【行业译文】网络安全管理:僵尸网络攻击预测

美国国家标准与技术研究所(NIST)《基于流的僵尸网络攻击预测的实证研究》一文提出了一种经验研究僵尸网络攻击预测方法,通过测量C2流量和自动标记使用大规模、真实和长期数据集。利用大型ISP以一定的采样率收集的流量数据计算表征C2流量的综合指标,用于网络管理。
在物联网时代,僵尸网络的威胁不断上升,促使了对僵尸网络检测和测量的大量研究。本研究旨在预测僵尸网络攻击,如大量垃圾邮件和分布式拒绝服务攻击。为此,本实证研究提出了一种僵尸网络攻击的预测方法。该方法利用了命令和控制(C2)活动的测量,并通过将C2与攻击相关联来自动标记。该方法使用大规模、真实世界和长期数据集进行评估。结果表明,该方法对攻击增加的预测精度为0.767。进一步从特征和时间方面分析了其对预测的贡献。

《基于流的僵尸网络攻击预测的实证研究》共分为5章内容:

  • 介绍

  • 方法

  • 实验评价

  • 相关工作

  • 结论与未来发展方向

1. 介绍
僵尸网络是对网络安全的严重威胁,因为它控制着大量被破坏的主机来进行各种攻击,比如发送垃圾邮件或发起分布式拒绝服务(DDoS)攻击。命令和控制(C2)服务器在僵尸网络中扮演着重要的角色:它向僵尸程序发送命令并接收僵尸程序的输出,同时在背后隐藏一个僵尸主机。尽管之前在僵尸网络测量和检测方面进行了很多尝试,但在预测僵尸网络攻击方面的研究却很少。

根据僵尸网络通信模式,一旦僵尸病毒感染发生,僵尸病毒将自己注册到C2,僵尸病毒和C2之间的保持活动通信将定期启动。僵尸主机通过C2向僵尸程序发出发起攻击的命令,然后发起攻击。

例如,僵尸主机希望有更多的僵尸程序来有效地发动攻击,而僵尸程序注册和保持活跃的通信可能会在攻击之前增加。一个命令包含一些数据,比如目标和参数,这些数据被并行地发送给许多机器人。数据包的大小会在攻击前增加。这种预测威胁情报对于互联网服务提供商(ISP)来说是至关重要的,以优先考虑C2s,并在危机情况下或在客户的要求下切断C2s和机器人之间的通信。

由于流数据是汇总通信的信息,因此它比处理原始数据具有更低的负载,并且不太容易受到加密的影响。根据垃圾邮件数量的梯度和每个C2度量与与C2关联的垃圾邮件数量的相关性分析结果,对某一时间段内的C2度量进行标记。由于对僵尸网络行为随时间变化的标签数据的成本是机器学习和深度学习的一个主要问题,因此证明这种方法的可行性将是有用的。然后,使用一种特殊的递归神经网络(即长短期记忆[LSTM])对标记的多元时间序列数据进行训练和测试。

本文件的主要贡献如下:
  • 描述C2活动的综合指标和类别的汇编,以及对预测的每个贡献的评估

  • 提出一种新方法,包括测量和自动标记,可以预测僵尸网络垃圾邮件的  增加,准确率为0.767

  • 发现攻击前30到60小时内的C2指标比攻击发生前的指标更有助于预测

2. 方法
该文件列出了17个度量标准是为度量C2活动而定义的,它是以前工作中研究的各种度量标准的汇编。这些指标被分成5个类别来描述C2的行为:大小、容量、频率、负载和生命周期。大小是C2控制的机器人数量,可以通过botmaster在有效发动大规模攻击之前增加带有各种感染载体的机器人数量的行为来衡量。Volume测量进出C2的通信量,当它向机器人发送攻击命令并从机器人接收攻击结果时,通信量可能会增加。频率是根据捕获变化的流量来度量的,例如增加机器人的数量或同时向大量机器人发送攻击命令。由于C2通信的增加,Load可能能够捕获C2主机上的高资源负载。生命期度量为攻击开始或恢复工作的C2的短期活动天数。
所有指标都是每三个小时用与C2s列表相关联的流数据计算一次。因为使用的流数据具有单向格式,所以将在源或目标字段中观察到Internet协议(IP)地址C2。可以使用三种模式计算指标:源字段(Src)中的C2、目标字段(Dst)中的C2以及源或目标字段(双向)中的C2。最后,因为17个度量标准乘以了三个模式,所以可以使用51个度量标准。C2s列表由公共网站检索,由可靠的研究机构每日提供一次。这些列表包括“已知的C2s”(即已知它属于哪个僵尸网络族)和“未知的C2s”(即未知它属于哪个僵尸网络族,但通过各种分析进行估计)。
数据标记是机器学习或深度学习任务中必不可少的一步。由于对大量数据进行手工标记是相当繁琐的,因此设置了两个标准来实现此标记步骤的自动化:
  • 至少有10个指标与三天内的攻击数据有大于或等于0.5的高相关性

  • 最后一天的攻击数据与第二天的攻击数据存在正梯度

作为攻击数据,垃圾邮件声誉数据每天检索一次。它包括垃圾邮件发送者的IP地址和垃圾邮件在最后一天的数量等信息。该卷表示以10为基数的对数刻度值。容量为10意味着全世界电子邮件总量的100%。通过将流数据中垃圾邮件发送者的IP地址与C2的IP地址相关联,可以确定与C2相关的垃圾邮件总量。那时,每个C2指标的移动平均时间为一天。这个时间窗口表示未来时间的范围,并基于标签的第二个标准。有了这些标准,第二天垃圾邮件不断增加的C2度量可以设置为一个真正的标签。这些步骤在整个过程中重复,同时在起点上滑动三个小时。
本期内容介绍了NIST《基于流的僵尸网络攻击预测的实证研究》的介绍与方法部分,下期将连载实验评价、相关工作和结论与未来发展方向。
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
欢迎大家在留言区发表观点
……
往期E译文回顾:
点击视频号查看更多E安全
全球网络安全前瞻资讯
(0)

相关推荐