深信服僵尸網(wǎng)絡(luò)防護(hù)解決方案1==目錄TOC\o"1-5"\h\z深信服僵尸網(wǎng)絡(luò)防護(hù)解決方案 1\o"CurrentDocument"一、 背景介紹 .4\o"CurrentDocument"二、 僵尸網(wǎng)絡(luò)危害 5\o"CurrentDocument"2.1敏感信息竊取 5\o"CurrentDocument"2.2本地滲透擴(kuò)散 52.3漏洞信息探測(cè) 5\o"CurrentDocument"DoS/DDoS攻擊 5\o"CurrentDocument"2.5高級(jí)持續(xù)威脅 5\o"CurrentDocument"三、 深信服解決之道 .63.1防御已知僵尸網(wǎng)絡(luò) 63.2防御未知僵尸網(wǎng)絡(luò) 錯(cuò)誤!未定義書簽。3.3未知威脅云端檢測(cè) 7防御DoS/DDoS攻擊 8\o"CurrentDocument"3.5減少僵尸工具傳播 .93.6實(shí)時(shí)漏洞檢測(cè)保護(hù) .9\o"CurrentDocument"3.7敏感信息防泄漏 .93.8自助化快速運(yùn)維 錯(cuò)誤!未定義書簽。四、 總結(jié) 錯(cuò)誤!未定義書簽。一、背景介紹最早的僵尸網(wǎng)絡(luò)出現(xiàn)在上個(gè)世紀(jì)90年代，迄今已有20多年歷史，隨著IT信息技術(shù)不斷發(fā)展，僵尸網(wǎng)絡(luò)的危害也越來越嚴(yán)重。僵尸網(wǎng)絡(luò)實(shí)際上是僵尸控制者(Botmaster)出于惡意目的，傳播僵尸程序控制大量受感染的主機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。它是在黑客工具、蠕蟲、木馬、后門工具、惡意軟件等多種惡意代碼形態(tài)的基礎(chǔ)上發(fā)展并融合而產(chǎn)生的一種復(fù)合攻擊方式，最大的特點(diǎn)是攻擊者和僵尸主機(jī)之間存在一對(duì)多的控制關(guān)系。受感染主機(jī)用戶用戶 曖感條主機(jī)0V耶件胃E毛國(guó)家互聯(lián)網(wǎng)信息中心發(fā)布的報(bào)告顯示：最近幾年，我國(guó)每年有超過1000萬(wàn)臺(tái)主機(jī)被感染成僵尸網(wǎng)絡(luò)。2014年，我國(guó)有1108萬(wàn)主機(jī)感染了僵尸網(wǎng)絡(luò)，并且大部分僵尸主機(jī)被境外服務(wù)器所控制，其中廣東省、湖南省、江蘇省居于木馬或僵尸程序受控主機(jī)IP地址絕對(duì)數(shù)量前3位。2CTU年域內(nèi)木T或1胡尸程序受控主機(jī)IP他址掀嵬接地區(qū)分布《來源：CNCERT/CC)僵尸主機(jī)會(huì)接受控制端的指令，從而造成更多的危害，如發(fā)起DDoS攻擊。我國(guó)是僵尸網(wǎng)絡(luò)主要受害國(guó)，2013年8月25日凌晨，由于僵尸網(wǎng)絡(luò)造成的海量DNS請(qǐng)求流量阻塞了服務(wù)器主干鏈路，導(dǎo)致中國(guó)境內(nèi)的.cn域名訪問中斷長(zhǎng)達(dá)數(shù)小時(shí)；2014年12月10日，運(yùn)營(yíng)商DNS網(wǎng)絡(luò)遭到了DDoS攻擊，當(dāng)日上午11點(diǎn)開始，攻擊開始活躍，多個(gè)省份不斷出現(xiàn)網(wǎng)頁(yè)訪問緩慢，甚至無法打開等故障。值得注意的是，最近幾年爆發(fā)的APT攻擊事件，都大量利用了僵尸網(wǎng)絡(luò)，如RSA信息泄漏、索尼影音信息泄漏、中國(guó)社保賬戶信息泄漏等，僵尸網(wǎng)絡(luò)成為APT攻擊者最有效、最常選擇的方法。二、僵尸網(wǎng)絡(luò)危害僵尸網(wǎng)絡(luò)相當(dāng)于攻擊者在我們內(nèi)部安插了間諜，因此危害非常多，歸結(jié)起來主要有以下幾種類型：2.1敏感信息竊取僵尸網(wǎng)絡(luò)相當(dāng)于黑客在僵尸主機(jī)上安裝了間諜程序，因此它能監(jiān)視和記錄被害主機(jī)的各種活動(dòng)行為，也能竊取用戶的敏感信息，如用戶的賬號(hào)密碼、身份信息、銀行卡信息、研發(fā)代碼等，給用戶造成直接或間接的經(jīng)濟(jì)損失。2.2高級(jí)持續(xù)威脅我們知道APT攻擊往往攻擊目標(biāo)明確、時(shí)間周期比較長(zhǎng)、采用的攻擊方法比較多、而且隱蔽性很好。而研究發(fā)現(xiàn)，黑客進(jìn)行APT攻擊最常采用的跳板就是僵尸網(wǎng)絡(luò)，大量的僵尸機(jī)給了發(fā)動(dòng)APT攻擊的黑客很多選擇，并且為了達(dá)到繼續(xù)滲透、監(jiān)視、敏感數(shù)據(jù)竊取等目的，黑客會(huì)讓這些僵尸機(jī)很好的潛藏起來，減少暴漏的可能。2.3DoS/DDoS攻擊攻擊者控制僵尸主機(jī)后，可以對(duì)外發(fā)起DoS/DDoS攻擊。受控的僵尸機(jī)，往往在用戶不知道的情況下，接收控制者的指令，自發(fā)向外發(fā)送大量的訪問請(qǐng)求或者垃圾郵件，造成網(wǎng)絡(luò)擁塞，當(dāng)大量的僵尸機(jī)同時(shí)向某一目標(biāo)網(wǎng)絡(luò)發(fā)起訪問請(qǐng)求時(shí)，很可能導(dǎo)致目標(biāo)網(wǎng)絡(luò)的資源過載而造成絕服務(wù)。DoS/DDoS拒絕服務(wù)是僵尸網(wǎng)絡(luò)導(dǎo)致的最普遍、最難解的危害。2.4本地滲透擴(kuò)散由于病毒、木馬植入被害主機(jī)后，會(huì)主動(dòng)通過控制節(jié)點(diǎn)和攻擊者取得聯(lián)系，執(zhí)行攻擊者的命令，攻擊者可利用此功能向被控主機(jī)傳送新病毒、木馬程序或者其它的惡意軟件，從而實(shí)現(xiàn)在感染網(wǎng)絡(luò)內(nèi)部滲透擴(kuò)散。單位內(nèi)部新目標(biāo)主機(jī)或者服務(wù)器將成為滲透感染的目標(biāo)，從而控制更多的主機(jī)或者服務(wù)器，掌握組織單位網(wǎng)絡(luò)內(nèi)部更多的資源和信息。2.5脆弱信息收集攻擊者通過植入的僵尸程序或掃描程序進(jìn)行內(nèi)部業(yè)務(wù)系統(tǒng)的漏洞等信息收集。各種僵尸程序偷偷的探測(cè)、收集網(wǎng)絡(luò)內(nèi)部的各種脆弱性信息，如賬戶口令、弱密碼、開放端口、不安全配置、系統(tǒng)漏洞、應(yīng)用程序漏洞等，并且把收集到的脆弱性信息悄悄的傳遞給控制者，黑客可以利用這些弱點(diǎn)實(shí)現(xiàn)更多入侵和信息竊取等目的。三、深信服解決之道深信服提供了全面的僵尸網(wǎng)絡(luò)防護(hù)解決方案，通過在線部署深信服下一代防火墻NGAF，實(shí)現(xiàn)從傳播的入口幫助用戶解決各類僵尸網(wǎng)絡(luò)威脅；深信服還智能融合了大數(shù)據(jù)和云安全技術(shù)，通過和部署在全球各地的NGAF威脅信息收集，以及和國(guó)內(nèi)外專業(yè)安全機(jī)構(gòu)的合度合作和情報(bào)共享，實(shí)現(xiàn)海量威脅特征的快速提取和威脅信息的自動(dòng)下發(fā)，實(shí)現(xiàn)一站式智能化解決僵尸網(wǎng)絡(luò)問題。3.1防止僵尸網(wǎng)絡(luò)傳播深信服下一代防火墻創(chuàng)新的智能融合了僵尸網(wǎng)絡(luò)識(shí)別技術(shù)，其內(nèi)置的僵尸網(wǎng)絡(luò)特征庫(kù)數(shù)量已經(jīng)達(dá)到了50多萬(wàn)條，包含了木馬、后門、蠕蟲、惡意軟件、間

諜軟件等多種分類。NGAF具備深度內(nèi)容解析能力，能夠?qū)崟r(shí)檢測(cè)網(wǎng)絡(luò)流量并切斷僵尸網(wǎng)絡(luò)控制通道，阻止僵尸網(wǎng)絡(luò)向內(nèi)部傳播。深信服組建了專業(yè)的安全團(tuán)隊(duì)實(shí)時(shí)跟蹤監(jiān)測(cè)全球最新的各種僵尸程序，從而保持威脅特征的持續(xù)更新。深信服還和CNCERT、Virustotal等專業(yè)組織保持了密切合作，能夠快速共享各專業(yè)組織最新的僵尸網(wǎng)絡(luò)情報(bào)信息，極大的豐富了深信服僵尸網(wǎng)絡(luò)特征庫(kù)數(shù)量。3.2僵尸網(wǎng)絡(luò)云端檢測(cè)NGAF除了在本地端進(jìn)行安全防護(hù)外，深信服下一代防火墻還與深信服“云中心”進(jìn)行智能聯(lián)動(dòng)。深信服建設(shè)了完善的僵尸網(wǎng)絡(luò)云檢測(cè)平臺(tái)，部署在全球各地的深信服下一代防火墻在發(fā)現(xiàn)可疑/未知流量后首先進(jìn)行本地封鎖，同時(shí)在用戶許可的情況下，能實(shí)時(shí)將可疑流量上傳到云安全中心，云平臺(tái)自動(dòng)執(zhí)行沙盒檢測(cè)，通過多維的自動(dòng)分析，實(shí)現(xiàn)對(duì)可疑內(nèi)容準(zhǔn)確判定，生成新的惡意內(nèi)容（如惡意軟件、惡意網(wǎng)址、惡意IP，等）識(shí)別規(guī)則，并快速下發(fā)到全球所有在線設(shè)備上，極大的提升了未知僵尸網(wǎng)絡(luò)的查殺能力，有效清除APT攻擊跳板。

24.2K0.94<0.44h0.2lu0.1K0.01^?深值服倍尸網(wǎng)塔云檢38平臺(tái)24.2K0.94<0.44h0.2lu0.1K0.01^?深值服倍尸網(wǎng)塔云檢38平臺(tái)泌KFOftBOFNnO.￡HjD笙EIUHflETECTlOWMaTFORH鄧岫1 頃印 W妍20,147,B045全肆最尸閔峭攻擊蠹外布1936Sf127*為了進(jìn)一步完善和精確僵尸網(wǎng)絡(luò)防護(hù)能力，深信服還在全球多個(gè)區(qū)域部署了Beta站點(diǎn)，Beta站點(diǎn)能夠?qū)崟r(shí)共享本地的流量數(shù)據(jù)到云安全中心，深信服安全團(tuán)隊(duì)利用這些大量的真實(shí)流量進(jìn)行深入的安全研究，從僵尸網(wǎng)絡(luò)發(fā)展、APT攻擊等過程還原黑客的活動(dòng)行為，掌握黑客最新的攻擊方法，收集黑客的種種工具和社交網(wǎng)絡(luò)，監(jiān)控黑客對(duì)僵尸網(wǎng)絡(luò)的控制通道和聯(lián)系網(wǎng)絡(luò)，快速生成最新的僵尸工具防護(hù)技術(shù)，極大提升已知/未知僵尸網(wǎng)絡(luò)和高級(jí)持續(xù)威脅行為的檢測(cè)精準(zhǔn)度。3.3防御對(duì)外DoS攻擊此外，NGAF基于行為特征的僵尸網(wǎng)絡(luò)檢測(cè)方法，能夠有效的識(shí)別內(nèi)網(wǎng)主機(jī)的異常行為，一些已經(jīng)感染了僵尸病毒的主機(jī)，可能發(fā)起對(duì)外DoS攻擊。內(nèi)網(wǎng)外發(fā)的DoS攻擊將會(huì)造成網(wǎng)絡(luò)擁堵，導(dǎo)致正常業(yè)務(wù)體驗(yàn)變差，也會(huì)影響被攻擊網(wǎng)絡(luò)的業(yè)務(wù)的正常運(yùn)行。對(duì)外Do對(duì)外Do城擊(TOP5)最近七天、攻擊開站時(shí)間持條時(shí)間目的IF地址2015-D9-2103:18:09次擊蚤r拍續(xù)8分和176.165.1&2.14180.170.170.U（中國(guó)上...2O15-D0.2103:16:26,峻Eg176.165162131SO.170.170.-N中國(guó)上一2015-D8-2103:14:43攻175.165.16212130.170.170/2C=|=[^h...2015-D8-2103：12：58攻揖良r息8"11?170.17Q11（:干國(guó)上...2015-DB-2103:11:14攻擊日r^6并176165.1621001710.17010（中國(guó)上...NGAF能夠?qū)@些異常行為快速檢測(cè)并阻止，防止本地風(fēng)險(xiǎn)擴(kuò)大，避免對(duì)外攻擊發(fā)生，規(guī)避潛在的法律風(fēng)險(xiǎn)。3.4減少僵尸工具傳播隨著WEB2.0時(shí)代的到來，社交網(wǎng)絡(luò)和即時(shí)通信等應(yīng)用得到了普遍使用，使得僵尸工具的傳播從過去郵件或漏洞攻擊方式，轉(zhuǎn)向了更方便和廣泛使用的web應(yīng)用平臺(tái)上進(jìn)行傳播。深信服下一代防火墻能夠?qū)崟r(shí)檢測(cè)釣魚、盜號(hào)、欺詐、木馬、頁(yè)面?zhèn)卧斓榷喾N惡意鏈接，無論是用戶不慎訪問惡意鏈接，還是僵尸程序主動(dòng)請(qǐng)求這些鏈接，NGAF都能自動(dòng)檢測(cè)出來并阻止進(jìn)一步訪問彈出重定向告警頁(yè)面，給出清晰的風(fēng)險(xiǎn)分類和說明，提示用戶風(fēng)險(xiǎn)，并密切監(jiān)視業(yè)務(wù)交互異常行為，通過清除、隔離、IP鎖定定方式避免僵尸威脅傳播，并及時(shí)向網(wǎng)絡(luò)管理員發(fā)送告警信息。3.5實(shí)時(shí)防護(hù)脆弱性深信服下一代防火墻NGAF能夠?qū)崟r(shí)檢測(cè)內(nèi)部業(yè)務(wù)系統(tǒng)的脆弱性信息，防止僵尸程序?qū)Υ嗳跣孕畔⒌氖占苊夂诳桶l(fā)起針對(duì)漏洞的攻擊行為，有效避免“0day”漏洞攻擊的產(chǎn)生?？梢詫?duì)經(jīng)過設(shè)備的流量進(jìn)行實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析，且不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量。實(shí)時(shí)漏洞檢測(cè)功能能夠發(fā)現(xiàn)底層系統(tǒng)漏洞、弱密碼問題、業(yè)務(wù)應(yīng)用漏洞、不安全配置、開放端口等多種安全缺陷，并提供對(duì)應(yīng)的防護(hù)深信服擁有專業(yè)的漏洞研究團(tuán)隊(duì)，此外還加入了國(guó)內(nèi)CNVD、CNNVD等專業(yè)單位及時(shí)共享漏洞特征信息。深信服是微軟的MAPP(MicrosoftActiveProtectionsProgram)項(xiàng)目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時(shí)有效的保護(hù)，以確保防御的及時(shí)性。NGAF漏洞特征庫(kù)通過了國(guó)際最著名的安全漏洞庫(kù)CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審，獲得CVE兼容性認(rèn)證(CVECompatible)。3.6敏感信息防泄漏僵尸網(wǎng)絡(luò)在黑客控制系可能將網(wǎng)絡(luò)中的敏感信息悄悄的發(fā)送出去，深信服下一代防火墻提供可定義的敏感信息防泄漏功能，可有效阻止常見的敏感信息泄漏行為，并通過短信、郵件等方式報(bào)警。NGAF還能通過正則表達(dá)式等方法自定義

敏感信息內(nèi)容，避免管理員賬戶/密碼、重要配置、銀行卡號(hào)、身份證號(hào)碼、社保賬號(hào)、手機(jī)號(hào)碼等信息泄漏出去。3.7智能定位僵尸機(jī)NGAF通過用戶行為的智能分析，結(jié)合僵尸行為算法和用戶業(yè)務(wù)模型等方法，來準(zhǔn)確定位已感染的僵尸主機(jī)。比如具備僵尸行為的通信，對(duì)惡