深信服僵尸网络防护解决方案V10.docx

深信服僵尸网络防护解决方案V10.docx

《深信服僵尸网络防护解决方案V10.docx》由会员分享，可在线阅读，更多相关《深信服僵尸网络防护解决方案V10.docx（7页珍藏版）》请在冰豆网上搜索。

深信服僵尸网络防护解决方案V10

深信服僵尸网络防护解决方案

一、背景介绍

最早的僵尸网络出现在上个世纪90年代，迄今已有20多年历史，随着IT信息技术不断发展，僵尸网络的危害也越来越严重。

僵尸网络实际上是僵尸控制者（Botmaster）出于恶意目的，传播僵尸程序控制大量受感染的主机，并通过一对多的命令与控制信道所组成的网络。

它是在黑客工具、蠕虫、木马、后门工具、恶意软件等多种恶意代码形态的基础上发展并融合而产生的一种复合攻击方式，最大的特点是攻击者和僵尸主机之间存在一对多的控制关系。

国家互联网信息中心发布的报告显示：

最近几年，我国每年有超过1000万台主机被感染成僵尸网络。

2014年，我国有1108万主机感染了僵尸网络，并且大部分僵尸主机被境外服务器所控制，其中广东省、湖南省、江苏省居于木马或僵尸程序受控主机IP地址绝对数量前3位。

僵尸主机会接受控制端的指令，从而造成更多的危害，如发起DDoS攻击。

我国是僵尸网络主要受害国，2013年8月25日凌晨，由于僵尸网络造成的海量DNS请求流量阻塞了服务器主干链路，导致中国境内的.cn域名访问中断长达数小时；2014年12月10日，运营商DNS网络遭到了DDoS攻击，当日上午11点开始，攻击开始活跃，多个省份不断出现网页访问缓慢，甚至无法打开等故障。

值得注意的是，最近几年爆发的APT攻击事件，都大量利用了僵尸网络，如RSA信息泄漏、索尼影音信息泄漏、中国社保账户信息泄漏等，僵尸网络成为APT攻击者最有效、最常选择的方法。

二、僵尸网络危害

僵尸网络相当于攻击者在我们内部安插了间谍，因此危害非常多，归结起来主要有以下几种类型：

2.1敏感信息窃取

僵尸网络相当于黑客在僵尸主机上安装了间谍程序，因此它能监视和记录被害主机的各种活动行为，也能窃取用户的敏感信息，如用户的账号密码、身份信息、银行卡信息、研发代码等，给用户造成直接或间接的经济损失。

2.2高级持续威胁

我们知道APT攻击往往攻击目标明确、时间周期比较长、采用的攻击方法比较多、而且隐蔽性很好。

而研究发现，黑客进行APT攻击最常采用的跳板就是僵尸网络，大量的僵尸机给了发动APT攻击的黑客很多选择，并且为了达到继续渗透、监视、敏感数据窃取等目的，黑客会让这些僵尸机很好的潜藏起来，减少暴漏的可能。

2.3DoS/DDoS攻击

攻击者控制僵尸主机后，可以对外发起DoS/DDoS攻击。

受控的僵尸机，往往在用户不知道的情况下，接收控制者的指令，自发向外发送大量的访问请求或者垃圾邮件，造成网络拥塞，当大量的僵尸机同时向某一目标网络发起访问请求时，很可能导致目标网络的资源过载而造成绝服务。

DoS/DDoS拒绝服务是僵尸网络导致的最普遍、最难解的危害。

2.4本地渗透扩散

由于病毒、木马植入被害主机后，会主动通过控制节点和攻击者取得联系，执行攻击者的命令，攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件，从而实现在感染网络内部渗透扩散。

单位内部新目标主机或者服务器将成为渗透感染的目标，从而控制更多的主机或者服务器，掌握组织单位网络内部更多的资源和信息。

2.5脆弱信息收集

攻击者通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息收集。

各种僵尸程序偷偷的探测、收集网络内部的各种脆弱性信息，如账户口令、弱密码、开放端口、不安全配置、系统漏洞、应用程序漏洞等，并且把收集到的脆弱性信息悄悄的传递给控制者，黑客可以利用这些弱点实现更多入侵和信息窃取等目的。

三、深信服解决之道

深信服提供了全面的僵尸网络防护解决方案，通过在线部署深信服下一代防火墙NGAF，实现从传播的入口帮助用户解决各类僵尸网络威胁；深信服还智能融合了大数据和云安全技术，通过和部署在全球各地的NGAF威胁信息收集，以及和国内外专业安全机构的合度合作和情报共享，实现海量威胁特征的快速提取和威胁信息的自动下发，实现一站式智能化解决僵尸网络问题。

3.1防止僵尸网络传播

深信服下一代防火墙创新的智能融合了僵尸网络识别技术，其内置的僵尸网络特征库数量已经达到了50多万条，包含了木马、后门、蠕虫、恶意软件、间谍软件等多种分类。

NGAF具备深度内容解析能力，能够实时检测网络流量并切断僵尸网络控制通道，阻止僵尸网络向内部传播。

深信服组建了专业的安全团队实时跟踪监测全球最新的各种僵尸程序，从而保持威胁特征的持续更新。

深信服还和CNCERT、Virustotal等专业组织保持了密切合作，能够快速共享各专业组织最新的僵尸网络情报信息，极大的丰富了深信服僵尸网络特征库数量。

3.2僵尸网络云端检测

NGAF除了在本地端进行安全防护外，深信服下一代防火墙还与深信服“云中心”进行智能联动。

深信服建设了完善的僵尸网络云检测平台，部署在全球各地的深信服下一代防火墙在发现可疑/未知流量后首先进行本地封锁，同时在用户许可的情况下，能实时将可疑流量上传到云安全中心，云平台自动执行沙盒检测，通过多维的自动分析，实现对可疑内容准确判定，生成新的恶意内容（如恶意软件、恶意网址、恶意IP，等）识别规则，并快速下发到全球所有在线设备上，极大的提升了未知僵尸网络的查杀能力，有效清除APT攻击跳板。

为了进一步完善和精确僵尸网络防护能力，深信服还在全球多个区域部署了Beta站点，Beta站点能够实时共享本地的流量数据到云安全中心，深信服安全团队利用这些大量的真实流量进行深入的安全研究，从僵尸网络发展、APT攻击等过程还原黑客的活动行为，掌握黑客最新的攻击方法，收集黑客的种种工具和社交网络，监控黑客对僵尸网络的控制通道和联系网络，快速生成最新的僵尸工具防护技术，极大提升已知/未知僵尸网络和高级持续威胁行为的检测精准度。

3.3防御对外DoS攻击

此外，NGAF基于行为特征的僵尸网络检测方法，能够有效的识别内网主机的异常行为，一些已经感染了僵尸病毒的主机，可能发起对外DoS攻击。

内网外发的DoS攻击将会造成网络拥堵，导致正常业务体验变差，也会影响被攻击网络的业务的正常运行。

NGAF能够对这些异常行为快速检测并阻止，防止本地风险扩大，避免对外攻击发生，规避潜在的法律风险。

3.4减少僵尸工具传播

随着WEB2.0时代的到来，社交网络和即时通信等应用得到了普遍使用，使得僵尸工具的传播从过去邮件或漏洞攻击方式，转向了更方便和广泛使用的web应用平台上进行传播。

深信服下一代防火墙能够实时检测钓鱼、盗号、欺诈、木马、页面伪造等多种恶意链接，无论是用户不慎访问恶意链接，还是僵尸程序主动请求这些链接，NGAF都能自动检测出来并阻止进一步访问弹出重定向告警页面，给出清晰的风险分类和说明，提示用户风险，并密切监视业务交互异常行为，通过清除、隔离、IP锁定定方式避免僵尸威胁传播，并及时向网络管理员发送告警信息。

3.5实时防护脆弱性

深信服下一代防火墙NGAF能够实时检测内部业务系统的脆弱性信息，防止僵尸程序对脆弱性信息的收集，避免黑客发起针对漏洞的攻击行为，有效避免“0day”漏洞攻击的产生。

可以对经过设备的流量进行实时漏洞风险分析，且不会给网络产生额外的流量。

实时漏洞检测功能能够发现底层系统漏洞、弱密码问题、业务应用漏洞、不安全配置、开放端口等多种安全缺陷，并提供对应的防护方案。

深信服拥有专业的漏洞研究团队，此外还加入了国内CNVD、CNNVD等专业单位及时共享漏洞特征信息。

深信服是微软的MAPP（MicrosoftActiveProtectionsProgram）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。

NGAF漏洞特征库通过了国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVECompatible）。

3.6敏感信息防泄漏

僵尸网络在黑客控制系可能将网络中的敏感信息悄悄的发送出去，深信服下一代防火墙提供可定义的敏感信息防泄漏功能，可有效阻止常见的敏感信息泄漏行为，并通过短信、邮件等方式报警。

NGAF还能通过正则表达式等方法自定义敏感信息内容，避免管理员账户/密码、重要配置、银行卡号、身份证号码、社保账号、手机号码等信息泄漏出去。

3.7智能定位僵尸机

NGAF通过用户行为的智能分析，结合僵尸行为算法和用户业务模型等方法，来准确定位已感染的僵尸主机。

比如具备僵尸行为的通信，对恶意网站/主机的访问行为超过阈值，以及某段时间内爆发式的HTTP请求行为等，都是比较典型的僵尸网络的行为。

3.8可视化威胁展示

NGAF提供了可视化的僵尸网络威胁展示功能，能够给出全面细致的僵尸主机风险类型分布和全部僵尸主机详细行为记录。

NGAF能够给出对僵尸网络行为监测信息，如飞客蠕虫、C&C通信等各种行为次数，以及威胁僵尸主机IP地址，感染威胁类型，活跃时间等信息，帮助管理员快速精准的识别内网的僵尸主机。