and Control. Paper presented at the Proceedings of the 31st IEEE Conference on Local Computer Networks, Embassy Suites Hotel, Tampa, FL, USA.
29. TheHoneynetProject. (1999). The Honeynet Project. 2010, from http://honeynet.org/project
30. TrendMicro. (2008). Trend Micro 2008 Annual Threat Roundup and 2009 Forecast: Trend Micro Inc.
31. Wang, P., Wu, L., Cunningham, R., & Zou, C. C. (2010). Honeypot detection in advanced botnet attacks. International Journal of Information and Computer Security, 4(1), 30-51.
32. Whitney, L. (2009). Amazon EC2 cloud service hit by botnet, outage. Retrieved from http://news.cnet.com/8301-1009_3-10413951-83.html#ixzz1GgtQNphT 33. Wurzinger, P., Bilge, L., Holz, T., Goebel, J., Kruegel, C., & Kirda, E. (2009).
Automatically generating models for botnet detection. Paper presented at the Proceedings of the 14th European conference on Research in computer security.
34. Xie, Y., Yu, F., Achan, K., Panigrahy, R., Hulten, G., & Osipkov, I. (2008).
Spamming botnets: signatures and characteristics. ACM SIGCOMM Computer Communication Review, 38(4), 171-182.
35. Zeng, Y., Hu, X., & Shin, K. G. (2010). Detection of botnets using combined host- and network-level information. Paper presented at the 2010 IEEE/IFIP International Conference on Dependable Systems&Networks
36. 丁一賢, & 陳牧言. (2005). 資料探勘: 滄海書局.
37. 吳俊達. (2009). Botnet 殭屍網路:無聲的主流威脅 恐使電腦使用者成罪犯.
2011, from http://domynews.blog.ithome.com.tw/post/1252/36516