【YD通讯标准】 集中式僵尸网络检测与响应框架

ICS33.060
中华人民共和国通信行业标准
YD/T2851-2015
集中式僵户网络检测与响应框架Acentralizedframeworkforbotnetdetectionandresponse2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言·
1范围·
2术语、定义和缩略语
2.1术语和定义，
2.2缩略语·
户网络的概念和特点
僵户网络类型
4.1IRC僵户网络.
4.2HTTP僵户网络·
4.3P2P僵户网络
4.4混合型僵户网络
5户网络的安全威胁
僵户网络检测和响应技术要求
僵户网络构成和分布式检测能力6.2僵户网络行为检测要求
6.3僵户网络响应要求·
7僵户网络检测和响应的典型实现模式*目
7.1计算机紧急事故响应小组中心（CIRT-centric）模式.
7.2特定威胁（Threat-specific）模式8集中式僵户网络检测和响应框架8.1集中式僵户网络检测框架·
8.2集中式侮户网络响应框架
YD/T2851-2015
YD/T2851-2015
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国标准化协会提出并归口。本标准起草单位：中国联合网络通信集团有限公司、华为技术有限公司。本标准主要起草人：夏俊杰、贾亦辰、王晓、刘惠明、冯霄鹏、黄敏。
HiiKAoiKAcawww.bzxz.net
1范围
集中式僵户网络检测与响应框架YD/T2851-2015
本标准规定了集中式僵户网络检测与响应框架，包括僵户网络的构成和分布式检测能力要求，僵户网络行为检测和响应要求，并描述了僵户网络检测与响应的典型实现模式，以及集中式僵户网络检测与响应框架的模块、接口和功能。本标准适用于僵户网络的检测与响应服务。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
值户Bot
“robot”的缩写，是对用户像一个代理的程序或者可以模拟执行人类活动的程序。2.1.2
恶意软件Malware
在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制，它的目的是破坏系统的机密性、完整性和可用性。2.1.3
僵户网络Botnet
远程控制的户，它在僵户控制端的命令与控制服务器控制下，在受攻击的电脑上自动运行或者管理。僵户网络包括拓扑相关的信息，比如命令与控制服务器（C&C）、P地址、僵户IP地址，命令与控制协议等等。
僵户控制端Botmaster
一个负责控制和维护僵户网络的个体。2.1.5
命令与控制服务器Command&ControlServer一台主机，供户控制端通过它间接控制僵户网络中的摄户从而发起攻击2.1.6
蜜罐网Honeynet
由脆弱系统和恶意软件分析系统构成的网络，流入蜜罐网中的恶意代码和流量被用于检测户网络。2.1.7
集中式组织CentralizedOrganization可以是国家级的僵户网络信息监管组织，负责对国内所有运营商网络中户网络的检测与响应进行1
HiiKAoNiKAca
YD/T2851-2015
监管，协调，可以向运营商下发任务或者制定特定的检测和响应策略，也可以与其他国家的集中式组织对偶户网络的检测与响应进行合作与协调。也可以是不同运营商之间自发形成的合作组织，实现跨运营商的僵户网络检测与响应操作。2.1.8
运营商管控中心InternetServiceProviderManagementandControlCentre运营商级的僵户网络信息监管机构，负责分析僵户的连接流和发布检测策略，也可以与其他运营商管控中心共享僵户网络构成和行为信息。2.2缩略语
下列缩略语适用于本文件。
Border Gateway Protocol
Command &Control
ComputerIncident Response TeamDistributed Denial of ServiceDomainNameServer
Domain Name Server Resource RecordHypertextTransferProtocol
Intrusion Detection System
Intrusion Protection System
InternetRelay Chat
Internet Service Provider
Local Area Network
Peer to Peer
Uniform Resource Locator
3值户网络的概念和特点
边界网关协议
命令与控制
计算机紧急事故响应小组
分布式拒绝服务攻击
域名服务器
域名服务器资源记录
超文本传输协议
入侵检测系统
入侵防御系统
互联网中继聊天
互联网服务提供商
局域网
点对点
统一资源定位符
僵户网络是由机器人主机组成的，机器人主机是被恶意软件感染后称作“僵户”的电脑。僵户网络的控制者可以通过僵户网络只用一条指令控制大量机器人主机。利用这些特性，攻击者可以轻易发动大规模攻击。因此，僵户网络已经被用于各种恶意行为，比如发送垃圾邮件、拒绝服务攻击等。4值户网络类型
4.1IRC值户网络
IRC僵户网络是户网络的早期类型，如图1所示，它使用IRC协议作为命令传送方式。僵户控制端在IRC中产生它自已的通道，并且使僵户们能够连接到通道上。用这种方式，它可以控制所有的僵户。IRC僵户网络的主要特征如下：
·使用IRCC&C服务器控制僵户网络，僵户网络控制者使用IRC服务器作为C&C服务器来控制所有使用的倡户。
·灵活的通信方式，支持广播、小范围传播和单播。·通过小程序实现它的功能，同样也支持一些安全功能，比如口令、加密、改变通信端口。2
HiiKAoiKAca
·容易跟踪和监控，可以通过域内监听或者IP地址进行阻断。摄户控制器
IRC服务器
图1IRC值户网络
4.2HTTP户网络
YD/T2851-2015
如图2所示，HTTP僵户网络通过web在僵户和C&C服务器之间传递命令。HTTP僵户网络的主要特征如下：
·难以检测。一个HTTP协议会话建立，会话将会被保持，所以不需要周期性的确认会话。·使用80端口，作为周知端口难以检测。如果一个HTTP服务器被黑客控制，则该服务器将作为C&C服务器。·如果某台商业web服务器被入侵作为一台C&C服务器，难以分辨出这台web服务器是否是C&C服务器，流量是正常流量还是C&C服务器和僵户之间的命令传送流量。·如果C&C服务器被阻断或者治愈，僵户控制端会失去对户网络的控制能力。低户控制器
HTTP服务器
图2HTTP僵户网络
4.3P2P值户网络
如图3所示，P2P僵户网络使用可以提供灵活平台的P2P技术，这样僵户网络中的任何一个节点都可以成为C&C服务器。P2P僵户网络的主要特征如下：·分布式C&C服务器，可以防止所有流量都流入一个C&C服务器。·分布式的管理使得检测和阻止比较困难。3
HiiKAoNiKAca
YD/T2851-2015
·不需要DNS域。
·难以获取整个僵户网络的规模。·网络中没有固定的C&C服务器，难以检测任何的命令流量。摄户控制者
4.4混合型僵户网络
图3P2P僵户网络
如图4所示，混合型户网络用至少两种协议来传送命令。混合型僵户网络的主要特征如下：·使用多台C&C服务器，并且在它们之间同步。·如果一台C&C服务器被阻止，命令依然可以通过其他C&C服务器传送给僵户。所以为了解决僵网络的问题，每一台C&C服务器都应该被阻止。·C&C服务器能够创建私钥和公钥，在发送攻击命令时使用它们。·通常使用P2P协议来同步所有的C&C服务器，使用IRC和HTTP协议来实现户之间的通信。僵户控制者
服务器福厂
客户僵户
图4混合型僵户网络
5僵户网络的安全威胁
与病毒、蠕虫不同，在僵尸网络中，控制端是僵户网络的控制者。僵户控制端可以通过传送命令的方式控制僵户网络的行为。利用这一特点，户网络的控制端可以进行垃圾邮件发送、DDoS攻击、截取个人信息等攻击。
iiKAoiKAca
YD/T2851-2015
僵户控制端可以让僵户下载各种垃圾邮件模板并控制它们绕过反垃圾邮件措施。僵户控制端也可能会通过DDoS攻击威胁对外提供在线网站服务的公司，并进行勒索。因此，户网络被广泛应用于大量互联网攻击和威胁场合，已经产重危害到用户，企业基至是国家的安全。此外，由于僵户网络分布广泛，很难在特定网络中掌握僵户网络的总体规模并应对僵户网络。因此，运营商之间以及国家之间应该进行合作，以阻止来自各个角落的户流量。6值户网络检测和响应技术要求
6.1值户网络构成和分布式检测能力组成户网络的僵户分布广泛，没有特别的区域性。僵户网络C&C服务器可以把它们的位置从一个运营商网络中切换到另一个运营商网络中。为了检测所有僵户网络的构成和分布，需要检测户网络C&C服务器和户的功能，以及在不同运营商网络之间共享僵户网络信息的功能。同时，还需要具备基于共享信息的行为检测能力。
6.1.1运营商网络中的值户检测能力运营商网络应具备以下僵户检测能力：·具备僵户网络检测功能，比如基于运营商网络的流量监控和分析等。一蜜罐网和DNSsinkhole服务器可以被用于运营商网络中僵户网络的检测。·为了实现僵户网络信息的共享，应能够找到所检测到的僵户网络C&C服务器的具体网络位置。6.1.2共享检测到的值户网络信息应通过以下方式共享检测到的僵户网络信息：·不同运营商之间可以通过集中式组织共享僵户网络信息。●不同运营商之间也可以通过合作方式共享僵户网络信息。●不同国家之间也可以通过集中式组织共享或交换僵户网络信息，6.1.3基于共享任户网络信息的未检测到的值户检测能够提供某个运营商网络中检测的未检测到的户的功能，使用来自同一个运营商网络中的运营商管控中心共享的僵户网络信息。6.1.4在运营商管控中心共享值户网络信息运营商管控中心应具备共享以下僵户网络信息的能力：●具备提供与其他运营商网络共享僵户网络信息（在其中一个运营商网络中检测出）的功能。·具备提供与其他运营商网络共享僵户网络信息（从其他运营商网络中共享来的）的功能。·具备提供与其他运营商网络共享僵户网络信息（从每个运营商网络中检测来的）的功能。●每个运营商有一个运营商管控中心负责收集和共享僵户网络信息。6.1.5值户网络监控
具备提供在运营商网络中监控整个户网络规模和构成的功能，基于从运营商网络中检测到的和从运营商管控中心共享来的户网络信息。6.2户网络行为检测要求
6.2.1运营商网络中值户网络行为检测具备基于已检测到的户网络信息，提供运营商网络中户网络行为检测功能，·僵户网络行为可以被分成两种类型：改变僵户网络构成和恶意行为。5
HiiKAoNiKAca
YD/T2851-2015
·改变僵户网络构成
一聚集行为：僵户周期性连接僵户网络C&C服务器的行为：一迁移行为：C&C服务器IP地址改变的行为：一增长行为：僵户数量增加的行为。·恶意行为
一窃取用户隐私行为：
一群发垃圾邮件行为；
一DDoS攻击行为。
6.2.2共享检测到的值户网络行为信息具备提供在一个运营商网络内与运营商管控中心共享僵户网络行为信息的功能。如果不存在一个运营商管控中心，要求提供在与其他运营商网络共享中所检测到的僵户网络的行为信息。
6.2.3基于共享值户网络行为信息的未检测到的值户行为检测应具备提供以下基于共享倡户网络行为信息的未检测到的僵户行为检测的能力：·具备提供检测运营商网络中未检测到的僵户行为的功能，使用从运营商网络中的运营商管控中心共享来的户网络行为信息。
·具备提供检测其他运营商网络中未检测到的僵户行为的功能，使用从运营商网络中的运营商管控中心共享来的户网络行为信息。·具备提供检测运营商网络中未检测到的僵户行为的功能，使用从其他运营商网络共享来的户网络行为信息。
·具备提供检测其他运营商网络网未检测到的僵户行为的功能，使用从其他运营商网络共享来的僵户网络行为信息。
6.2.4在运营商管控中心共享僵户网络行为信息运营商管控中心应具备共享以下户网络行为信息的能力：·具备提供与其他运营商网络共享僵户网络行为信息（在其中一个运营商网络中检测出）的功能。·具备提供与其他运营商网络共享僵户网络行为信息（从其他运营商网络中共享来的）的功能。·具备提供与其他运营商网络共享检测到的僵户网络行为信息（从一个运营商网络中收集来的）的功能。
·具备提供与其他运营商网络共享僵户网络行为信息（从每个运营商网络中检测来的）的功能。6.2.5值户网络行为监控
要求运营商网络能监控僵尸网络行为，基于从运营商网络中检测到的僵户网络行为信息，或者从运营商网络中的运营商管控中心，其他运营商网络中共享的户网络行为信息。6.3值户网络响应要求
6.3.1运营商网络保护策略设置
运营商网络应具备以下保护策略设置：●运营商网络中的安全设备和DNS服务器能提供安全策略设置功能，能阻止户连接到C&C服务器。·当运营商管控中心收到网络中被攻击的目标服务器信息时，要求运营商网络中防火墙、IDS/IPS等6
iiKAoiKAca
安全设备能够提供安全策略设置功能。同时，要求能提供阻断攻击流量的能力。YD/T2851-2015
·要求运营商网络中增加对反垃圾邮件系统的签名并阻止垃圾邮件，僵户网络发送的垃圾邮件的签名由运营商管控中心接收。
·运营商网络提供安全设备DDoS流量阻断策略设置功能和未检测到的DDoS攻击行为阻断功能。其中，阻断策略的设置由运营商管控中心系统完成。6.3.2运营商网络间交换区保护
运营商网络间交换区保护包括：·运营商网络间交换部分的安全设备或者路由器具备DDoS流量阻断策略设置功能，并且具备能阻断目标服务器在其他运营商网络的DDoS流量的能力。·运营商网络能从集中式组织中接收到目标服务器在网内的DDoS流量阻断策略，并且在交换部分的安全设备或者路由器上使用这些策略。·运营商网络能提供流量阻断设置功能，能阻断从其他运营商网络发送到僵户网络C&C服务器的流量，并且具备连接流量阻断功能。6.3.3运营商网络内交换部分保护运营商网络内的交换部分保护包括：●运营商网络内的城域网之间交换部分的安全设备或者路由器具备DDoS流量阻断策略设置功能并且具备能阻断自标服务器在其他域的DDoS流量的能力。●运营商网络内的每个城域网能从运营商管控中心中接收到自标服务器在网内的DDoS流量阻断策略，并且在不同城域网之间交换部分的安全设备或者路由器上使用这些策略。·运营商网络内的城域网能提供流量阻断设置功能，能阻断从其他城域网发送到僵户网络C&C服务器的流量，并且具备连接流量阻断功能6.3.4共享运营商网络间户网络攻击和事件行为信息和响应策略要求运营商管控中心收集来自运营商网络的户网信息、事件行为信息和响应策略，并且能把这些信息和策略共享给其他运营商网络。7户网络检测和响应的典型实现模式7.1计算机紧急事故响应小组中心（CIRT-centric）模式CIRT始终保持着最新的安全威胁响应信息。CIRT可以与有关机构共享信息，以便对僵户网络进行快速检测和响应。共享的信息包含如下内容：·有关受害者攻击报告的智能系统：·已知僵户网络的C&C服务器和僵户信息；·网络域的黑名单和白名单，以判断IP地址是否可疑：·维护僵户网络信息并在多个不同的CIRT间共享信息。CIRT可以按以下方式响应僵户网络：·将僵户网络信息报告给管理C&C和僵户IP地址的ISP：·断开僵户网络C&C节点和他人的链接，并向政府机关申请对真正的C&C主机进行调查：·阻止用户访问恶意网络域。
7.2特定威胁（Threat-specific）模式7
YD/T2851-2015
僵户网络的主要威胁是DDoS攻击、垃圾邮件和窃取用户信息。这些威胁也能够由常见的恶意代码发动，但是如果由僵户网络发动规模要大的多。因此，这些特定的威胁需要在类似CIRT的集中组织做出响应之前，在像ISP这样的网络服务提供商网络中进行应急响应。这些威胁通过在同一时间使用大量僵户主机向目标电脑发送网络流量或者垃圾邮件的方式，使目标主机的资源耗尽而不能提供既定服务，同时还会窃取倡户主机用户的私有信息。如果没有僵户网络检测措施，这在攻击发动前是很难被检测的，所以需要应急响应模式。具体如下：·搜集受害用户攻击报告的智能系统；·攻击发生前僵户网络及其行为的实施监控：·攻击发生后攻击源的分析：
·攻击发生后与相应ISP分享攻击源信息；●攻击发生后隔离来自僵尸主机和C&C服务的恶意流量；·向集中组织报告并和其他ISP共享包括攻击情况在内的信息。8集中式值户网络检测和响应框架8.1集中式值户网络检测框架
8.1.1集中式值户网络检测框架
图5和图6所示描述了集中式僵户网络检测的框架。集中式组织负责对所有运营商网络中户网络信息的监管、协调和授权，可以向运营商下发任务或者制定特定的检测策略。同时，不同国家的集中式组织之间能够收集和共享各自的僵户网络信息。运营商管控中心在一个运营商网络中，它具备从各个城域网收集和共享僵户网络信息的功能。同时，运营商管控中心可以分析户的连接流和发布检测策略，比如C&C的URL/IP，流量签名等，它既能与其他运营商管控中心共享僵户网络构成和行为信息，也可以通过集中式组织的授权，与其他国家的某一运营商管控中心共享户网络构成和行为信息。集中式组织
运营商A
运营商管控中心
城域网-1
检测功能1
检测功能2
检测功能3
城域网-2
检测功能1
检测功能2
检测功能3
运营商B
运营商管控中心
城域网-3
检测功能1
检测功能2
检测功能3
图5集中式僵户网络检测基本概念监控
城域网4
检测功能1
检测功能2
检测功能3
运营商A
C鹰户网络
检测功能1
检测接口-1
检测接口
检测功能2
检测接口-3
检测功能3k
城域网-1
，检测接口-4
体地交换（
检测接口-51
运营商
管控中心
检测接口-4
城域网-2风
僵户网络
全局交换
运营商B
（僵户网络）
检测功能1
检测接口-1
检测接口
风检测功能3
检测接口-6
全属交换
检测接口
运营商
管控中心
图6集中式僵户网络检测框架
运营商的城域网承担着僵户网络构成检测和行为监控的责任。监控
YD/T2851-2015
检测接口-2
检测功能26
城域网-1
本地交换
检测接口-5
检测接口二
城域网-2X
（僵户网络
运营商的城域网可以根据通过LAN和骨干网之间的网关流量来检测僵户网络，它可以通过蜜罐网收集恶意代码和恶意流量，并且用这些信息来检测僵户网络。同时，它可以通过从运营商管控中心、其他城域网或者运营商网络共享来的僵户网络C&C服务器信息检测户网络。每个城域网中检测到的户网络信息被发送到该运营商网络中的运营商管控中心。8.1.2模块与功能
各模块功能如下：
·检测功能1：城域网中的僵户网络检测功能，收集和分析流入蜜罐网中的恶意代码和网络流量。·检测功能2：城域网间交换部分的僵户网络检测功能。基于从其他城域网或者运营商网络中接收到的僵户网络信息，检测城域网中未检测到的僵户网络。·检测功能3：运营商网络之间交换部分的僵户网络检测功能。基于从其他运营商网络中接收到的僵户网络信息，检测城域网中未检测到的僵户网络·监控功能：收集由检测功能检测到的僵户网络信息，并与运营商管控中心和其他城域网络共享的功能。·运营商管控中心：收集由其他城域网检测到的僵户网络信息，并与其他运营商网络共享信息的系统。8.1.3接口
接口要求包括：
·检测接口1：在检测功能1和监控功能之间共享僵户网络信息和行为的接口。·检测接口2：在检测功能2和监控功能之间共享僵户网络信息和行为的接口。·检测接口3：在检测功能3和监控功能之间共享僵户网络信息和行为的接口。·检测接口4：在监控功能和运营商管控中心之间共享僵户网络信息和行为的接口。·检测接口5：在监控功能之间共享僵户网络信息和行为的接口。9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。