1 / 35

殭屍網路活動偵測工具研發

殭屍網路活動偵測工具研發. 報告人:蘇柏榕 作者 : 班級:碩資工 一 甲 高雄 師範大學 資訊 教育 研究所 丁光立 指導 教授 楊 中皇 論文出版年 2010. Outline. 1. 緒論 2. 文獻探討 3. 研究方法 4. 研究 分析與 結果

lucine
Download Presentation

殭屍網路活動偵測工具研發

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 殭屍網路活動偵測工具研發 報告人:蘇柏榕 作者: 班級:碩資工一甲 高雄師範大學 資訊教育研究所 丁光立 指導教授 楊中皇 論文出版年 2010

  2. Outline 1.緒論 2.文獻探討 3.研究方法 4.研究分析與結果 5.結論與建議

  3. 1.研究目的 • 分析殭屍網路的特性 • 找出被感染殭屍程式的電腦 • 抑制殭屍網路的發展 • 避免殭屍網路擴大,進而減少人力與物力的浪費

  4. 2.文獻探討 一.殭屍網路 • 俗稱:Botnet • 目的:操縱受到感染的電腦對其他的電腦或伺服器進行惡意攻擊 • 感染途徑: 後門程式 蠕蟲 P2P

  5. 2.文獻探討 殭屍網路種類 1.集中型 • 被感染的電腦會和C&CServer進行回報 • 報告的內容包含了自己電腦的各種資訊(作業系統版本、CPU時脈、記憶體大小….等) • 一定會包含IP資訊,以用於後續的遙控及管理 • IRC及HTTP型殭屍網路主要使用集中型架構

  6. 2.文獻探討 集中型殭屍網路

  7. 2.文獻探討 集中型殭屍網路---多個C&C Server

  8. 2.文獻探討 • 此外集中型的殭屍網路也有引進階層式的觀念,所有被感染殭屍程式的電腦不直接和C&CServer連結 • 被感染的主機只知道上層主機的位置(上層主機也是被感染的電腦) • 因此要從下層被感染的主機查獲C&CServer 會變的相當困難。

  9. 2.文獻探討 階層式殭屍網路

  10. 2.文獻探討 2.隨機型 • 會使每一部被感染的主機都能擔任C&CServer的角色 • 網路架構沒有星狀或網狀的特色 • 交換資訊也變成非定時定量甚至加密 • 偵測活動難度非常高

  11. 2.文獻探討

  12. 2.文獻探討 • Ntop 本實驗使用的網路流量偵測引擎 架構為以下三種 • Packet Capture • Packet Analyzer • Report Engine

  13. 2.文獻探討 ntop架構圖

  14. 3.研究方法 (Botnet Detection選單)

  15. 3.研究方法 (Local to Local輸出結果)

  16. 3.研究方法 (Local to Remote 輸出結果)

  17. 3.研究方法 Remote To Local輸出結果

  18. 3.研究方法 IP Traffic輸出結果

  19. 3.研究方法 Host Activity輸出結果

  20. 3.研究方法 Active TCP/UDP Sessions輸出結果

  21. 3.研究方法 ntop server配置圖

  22. 3.研究方法 系統流程圖

  23. 3.研究方法 評分流程圖

  24. 3.研究方法 完整架構圖

  25. 4.研究分析與結果 ntop網頁

  26. 4.研究分析與結果 phpMyAdmin登入介面

  27. 4.研究分析與結果 HostActivity輸出結果

  28. 4.研究分析與結果 Blacklist輸出結果

  29. 4.研究分析與結果 Suspiciouslist輸出結果

  30. 4.研究分析與結果 Bots輸出結果

  31. 4.研究分析與結果 網路活動情形

  32. 4.研究分析與結果 警告郵件

  33. 5.結論與建議 • 研究結論 結合各種軟體,增加對於殭屍網路的偵測率 擁有可擴充性,可追加新的軟體來強化偵測 • 未來研究建議 針對攔阻流量和警告使用者的方面來改善 針對殭屍網路行為加以剖析 導入適當的演算法,強化系統的對於殭屍網路的辨識度

  34. Q&A

  35. 感謝你的聆聽

More Related