什麼是殭屍網路取證?

殭屍網路是有害程式,由殭屍網路控制者或殭屍網路操作者執行,後者是惡意程式設計師。殭屍網路操作者會用病毒或多個病毒感染弱勢使用者的機器,其有效載荷是一個惡意程式。它與命令和控制伺服器建立聯絡並與之建立連線。垃圾郵件傳送者向殭屍網路操作者支付服務費用,然後殭屍網路操作者發出更新的命令。殭屍網路取證關注的是在發生殭屍網路攻擊及其相關漏洞後對其進行調查。如今,殭屍網路取證至關重要,因為它有助於保護企業免受內外網路攻擊。

什麼是殭屍網路取證,它是如何工作的?

殭屍網路取證是一門科學,它識別違規行為的廣度並使用技術來檢測感染型別。它是一種殭屍網路攻擊調查,涉及收集、識別、檢測、獲取和歸因等操作。殭屍網路取證的主要目標是評估入侵的嚴重程度,對其進行調查,並提供有關如何從中恢復的資訊,以提高系統安全性。

殭屍網路取證資料可用於執行以下操作

  • 應改進安全工具。

  • 識別作案手法。

  • 將來,它可用於預防網路安全威脅。

  • 殭屍網路取證不僅確保網路安全,還有助於執法。

  • 殭屍網路取證系統分類

通常可以使用以下類別對所有殭屍網路取證研究進行分類 -

基於有效載荷的分類

在這種方法中,資料包根據有效載荷的欄位進行分類。有效載荷使用分類技術,例如深度資料包檢測,該技術使用簽名分析進行流量驗證和分類。簽名分析有幾種形式 -

啟發式分析

它包括監視網路流量以檢測可疑的網路流量,並使用基於啟發式分析的處理器來檢測可疑網路流量行為的殭屍網路。此可疑網路流量模式包括與殭屍網路控制者相關的命令和控制流量。啟發式分析和行為分析是互補的。為了檢測病毒和感染,一些防病毒軟體同時使用這兩種方法。

行為分析

各種防病毒程式同時使用行為分析和啟發式分析來檢測病毒和感染。

模式分析

在資料包的有效載荷中,應用程式包含可用於識別協議的各種模式。模式可能出現在資料包的任何位置。

數值分析

這包括考慮數值特徵。數值資料包,如有效載荷大小、響應資料包的數量等。

主要目標是在提供的有效載荷中發現一段字串,研究其性質並確定其特徵。這種分類方法用於自由區,即弗雷德里克頓運營的免費網路服務提供商。

使用決策樹進行分類

在這種技術中,在資料被劃分為較小的子組的同時生成決策樹。最終結果顯示為一棵具有決策節點和葉節點的樹。當處理未知流量時,這是使用的理想方法。

使用整合方法進行分類

Rokach 等人將整合模型分為依賴和獨立方法。依賴方法中最著名的模型例項是提升,通常稱為重取樣和組合。它用於增強分散訓練資料上的弱分類效能。AdaBoost 是一種著名的整合技術,可以透過迭代過程改進基本的提升演算法。Bagging 和 Wagging 是兩種著名的獨立方法。

殭屍網路取證框架的五個步驟

惡意軟體

惡意軟體階段是第一步。包括惡意軟體傳播、感染、通訊和攻擊的步驟。最流行和廣泛使用的渠道是 IRC。此步驟識別惡意軟體是殭屍網路還是其他形式的惡意軟體。

殭屍網路取證調查員

殭屍網路取證框架的第二步是殭屍網路取證調查員。此階段的重點在於 -

  • 檢測系統是否已被入侵或感染。

  • 如果系統被入侵,它將確定攻擊是殭屍網路還是其他型別的攻擊。

  • 它透過檢視流量、歸因、汽車被動和惡意軟體樣本來尋找殭屍網路。

  • 它還側重於歸因、汽車被動和惡意軟體樣本。

殭屍網路取證分析師

殭屍網路取證框架現在處於第三階段。此階段涉及 -

  • 檢視識別符號階段的結果。

  • 它用於在完成刑事調查後進行搜尋。

  • 如果識別符號檢測到惡意軟體,分析師將調查它是什麼型別的惡意軟體以及它感染的位置。

  • 它將提示與現實世界資料相結合,並將所有詳細資訊傳送到殭屍網路證據階段。

  • 分析、查詢、檢查、收集和儲存都是此階段的階段。

殭屍網路證據

殭屍網路取證框架現在處於第四階段。此步驟將來自先前步驟的所有資料編譯併發送到事件響應階段 3。

事件行動

殭屍網路取證框架現在處於最後階段。此階段包含三個操作:遏制、根除和恢復。此階段的步驟如下 -

  • 在收集所有事實並全面瞭解情況後,IR 團隊將開始對抗威脅。

  • 它包括採取措施避免進一步的損害。

  • 在處理完威脅後,下一步是透過提高網路安全、重建系統和替換受損檔案來恢復系統的正常執行。

更新於:2022 年 3 月 15 日

221 次檢視

啟動您的 職業生涯

透過完成課程獲得認證

開始
廣告

© . All rights reserved.