隨著網路的快速發展,在網際網路上的攻擊行為也越趨頻繁,其中殭屍網路 具備同時發動大規模連攻擊之特性,因此已成為影響網路安全的嚴重威脅,但是 攻擊者可以透過各種系統或服務協定的漏洞嘗試入侵,植入殭屍網路控制程式使 之成為殭屍網路的一員,因此網管人員往往在受害電腦已經受到殭屍網路控制者 指揮,並且發動大量攻擊後才發覺,然而後續處理手法多為將受害電腦系統重置,
鮮少檢驗網域內是否存在其他遭到入侵並且植入相同控制程式的系統主機,所以 本研究利用關聯法則的資料探勘技術,提出一個以網路傳輸流量為基礎的潛藏殭 屍電腦偵測系統,希望透過已知的殭屍電腦、命令與控制伺服主機以及潛藏的殭 屍電腦之間的流量傳輸特性,藉此偵測出可能存在於網域內的潛藏殭屍電腦。
本研究採用實證的方式進行網路流量蒐集,以流量蒐集工具進行一整天的流 量蒐集,將全部的流量資訊以 5 分鐘為單位區分出 288 個時段,透過關聯法則的 運算找出兩個具有關聯性的連線項目,分別依時間間隔、支持度和信賴度評估對 實驗結果的影響。由實驗結果顯示,在時間間隔為 60 秒時對系統偵測能力具有 較好的結果,其中時間間隔為 30 秒時會因為目標連線項目被切分在不同時間間 隔之中,因此無法通過門檻值而成為懷疑名單,導致系統的偵測準確率下滑。而 在時間間隔 90 秒以及 120 秒時,因為時間間隔的拉長,導致許多單一時間間隔 內的連線項目數量增加,使得原本沒有關連線的連線項目因為同時出現的機率上 升,被運算成為關聯規則的可能性大增,造成系統偵測準確率下滑的情況,因此 本研究建議以時間間隔 60 秒來進行網路流量的切割,能夠得到較佳的系統偵測 結果。
同時,由本研究的實驗結果可以發現,支持度與信賴度門檻值的調整會密切
41
影響系統的偵測效能,兩門檻值設定越高將會產生準確率下滑、誤報率降低、遺 漏率攀升的狀況,因為當門檻值設定越高代表兩目標連線記錄必須頻繁地出現在 流量資料中,門檻值太高將會導致多數連線記錄無法成為關聯規則的現象,因此 系統的準確率將會下滑,而誤判的狀況同時也會因此降低,同時遺漏率則會節節 攀升,所以經由實驗結果本研究認為將支持度與信賴度設定在 20%,將可以達到 優異的系統偵測效能。
當受害主機成為殭屍網路的一員時,會與命令與控制伺服主機進行連線,其 特徵將會反映在網路連線記錄中,同時,殭屍網路所具備的潛伏特性並不足以使 用過往的偵測技術進行檢查,故本研究嘗試透過關聯法則方法,檢測受監控網域 的網路連線紀錄與已知殭屍電腦是否存在關聯性,以協助找出潛藏殭屍電腦的存 在。本研究除了可以在網路安全研究領域有些發展外,更可以協助學術網路中的 各級網路管理人員,找出這些潛在殭屍網路所應用的殭屍電腦,標記出在網路控 管範圍內潛藏的網路安全漏洞,可以大量減少在當前學術研究網路上眾多惡意程 式攻擊所產生的損害。對台灣學術網路的各級學校的網路管理人員而言,有許多 是中小學老師,之前對於這一類的安全性威脅經常無法負擔,若具備類似本研究 所提出的檢測潛藏殭屍網路的機制,相信對於他們維護網路安全的工作是重要協 助。
由於實驗所蒐集之網路流量數量相當龐大,因此必須採用白名單進行過濾,
但若攻擊者成功入侵這些世界知名網站,使其成為殭屍網路之溫床,本研究會因 事前的過濾而無法順利偵測發現,故此為本研究之研究限制。此外,由於殭屍網 路控制程式蒐集不易,而本研究僅使用一種集中式架構殭屍網路進行實驗,因此 其控制與指令傳遞的模式可能無法代表所有集中式架構之殭屍網路,建議未來使 用更多不同集中式殭屍網路進行實驗,藉以驗證本研究所提出之實驗方法是否仍
42
具有偵測之能力。同時,本研究目的為從監控網域中某一已知殭屍電腦,透過關 聯法則資料探勘技術,進而延伸偵測出其他已遭到植入相同殭屍網路惡意控制程 式,但尚未開始發動攻擊仍處於潛伏期之電腦主機,然而,在本研究中因為受監 控網域中已存在許多電腦主機,本研究無法擅自植入殭屍網路控制程式於這些電 腦主機中,因此本研究自行架設電腦機並植入控制程式於其中,此結果導致本研 究所需要偵測揭露之潛藏殭屍電腦的數量相對稀少,此為網路安全實驗中不可避 免之研究限制。
本研究雖然在實際網路環境進行實驗與偵測,但網路環境為台灣學術網路中 的部分區域,未來可以在不同網路環境之下,蒐集更多的殭屍網路流量資訊,並 且以本研究所使用之關聯法則運算與驗證評估標準,重新檢驗各項變數對於系統 偵測效能的影響,且可試圖分析在不同的網路環境架構之下,是否會影響本研究 所使用之方法,藉以評估系統偵測效能是否會因為在不同的情境下造成影響。最 後,未來能夠嘗試使用不同型態的流量傳輸記錄,應用於本研究所提出以關聯法 則運算為基礎的偵測模式,相信將有助於潛藏殭屍電腦偵測系統的研究與發展。
43
參考文獻
[1] Alexa Internet Inc., “Alexa Top Sites,” 2012. [Online]. Available:
http://www.alexa.com/topsites. [Accessed: Jun-2012]
[2] R. Agrawal, T. Imieli’nski, and A. Swami, “Mining association rules between sets of items in large databases,” SIGMOD Rec., 1993, vol. 22, no. 2, pp.
207–216.
[3] R. Agrawal and R. Srikant, “Fast Algorithms for Mining Association Rules in Large Databases,” in Proceedings of the 20th International Conference on Very
Large Data Bases, 1994, pp. 487–499.
[4] M. Bailey, E. Cooke, F. Jahanian, Y. Xu, and M. Karir, “A Survey of Botnet Technology and Defenses,” in Proceedings of the 2009 Cybersecurity
Applications & Technology Conference for Homeland Security, 2009, pp.
299–304.
[5] J. R. Binkley and S. Singh, “An Algorithm for Anomaly-based Botnet Detection,” in Proceedings of the 2nd conference on Steps to Reducing
Unwanted Traffic on the Internet, 2006, vol.2, pp. 43-48.
[6] H. Choi, H. Lee, H. Lee, and H. Kim, “Botnet Detection by Monitoring Group Activities in DNS Traffic,” in Proceedings of the 7th IEEE International
Conference on Computer and Information Technology, 2007, pp. 715–720.
[7] E. Cooke, F. Jahanian, and D. McPherson, “The Zombie Roundup:
Understanding, Detecting, and Disrupting Botnets,” in Proceedings of the Steps
to Reducing Unwanted Traffic on the Internet on Steps to Reducing Unwanted Traffic on the Internet Workshop, 2005, pp. 39–44.
[8] T. Dirro, P. Greve, R. Kashyap, D. Marcus, C. Schmugar, J. Shah, and A.
Wosotowsky, “McAfee Threats Report: Second Quarter 2011,” McAfee Labs, Tech. Rep., 2011.
[9] M. Feily, A. Shahrestani, and S. Ramadass, “A Survey of Botnet and Botnet Detection,” in The 3rd International Conference on Emerging Security
Information, Systems and Technologies, 2009, pp. 268–273.
44
[10] D. Feng, D. Ravichandran, and E. Hovy, “Mining and re-ranking for answering biographical queries on the web,” in proceedings of the 21st national
conference on Artificial intelligence, 2006, vol. 2, pp. 1283–1288.
[11] M. Fossi, D. Turner, E. Johnson, T. Mack, T. Adams, J. Blackbird, S. Entwisle, B. Graveland, D. McKinney, J. Mulcahy, and C. Wueest, “Symantec Global Internet Security Threat Report trends for 2009,” Symantec Cloud Message Labs, Tech. Rep., 2010.
[12] J. Goebel and T. Holz, “Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation,” in Proceedings of First Workshop on Hot Topics in
Understanding Botnets (HotBots’07), 2007.
[13] G. Gu, R. Perdisci, J. Zhang, and W. Lee, “BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection,” in
Proceedings of the 17th Conference on Security Symposium, 2008, pp.
139–154.
[14] G. Gu, J. Zhang, and W. Lee, “BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic,” in Proceedings of the 15th Annual
Network and Distributed System Security Symposium (NDSS’08), 2008.
[15] A. Karasaridis, B. Rexroad, and D. Hoeflin, “Wide-scale Botnet Detection and Characterization,” in Proceedings of First Workshop on Hot Topics in
Understanding Botnets(HotBots’07), 2007.
[16] C. Kreibich, N. Weaver, C. Kanich, W. Cui, and V. Paxson, “GQ: practical containment for measuring modern malware systems,” in Proceedings of the
2011 ACM SIGCOMM conference on Internet measurement conference, 2011,
pp. 397–412.[17] G. Lai, C. Chen, R. Tzeng, C. Laih, and C. Faloutsos, “Botnet Detection by Abnormal IRC Traffic Analysis,” in Proceedings of the Fourth Joint Workshop
on Information Security(JWIS), 2009.
[18] J. Li and P. Knickerbocker, “Functional Similarities Between Computer Worms and Biological Pathogens,” Computers & Security, vol. 26, no. 4, pp. 338–347, 2007.
[19] Miniwatts Marketing Group, “Internet World Stats,” 2010. [Online]. Available:
http://www.internetworldstats.com/stats.htm. [Accessed: Jun-2012].
45
[20] J. Oikarinen and D. Reed, “Internet Relay Chat Protocol.” IETF, United States, 1993, p.65.
[21] R. Puri, “Bots & Botnet: An Overview,” SANS Institute, 2003. [Online].
Available:
http://www.sans.org/reading_room/whitepapers/malicious/bots-botnet-overvie w_1299. [Accessed: Jun-2012]
[22] M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, “A Multifaceted Approach to Understanding the Botnet Phenomenon,” in Proceedings of the 6th ACM
SIGCOMM on Internet measurement IMC 06, 2006, pp. 41–52.
[23] M. Roesch, “Snort - Lightweight Intrusion Detection for Networks,” in
Proceedings of the 13th USENIX Conference on System Administration, 1999,
pp. 229–238.[24] L. Spitzner, Honeypots: Tracking Hackers. Boston, MA, USA:
Addison-Wesley Longman Publishing Co., Inc., 2002.
[25] L. Spitzner, “Know Your Enemy: Honeynets,” 2006. [Online]. Available:
http://old.honeynet.org/papers/honeynet/. [Accessed: May-2012]
[26] J. Stewart, “The Coreflood Report,” 2008. [Online]. Available:
http://www.secureworks.com/research/threats/coreflood-report/. [Accessed:
Jun-2012]
[27] W. T. Strayer, D. Lapsely, R. Walsh, and C. Livadas, “Botnet Detection Based on Network Behavior,” Botnet Detection, 2008, vol. 36, pp. 1–24.
[28] Symantec Corporation, “Symantec Intelligence Report: June 2011,” Symantec Cloud Message Labs, Tech. Rep., 2012.
[29] P. Wang, L. Wu, R. Cunningham, and C. C. Zou, “Honeypot Detection in Advanced Botnet Attacks,” International Journal of Information and Computer
Security, vol. 4, no. 1, pp. 30–51, 2010.
[30] Z. Zhu, G. Lu, Y. Chen, Z. J. Fu, P. Roberts, and K. Han, “Botnet Research Survey,” in Proceedings of the 2008 32nd Annual IEEE International