X
请选择要咨询的内容
下一代防火墙 上网行为管理 SSL VPN IPSec VPN 广域网优化WOC 应用交付AD 桌面云aDesk 超融合HCI
开始咨询

新闻动态

News

深信服,让IT更简单、更安全、更有价值

僵尸网络与漫步云端

/ 2016-09-01

在80、90年代曾有一类电影成就了香港东方好莱坞的称号,那就是僵尸片。中国的僵尸片有一类特色或者说一个流程,片中大多有一个源头,通过对其他主体进行啃咬从而传播病毒,使其成为后裔并听从一定的指令。此外,一些具有特殊技能的人,也可以通过特定的方式对这些被感染的僵尸进行控制或者销毁。

当然,我们今天不是做影评,而是要说说和上述流程极其相似的“僵尸网络”。僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。


僵尸网络主要成因

总体来看,僵尸网络主要成因一方面是由于用户的安全意识较为薄弱,在使用终端设备或应用过程中,并没有对密码进行强化或者更改,导致攻击者可轻而易举地暴破访问。另一方面,也是因为相应的终端设备或系统存在安全漏洞,攻击者利用该漏洞来对设备进行控制,从而将设备进行感染并融入到其僵尸网络中。


僵尸网络的危害

那么僵尸网络有哪些危害呢?

首先,要清楚僵尸网络,其实是形成了一个分布式的攻击平台。通过这个平台可以窃取信息、攻击系统及应用、进行网络诈骗等犯罪行为。通过僵尸网络形成一个跳板,黑客们可以更隐蔽的进行网络攻击行为或者更加高效的获取数据信息。

之后,让我们来看看具体的危害:

1、分布式拒绝服务攻击

2、发送垃圾邮件和网络钓鱼

3、窃取敏感信息

4、扩散恶意软件

5、对系统或应用进行恶意破坏

同时切勿把僵尸网络看作是一种单纯的攻击,僵尸网络可以是多种攻击方式的综合载体,是为实现目的的一种平台化的手段。


深信服解决之道

僵尸网络的生命周期分为传播过程、感染过程、加入网络、再传播过程以及接受控制等阶段。其中,传播过程就包含五种主要的方式,分别是攻击漏洞、邮件携带、即使通讯、恶意网站脚本和伪装软件。可以看到僵尸网络的传播途径、方式方法是多种多样的,因此对于任何阶段而言都存在着被入侵的可能。如果仅仅押宝在某个环节,必然会导致防御和检测失效,因此全生命周期的持续检测才是安全策略的最佳选择。


 


深信服下一代防火墙可以提供全生命周期的持续检测。传播阶段,深信服下一代防火墙通过恶意网址库、邮件杀毒、漏洞防护等防御手段对各种传统威胁入口进行防护,并利用威胁情报分析对高级威胁进行持续检测。感染之后,失陷主机与C&C服务器通信阶段,深信服下一代防火墙通过DGA算法、恶意IP/域名库等阻断木马与C&C服务器的通信。并利用全球最新的威胁情报帮助快速定位最新C&C服务器地址,同时对病毒与C&C服务器通信过程中的异常流量和异常行为进行持续检测。加入网络并接受控制阶段,深信服下一代防火墙可以通过快速识别行为进行拦截,保证客户核心业务稳定运行。破坏行为或敏感信息泄露阶段,深信服下一代防火墙可以对主机进行防护,并提供泄露敏感信息事件的告警,有效防护用户关键信息保密性和隐私性。再传播阶段,深信服下一代防火墙可以通过探针结合安全云的未知威胁检测技术,对病毒的横向扫描和攻击行为进行沙盒检测。


传统静态特征方案存在发现威胁少或不全的缺陷,因此看到的只是单个威胁信息,从而无法发现威胁背后的整个僵尸网络的危害。在安全领域中,不断进步的不只是防守方,还有攻击方。在攻防过程中,双方斗智斗勇,比如黑客可以通过不断变化DNS域名来掩藏自己真实的行踪,还可以利用不同层级的肉鸡来保护自己等等。但是,正所谓“魔高一尺,道高一丈”。深信服安全云贯穿整个攻击链的每个过程,客户网络中的下一代防火墙与深信服安全云联动,可通过威胁情报分析平台,帮助客户获得最新的威胁情报,并利用沙盒技术实现虚拟执行,全面检测未知威胁。

下图是深信服大数据威胁情报分析平台近期分析到的一个僵尸网络的部分内容:

 


深信服下一代防火墙利用安全云平台,可以为用户提供创新的安全服务,包含云扫描、云监测、云沙盒、云专家服务等服务内容。通过全网检测可视化平台和微信服务平台提供更专业的云端响应服务,帮助用户更及时获取有效事件、更高效进行安全响应。

©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

深信服科技
深信服科技