什么是僵尸网络取证？

僵尸网络是有害程序，由僵尸网络控制者或僵尸网络操作者运行，后者是恶意程序员。僵尸网络操作者会用病毒或多个病毒感染弱势用户的机器，其有效载荷是一个恶意程序。它与命令和控制服务器建立联系并与之建立连接。垃圾邮件发送者向僵尸网络操作者支付服务费用，然后僵尸网络操作者发出更新的命令。僵尸网络取证关注的是在发生僵尸网络攻击及其相关漏洞后对其进行调查。如今，僵尸网络取证至关重要，因为它有助于保护企业免受内外网络攻击。

什么是僵尸网络取证，它是如何工作的？

僵尸网络取证是一门科学，它识别违规行为的广度并使用技术来检测感染类型。它是一种僵尸网络攻击调查，涉及收集、识别、检测、获取和归因等操作。僵尸网络取证的主要目标是评估入侵的严重程度，对其进行调查，并提供有关如何从中恢复的信息，以提高系统安全性。

僵尸网络取证数据可用于执行以下操作

• 应改进安全工具。

• 识别作案手法。

• 将来，它可用于预防网络安全威胁。

• 僵尸网络取证不仅确保网络安全，还有助于执法。

• 僵尸网络取证系统分类

通常可以使用以下类别对所有僵尸网络取证研究进行分类 -

基于有效载荷的分类

在这种方法中，数据包根据有效载荷的字段进行分类。有效载荷使用分类技术，例如深度数据包检测，该技术使用签名分析进行流量验证和分类。签名分析有几种形式 -

启发式分析

它包括监视网络流量以检测可疑的网络流量，并使用基于启发式分析的处理器来检测可疑网络流量行为的僵尸网络。此可疑网络流量模式包括与僵尸网络控制者相关的命令和控制流量。启发式分析和行为分析是互补的。为了检测病毒和感染，一些防病毒软件同时使用这两种方法。

行为分析

各种防病毒程序同时使用行为分析和启发式分析来检测病毒和感染。

模式分析

在数据包的有效载荷中，应用程序包含可用于识别协议的各种模式。模式可能出现在数据包的任何位置。

数值分析

这包括考虑数值特征。数值数据包，如有效载荷大小、响应数据包的数量等。

主要目标是在提供的有效载荷中发现一段字符串，研究其性质并确定其特征。这种分类方法用于自由区，即弗雷德里克顿运营的免费网络服务提供商。

使用决策树进行分类

在这种技术中，在数据被划分为较小的子组的同时生成决策树。最终结果显示为一棵具有决策节点和叶节点的树。当处理未知流量时，这是使用的理想方法。

使用集成方法进行分类

Rokach 等人将集成模型分为依赖和独立方法。依赖方法中最著名的模型实例是提升，通常称为重采样和组合。它用于增强分散训练数据上的弱分类性能。AdaBoost 是一种著名的集成技术，可以通过迭代过程改进基本的提升算法。Bagging 和 Wagging 是两种著名的独立方法。

僵尸网络取证框架的五个步骤

恶意软件

恶意软件阶段是第一步。包括恶意软件传播、感染、通信和攻击的步骤。最流行和广泛使用的渠道是 IRC。此步骤识别恶意软件是僵尸网络还是其他形式的恶意软件。

僵尸网络取证调查员

僵尸网络取证框架的第二步是僵尸网络取证调查员。此阶段的重点在于 -

• 检测系统是否已被入侵或感染。

• 如果系统被入侵，它将确定攻击是僵尸网络还是其他类型的攻击。

• 它通过查看流量、归因、汽车被动和恶意软件样本来寻找僵尸网络。

• 它还侧重于归因、汽车被动和恶意软件样本。

僵尸网络取证分析师

僵尸网络取证框架现在处于第三阶段。此阶段涉及 -

• 查看标识符阶段的结果。

• 它用于在完成刑事调查后进行搜索。

• 如果标识符检测到恶意软件，分析师将调查它是什么类型的恶意软件以及它感染的位置。

• 它将提示与现实世界数据相结合，并将所有详细信息发送到僵尸网络证据阶段。

• 分析、查询、检查、收集和保存都是此阶段的阶段。

僵尸网络证据

僵尸网络取证框架现在处于第四阶段。此步骤将来自先前步骤的所有数据编译并发送到事件响应阶段 3。

事件行动

僵尸网络取证框架现在处于最后阶段。此阶段包含三个操作：遏制、根除和恢复。此阶段的步骤如下 -

• 在收集所有事实并全面了解情况后，IR 团队将开始对抗威胁。

• 它包括采取措施避免进一步的损害。

• 在处理完威胁后，下一步是通过提高网络安全、重建系统和替换受损文件来恢复系统的正常运行。

Kanal S Sajan

更新于：2022 年 3 月 15 日

221 次查看

启动您的 职业生涯

通过完成课程获得认证

开始