威胁情报 +3 基于大数据的 僵尸网络攻击监控 江南天安 俞华辰 溯源 数据 - 2 趋势 分析 1 -3 -2 -1 -1 关联 -2 案件调查 -3 样本 1 僵尸网络介绍 什么是僵尸网络 僵尸网络的危害 如何中招 怎么解决 DDoS攻击场景 租赁的数据 中心服务器 服务器放大 僵尸网络 受害者 攻击者 C&C服务器 威胁信息 僵尸网络 大数据 对于僵尸网络的全面掌握 僵尸网络攻击预测 僵尸网络协议分析、攻击指令监控 僵尸网络攻击流程拆分，回溯，取证 知趋势 知状态 溯源 对于僵尸网络的全面掌握 溯源 前沿威胁研究/案件调查 内部自动化捕获 外部威胁情报数据获取 僵尸网络数据 知状态 知趋势 对于僵尸网络的全面掌握 有几类僵尸网络？(僵尸网络分类) 端口探活 知状态 有多少僵尸网络？(僵尸网络探活) 协议探活 它们现在在干什么？(资产损失评估、僵尸网络攻击指令检测) 对于僵尸网络的全面掌握 解决僵尸网络是从哪下载的(恶意下载源) 溯源 解决僵尸网络是由哪个恶意程序造成的(样本文件) 解决僵尸网络在肉鸡上干了什么CNC、指令监控) 「威胁情报落地之僵尸网络」 我们在客户的经验 威胁情报数据 内部系统生产数据 Step 01 Step 02 大数据平台关联分析-产出识别僵尸网络 Step 03 手动导入导出 自动导入导出 自动分析 产出识别的 僵尸网络数 据 防火墙数据↔ 威胁情报数据 ArcSight 威胁情报导入大数据平台 FTP 基于大数据平台开发数据上传程序 中转机 开发SQL、工作流等 大数据平台 基于大数据可视化要求 僵尸网络输出 案例 目前成果: ♢ 通过僵尸网络威胁情报比对防火墙日志，目前发现生产网（ 服务器区）存在多个僵尸主机。 ♢ 服务器已经能够被黑客远程控制，例如：发起DDoS攻击，信 息窃取等。 POS机案例 2016年4月11号，发现10.2.130.206可能感染僵尸网络程序。 找到恶意程序winlogon.exe（已被感染），以及CNC 148.81.111.12 冰山一角 ♢ 目前通过测试数据（一天的防火墙日志）发现的 不同类型僵尸网络CNC就有5个，其中包括服务 器、办公网机器。 僵尸网络监控 从已经捕获的Linux/Setag.B.Gen僵尸程序样本MD5： 80d0cac0cd6be8010819fdcd7ac4af46中，提取出僵 尸网络CNC 23.234.50.12:25004作为本次测试对象 ♢ ♢ 解码攻击指令，提取到攻击目标：其中0x01代表攻击 方式， 0x4B到0x55是攻击IP地址，0x57是攻击端口 「 僵尸网络监控 」 肉机 通信协议A BillGates 僵尸网络 肉机 通信协议B XorDDoS 僵尸网络 肉机 通信协议C Dofloo 僵尸网络 肉机 通信协议… Botnet … 肉机 Decrypted Command Data 态势感知 威胁监控 威胁评估 僵尸网络反制 … 大数据关联分析 DNS基础数 据库 IP基础数据 库 控制指令数 据库 加工处理 Decrypted Command Data 企业资产数 据库 …