IP团伙行为分析:大流量与多渠道攻击一体化

僵尸网络近些年早已变成公司的大敌,最近发觉有那样一大群丧尸机“捆绑销售”,长期坚持不懈拓宽渠道僵尸网络主题活动和DDoS进攻,“不抛下”“永不放弃”。

  人们将那样的团队称之为“IP犯罪团伙”(IP Chain-Gang)。每一IP犯罪团伙由某一或是两组网络黑客控制者。因而,相同犯罪团伙在不一样的进攻中必定会主要表现出类似的个人行为。

  绿盟科技依据近些年所收集的DDoS进攻统计数据、好几个IP犯罪团伙并科学研究了她们的犯罪团伙个人行为,最近发布了《IP犯罪团伙个人行为剖析》。文中简略详细介绍汇报中的IP犯罪团伙的鉴别方式,剖析IP犯罪团伙的经营规模、进攻频次、进攻时长和进攻总流量。期待,根据科学研究犯罪团伙的历史时间个人行为创建犯罪团伙档案资料,便于更精确地叙述其身后1个或好几个进攻控制者的攻坚方法,一起更合理地防御力这种犯罪团伙将来将会进行的进攻,防范于未然。

  明确多次协作进攻中的网络攻击并将其划入两组。这儿,人们将协作进攻界定为对于相同总体目标基本上一起进行的进攻。因为这种网络攻击协调工作,因而有原因坚信她们为相同进攻控制者操纵。

  假如上一步中有2个组重合或其个人行为十分类似,则将其合拼为1个更大的组。反复此合拼全过程,直至已不存有重合的组。再此全过程中,应用繁杂的机器学习算法来明确“相似度”阀值。

  消除组里的“不经意网络攻击”(仅参加一部分进攻的网络攻击),获取每一进攻组的核心人物,算出人们所指的“IP犯罪团伙”。

  根据这一流程,人们明确了90好几个活跃性的IP犯罪团伙。在本调查报告中,人们在优化算法中挑选了相当于严苛的主要参数,因而,这种犯罪团伙中的全部组员全是切切实实的惯犯。每一惯犯都会人们的科学研究期内开展了数次进攻。因而,虽然这种犯罪团伙组员的总数仅占人们统计数据集中化全部网络攻击的2%,但他们进行的进攻约占全部进攻的30%。

  应当留意的是,一切犯罪团伙的构成都是变化规律。本汇报中,人们将科学研究期内的犯罪团伙个人行为视作静态数据。在将来的科学研究中,人们将考虑到动态性特性。

  在明确犯罪团伙以后,人们从好多个不一样的视角科学研究了各犯罪团伙的个人行为。否则另有表明,这节中谈及的大数字为相同犯罪团伙全部组员的总计记数。

  图为展现了IP犯罪团伙经营规模的遍布状况。大部分犯罪团伙组员不上1500人,但人们也发觉有个犯罪团伙的组员高达hg27,0500几十人。

  图为展现了各犯罪团伙进行的DDoS进攻恶性事件的总数,按恶性事件频次统计分析。绝不出现意外,大概30%的犯罪团伙进行了90%的进攻。

  图为展现了相同犯罪团伙全部组员的总总计进攻时间的遍布状况。一些犯罪团伙的总攻击时间高达hg6000来天( >12“年”),但大部分犯罪团伙不上1500天。

  人们通常总觉得,很大的犯罪团伙会启动较多进攻時间,且造成的进攻流量也很大,但客观事实并不是这样。

  如图所示,与更规模性的IP犯罪团伙对比,有着偏少组员的犯罪团伙将会会启动大量进攻并传出大量进攻总流量。这表明,特殊犯罪团伙中的网络攻击将会有着更拓宽渠道能够运用。

  如圖如图,启动进攻频次数最多( 60K)的犯罪团伙仅有着274名组员,超出了全部别的犯罪团伙。而较大的汽泡(即进攻流量较大)相匹配的犯罪团伙进攻频次居然偏少(12K)。

  据人们孰知,将DDoS进攻做为协作犯罪团伙主题活动开展科学研究尚属初次。从这一全新升级视角来科学研究,能够得到某些与众不同看法,有利于人们尽快检验、减轻、调查取证剖析乃至分折DDoS进攻。



免责声明:文章《IP团伙行为分析:大流量与多渠道攻击一体化》来至网络,文章表达观点不代表本站观点,文章版权属于原作者所有,若有侵权,请联系本站站长处理!



上一篇:IP团伙攻击行为
下一篇:IsThisLegit+Phinn:采用了机器学习算法的开源网络钓鱼防御与检测工具
您可能感兴趣:
  • 黑客接单黑客头像
  • QQ:58241689