APP下载

IP团伙行为分析:大流量与多渠道攻击一体化

2019-01-25 19:01

  僵尸网络近年来已经成为企业的大敌,近期发现有这样一群僵尸机“捆绑销售”,常年坚持多渠道僵尸网络活动和DDoS攻击,“不抛弃”“不放弃”。

  人设:

   “C位成员”(仅占攻击者中2%)以一己之力发起了20%的攻击;“核心成员”(仅占攻击者中的20%)发起了80%的攻击;

   全员酷爱反射攻击,特别是大流量攻击;

  我们将这样的团体称为“IP团伙”(IP Chain-Gang)。每个IP团伙由某个或者一组黑客控制者。因此,同一个团伙在不同的攻击中必然会表现出相似的行为。

  绿盟科技根据近两年所搜集的DDoS攻击数据、多个IP团伙并研究了他们的团伙行为,近期推出了《IP团伙行为分析》。本文简要介绍报告中的IP团伙的识别手段,分析IP团伙的规模、攻击次数、攻击时长和攻击流量。希望,通过研究团伙的历史行为建立团伙档案,以便更准确地描述其背后一个或多个攻击控制者的行动方式,同时更有效地防御这些团伙未来可能发起的攻击,防患于未然。

  1、识别IP团伙

  为识别IP团伙,我们首先分析了绿盟科技自2017年以来所搜集的DDoS攻击数据,并按步骤进行了下述操作:

  确定一次协同攻击中的攻击者并将其划归一组。这里,我们将协同攻击定义为针对同一目标几乎同时发起的攻击。由于这些攻击者协同工作,因此有理由相信他们为同一个攻击控制者控制。

  如果上一步中有两个组重叠或其行为非常相似,则将其合并为一个更大的组。重复此合并过程,直到不再存在重叠的组。在此过程中,使用复杂的机器学习算法来确定“相似性”阈值。

  清除组中的“偶然攻击者”(仅参与一小部分攻击的攻击者),提取每个攻击组的核心成员,得出我们所称的“IP团伙”。

  通过这一步骤,我们确定了80多个活跃的IP团伙。在本研究报告中,我们在算法中选择了相当严格的参数,因此,这些团伙中的所有成员都是实实在在的惯犯。每个惯犯都在我们的研究期间进行了多次攻击。因此,尽管这些团伙成员的数量仅占我们数据集中所有攻击者的2%,但它们发起的攻击约占所有攻击的20%。

  应该注意的是,任何团伙的组成都会动态变化。本报告中,我们将研究期间的团伙行为视为静态。在未来的研究中,我们将考虑动态性质。

  2、IP团伙统计分析

  在确定团伙之后,我们从几个不同的角度研究了各团伙的行为。除非另有说明,本节中提及的数字为同一团伙所有成员的累计计数。

  2.1 IP团队规模:千人团体占主导

  下图展示了IP团伙规模的分布情况。大多数团伙成员不到1000人,但我们也发现有一个团伙的成员高达26,000多人。

  图1 IP团伙规模

  2.2 20/80法则,到哪里都适用

  下图展示了各团伙发起的DDoS攻击事件的数量,按事件次数统计。毫不意外,大约20%的团伙发起了80%的攻击。

  图2 攻击总次数(按各团伙攻击统计)

  攻击事件次数

  2.3 团伙最长总攻击时长超过13“年”

  下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达5000多天( >13“年”),但多数团伙不到1000天。

  图3 团伙总攻击时长

  2.4 更少的团员、更多攻击次数、更大攻击流量

  我们一般总感觉,较大的团伙会发动较多攻击时间,且产生的攻击总流量也较大,但事实并非如此。

  如下图所示,与更大规模的IP团伙相比,拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明,特定团伙中的攻击者可能拥有更多渠道可以利用。

  下图展示了按总流量排名的前10个团伙,攻击总流量以不同大小的橙色气泡表示。

  图4 团伙规模、攻击次数及攻击总流量对比

  如上图所示,发动攻击次数最多(> 50K)的团伙仅拥有274名成员,超过了所有其他团伙。而最大的气泡(即攻击总流量最大)对应的团伙攻击次数竟然较少(<10K)。

  结语

  据我们所知,将DDoS攻击作为协同团伙活动进行研究尚属首次。从这一全新角度来研究,可以获得一些独特见解,有助于我们更好地检测、缓解、取证分析甚至预测DDoS攻击。

  本报告是IP团伙主题系列中的开篇之作。在后续报告中,我们计划进一步研究团伙成员构成如何演化与联系,以及如何基于此构建更有效的防御措施。请持续关注绿盟科技!

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

相关文章

最新资讯

  • 好视通云视频会议为孝感市教育信息化插上腾飞…
    2020-02-24 17:05
  • 台湾5G频谱拍卖尘埃落定:总价1422亿新台币 运…
    2020-02-24 17:05
  • 即将“换核”:你期待的13英寸MacBook Pro更新
    2020-02-24 15:58
  • 在这个游戏手机最好的时代,腾讯游戏重新选择…
    2020-02-24 15:58
  • 抗“疫”进行时——迪普科技保障医疗信息系统…
    2020-02-24 15:03

手机

  • Sony Xperia PRO 官方自曝 具备 micro HDMI 孔、手机也可当监看屏幕用
    2020-02-24 16:51
  • Sony Xperia 10 II 新中阶机登场 6 吋屏幕、151 克超轻重量、相机硬件小升级
    2020-02-24 16:51
  • 挑战年度最美手机 三星 Galaxy Z Flip 折叠机动手玩
    2020-02-24 14:50
  • Google向使用者警示:使用者不该在华为手机上自行安装Google服务
    2020-02-23 16:50
  • 采用Android 6.0 具有手写功能的7.8吋电子墨水阅读器 Gaze Note
    2020-02-23 09:49

数码

  • 16TB SSD塞进超级笔记本:重量不到2.5公斤、5.…
    2020-02-24 17:07
  • 索尼 Xperia 10 II发布:支持IP68防水防尘的中…
    2020-02-24 17:07
  • iQOO 3发布会明天14:30举行!这款跑分近60万的…
    2020-02-24 16:01
  • 耶鲁门锁180年精益求精 高端引领未来
    2020-02-24 16:01
  • 三星推出灵气蓝版Galaxy S20+
    2020-02-24 15:04

科技

  • 为何要选vivoNEX 听听首发的用户怎么说
    2018-06-26 17:31
  • OPPOFindX原来还有大招 确定6月29日北京发布 期待
    2018-06-26 17:31
  • 闯进8分钟大关I.D.R破派克峰最速纪录
    2018-06-26 17:31
  • AirPods2或在2019年发布:降噪+防水 但外观会改变
    2018-06-26 17:31
  • “无钴电池”成国产特斯拉热点话题:低售价最重要
    2020-02-24 14:51