僵尸网络入侵研究+文献综述(5)
4.4应对措施
利用蜜网技术、特征分析等各种僵尸网络检测技术获取到与僵尸网络相关的各种信息后,需要采取一定的措施来防止僵尸网络的攻击和进一步的传播扩散并且消灭掉已经认定的僵尸网络。
一种非常简单却又十分见效的方法是通过设置路由和DNS黑名单等方式阻止与认定为僵尸网络中的主机的通信[10],而日怎样获取恶意地址和域名则是这种防御措施中最重要的问题。当前普遍采取的方法是,机构或者个人通过对僵尸程序进行分析等方法,获取到恶意地址或域名,然后将这些恶意地址公布在互联网上供人们共享,这样就能够逐渐构成一个巨大的黑名单数据库。从而从最大程度上防止用户访问带有僵尸程序的恶意网站。
近年来,越来越多的僵尸网络基于WEB进行传播和攻击,针对这种情况,许多安全厂商都在进行着检测并发布挂有恶意僵尸程序的宿主WEB页面的地址,并在浏览器中将收集到的这些网址设置为禁止访问。目前为止,大多数的网页浏览器都具有阻止用户访问恶意网址的访问控制机制。
当然,还有更加直截了当的做法:停止已经检测出的僵尸网络的域名服务或强行停止攻击者所使用的控制服务器的网络服务。但是由于管理上的一些实际情况和当前政策的限制这种方式面临着巨大的困难。对于一个大规模的僵尸网络来说,它所使用的域名服务器和僵尸控制服务器大多情况下分布于各个不同地区, 管理机构之间跨区域对僵尸网络进行协同处置较为复杂困难。而随着制度和政策的不断完善,近些年,很多大型企业、管理机构、安全软件厂商开始大规模的对僵尸网络开展协同处置行动。
5.总结与展望
通过对僵尸网络的研究发现:僵尸网络的数量、规模和危害级别正在迅速增长。检测和预防僵尸网络的技术在一天天提高,但僵尸网络的形式也随着网络技术的发展不断发生变化。安全厂商与僵尸网络之间的对抗将在今后相当长一段时间内仍旧是网络安全工作的中要组成部分面对日渐严峻的网络安全形势,面向网络安全的针对僵尸网络的研究已经成为一个具有重大应用价值的热点课题。
现如今在互联网之中,越来越多的僵尸网络不再采用易被检测出来的IRC控制方式,取而代之的是P2P僵尸网络。P2P僵尸网络具有隐蔽性好、可控性强、健壮性好等优势,而这些特点也给我们对其进行检测预防提出了新的挑战。为了网络的安全,针对P2P僵尸网络的更深层的研究刻不容缓,从网络结构、控制机制等多方面深入研究P2P僵尸网络,有助于对其检测和应对方法的研究