YD_T 2851-2015集中式僵尸网络检测与响应框架.pdf

ICS 33.060M 16YD中华人民共和国通信行业标准YD/T2851-2015集中式僵户网络检测与响应框架Acentralizedframeworkforbotnetdetectionandresponse2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2851-2015安全设备能够提供安全策略设置功能，同时，要求能提供阻断攻击流量的能力。。要求运营商网络中增加对反垃圾邮件系统的签名并阻止垃圾邮件，叠户网络发送的垃极邮件的签名由运营商管控中心接收。。运营商网络提供安全设备DDoS流量阻斯策略设置功能和未检测到的DDoS攻击行为阻断功能。其中，阳断策略的设置由运营商管控中心系统完成。6.3.2运营商网络间交换区保护运营商网络间交换区保护包括：●运营商网络间交换部分的安全设备或者路由器具备DDoS流量阻断策略设置功能，并且具备能阻断目标服务器在其他运营商网络的DDoS流量的能力。。运营商网络能从集中式组织中接收到日标服务器在网内的DDoS流量阻断策略，并且在交换部分的安全设各或者路由器上使用这些策略。●运营商网络能提供流量阻断设置功能，能阻断从其他运营商网络发送到偿户网络CC服务器的流量，并且具备连接流量阻断功能。6.3.3运营商网络内交换部分保护运营商网络内的交换部分保护包括：·运营商网络内的城域网之间交换部分的安全设备或者路由器具备DDoS流量阻断策略设置功能，并且具备能阻断目标服务器在其他域的DDoS流量的能力。·运营商网络内的每个城域网能从运营商管控中心中接收到日标服务器在网内的DDoS流量阻断策略，并且在不同城域网之间交换部分的安全设备或者路由器上使用这些策略。。运营商网络内的城域网能提供流量阻断设置功能，能阻断从其他城域网发送到僵户网络CC服务器的流量，并且具备连接流量阻断功能。6.3.4共享运营商网络间僵户网络攻击和事件行为信息和响应策略要求运营商管控中心收集来自运营商网络的僵户网信息、事件行为信息和响应策略，并且能把这些信息和策略共享给其他运营商网络。7侵户网络检测和响应的典型实现模式7.1计算机累急事故响应小组中心（CIRT-centric）模式CIRT始终保持着必威体育精装版的安全威胁响应信息。CIRT可以与有关机构共享信息，以便对僵户网络进行快速检测和响应。共享的信息包含如下内容：。有关受害者攻击报告的智能系统：·已知户网络的CC服务器和僵户信息；。网络域的黑名单和白名单，以判断IP地址是否可疑：。维护户网络信息并在多个不同的CIRT间共享信息。CIRT可以按以下方式响应僵户网络：●将低户网络信息报告给管理CC和僵户IP地址的ISP；。断开僵户网络CC节点和他人的链接，并向政府机关申请对真正的CC主机进行调查：。阻止用户访间悉意网络域。7.2特定威胁（Threat-specific）模式7 YD/T户网络的主要威胁是DDoS攻击、垃圾邮件和窃取用户信息，这些威胁也能够由常见的恶意代码发动，但是如果由户网络发动规模要大的多。因此，这些特定的威胁需要在类似CIRT的集中组织做出响应之前，在像ISP这样的网络服务提供商网络中进行应急响应。这些威励通过在同一时间使用大量僵户主机向目标电脑发送网络流量或者垃圾邮件的方式，使目标主机的资源耗尽而不能提供既定服务，同时还会窃取侵户主机用户的私有信息。如果没有户网络检测措施，这在攻击发动前是很难被检测的，所以需要应急响应模式。具体如下：。搜集受害用户攻击报告的智能系绕：●攻击发生前假户网络及其行为的实施监控：。攻击发生后攻击源的分析：●攻击发生后与相应ISP分享攻击源信息；。攻击发生后隔离来自叠尸主机和CC服务的意流量：。向集中组织报告并和其他ISP共享包括攻击情况在内的信息。8集中式僵户网络检测和响应框架8.1集中式僵户网络检测框架8.1.1集中式僵户网络检测框架图5和图6所示描述了集中式赁户网络检测的框架。集中式组织负责对所有运营商网络中僵户网络信息的监管、协调和投权，可以向运营商下发任务或者制定特定的检测策略。同时，不同国家的集中式组织之闻能够收集和共享各自的户网络信息运营商管控中心在一个运营商网络中，它具备从各个城域网收集和共享户网络信息的功能。同时，运营商管控中心可以分析僵尸的连接流和发布检测策略，比如CC的URL/IP，流量签名等，它既能与其他运营商管控中心共享赁户网络构成和行为信息，也可以通过集中式组织的授权，与其他国家的某一运营商管控中心共享僵户网络构成和行为信息。集中式组织经营A运营商B运营商管控中心运营商管控中心城城网-1裁城用-2拨域网-3裁域用4监控监控监垫监控检据动能1检测动能1检制动能1检测功能！检测动能2检测动能2检测动能2检测功能2检别动能3检测动能3检动能3检测功能3图5集中