IP团伙行为分析
2019-01-30
根据《ylzz总站线路检测2018年上半年网络安全观察》报告,“惯犯承担了40%的攻击事件,其中僵尸网络活动和DDoS攻击是惯犯们的主流攻击方式。”由于僵尸网络活动和DDoS攻击通常以协作方式从多个来源发起,因此这么多的惯犯以群体方式勾结“作案”并不奇怪。我们将这样的群体称为“IP团伙”(IP Chain-Gang)。在本报告中,我们基于ylzz总站线路检测自2017年以来所搜集的DDoS攻击数据,识别了多个IP团伙并研究了他们的团伙行为。
采用这种方法的逻辑是:各IP团伙均由单一的攻击控制者或相关攻击控制者构成的组织控制,因此,同一个团伙在不同的攻击中必然会表现出相似的行为。我们希望,通过研究团伙的历史行为建立团伙档案,以便更准确地描述其背后一个或多个攻击控制者的行动方式、偏好的攻击方法和特征,同时帮助更有效地防御这些团伙未来可能发起的攻击,防患于未然。
在本报告中,我们介绍了IP团伙的概念,对团伙行为进行了重点统计分析。根据分析,我们发现:
• 这些团伙成员虽然只占全部攻击者中的一小部分(2%),但却发起了相当大一部分(20%)的攻击;
• 20%的团伙对约80%的团伙攻击负责;
• 反射攻击,特别是大流量攻击,是各团伙最青睐的攻击方法;
• 各团伙通常并未完全发挥其潜力,但是,了解它们的能力极限对于规划防御非常重要。
本报告是IP团伙主题系列中的开篇之作。在后续报告中,我们计划研究团伙成员如何进化与联系,以及如何基于此构建更有效的防御措施。
据我们所知,将DDoS攻击作为协同团伙活动进行研究在全球尚属首次。从这一全新角度来研究DDoS攻击,可以获得一些独特见解,有助于我们更好地检测、缓解、取证分析甚至预测DDoS攻击。
IP团伙行为分析报告下载
