使用基于mashup方法的僵尸网络雇主检测VIP免费

使用基于mashup方法的僵尸网络雇主检测摘要-僵尸网络被工业上和学术上的专家们认为是对因特网安全最大的威胁。这些网络由大量的被恶意软件感染的集中控制下的主机组成。它们通常用来进行分布式拒绝服务攻击或者钓鱼诈骗。这些僵尸网络的行为随着采用新的、尖端的感染方法，改变网络协议，使用不同的命令和控制机制不断演变。因此，安全社区总是处理这种不断的变化。然而，大多数的僵尸网络减灾方法提出的仅仅是特定的感染类型或者C&C协议（指挥和控制协议）。因此，我们提出了一个基于这种已有工具的动态整合的僵尸网络减灾方法，共同采用以实现一个更有效地检测方法。文章末尾，我们的方法基于一种称为mashup的新型Web2.0技术来执行相关的信息。该提案是可扩展的足以让甚至是非安全信息如在线地图应用程序接口被整合成更复杂的组合物，并且以一种更有意义的方式展示了结果。1.介绍个人电脑的增值和通信消费的降低导致了电脑网络，尤其是因特网的增长。不幸的是，这种增长带来了与之相关的越来越多的易受攻击的主机被感染。在过去，这些感染时由一些旨在妥协和禁用它们的目标的病毒和蠕虫。然而，这种局面已经改变了，病毒制造者不再仅仅旨在获取来自他们社区或者媒体的认可和关注，现在他们的主要兴趣是谋取利益。多数感染不再致力于引起受害者的非运作。相反，被感染的主机成为僵尸，能够被称为雇主或僵尸雇主的人类操作员远程控制。这样的主机集合称为僵尸网络且通常用于非法目的如大规模的分布式拒绝服务攻击，垃圾邮件和网络钓鱼。僵尸网络目前被认为是因特网上最大的安全威胁。主要原因之一就是大量的受感染的主机。根据VincentCert，因特网上25%以上的电脑属于僵尸网络。另一个原因是它们的有效性。结合广泛分布在因特网上上百台甚至上千台机器来完成一个简单的任务如一个服务器分布式拒绝服务攻击或者发送大量的垃圾信息使得这种方法非常有效并且很难阻止。由于该广泛性，使得解散这些网络也是一个很复杂的任务。然而，从概念上讲僵尸网络有一个单点故障，能够被潜在的挖掘。识别僵尸网络控制者开辟了许多可能的对策，如阻塞通信，从僵尸网络中移除被感染的机器，或者甚至渗透控制者主机以识别他的僵尸网络所有的参与者，就如文献【4】提出的那样。大多数检测僵尸网络雇主的方法都是基于检测用于僵尸网络雇主和僵尸之间的通信机制，被称为C&C通道（指挥和控制通道），集中化僵尸网络已经广泛采用IRC协议（因特网中继聊天）很多年了。通过IRC或者禁用它们的通信从恶意软件中提取信息的努力是能被找到的，如文献【1】、【4】、【6】，然而，更复杂的僵尸网络开始使用其他的通信信道。例如，HTTP被用来提供更强的隐匿性通过混合C&C信息和常规的Web流量，同时更容易地穿过防火墙。风暴蠕虫采用P2P通信分布控制僵尸网络。这样的方法提高了检测僵尸网络雇主的难度，如今只有很少一部分工程声称解决所有的这些。用于发现僵尸网络雇主信息的一个技术就是把程序放在沙箱中执行。一个沙箱就是一个受控制的环境，它允许受感染的二进制文件安全的执行和对恶意软件行为的监测。该监测包括系统调用，被创建和执行的文件以及网络行为，这项技术已被证明其监测僵尸网络控制者的有效性。然而，该技术的采用带来了与之相关的建立环境和使用商业工具的费用目前，有些是免费的，基于Web的沙箱，如文献【11】、【12】和【13】，它们的使用能够减灾甚至消除这些费用，以一个更受限制的功能和数据库为代价。鉴于该局面，我们提出了一个基于mashup方法来监测僵尸雇主。Mashup是一项最新的Web2.0技术，它提出一个Web网页上外部资源的灵活动态整合，从该整合生成新的功能。我们的基于mashup方法包括从web上可用的二进制分析工具（即网上沙箱和反病毒）整合和相关信息。我们采用其他的免费的基于web的工具，如地理编码服务和地图应用程序接口，更好地展现取得的结果。该方案的主要目标是分析，如果免费使用和整合，web可用工具是可行的、有效地。我们也为社区提供一新的工具检测和可视化僵尸雇主。本文余下部分组织如下，在第二部分，我们描述基于mashup的解决方案，在第三部分，定性的评估我们的方案...