零僵尸网络（互联网机器人）：一种观察、追踪、对抗方法（英文）

网络项目零僵尸网络观察-追踪-反制方法21 年 5 月 20 日的报告 网络项目贝尔弗科学与国际事务中心哈佛肯尼迪学院肯尼迪街79号马萨诸塞州剑桥 02138本报告中表达的陈述和观点仅代表作者本人，并不暗示哈佛大学、哈佛肯尼迪学院、贝尔弗科学与国际事务中心或任何赞助商或赞助机构的认可。Andrew Facini 的设计和布局版权所有 2021，哈佛大学校长和研究员 美国印刷 21 年 5 月 20 日的报告零僵尸网络观察-追踪-反制方法网络项目 作者单位1, 乔纳森·伯奈斯1, 斯蒂芬·巴克利1, 赵健次郎2, 卡里康拉德3, 莱斯利·戴格尔4, 基利·艾哈特1, 维杰·加德帕利1, 巴里格林5, 迈克尔琼斯1, 罗伯特·克纳克6, 布鲁斯·马格斯7,1, 查德·迈纳斯1, 安德鲁·莫里斯8, 亚历克斯·彭特兰1, 桑迪普·皮沙罗迪1, 莎拉·波瓦泽克9, 安德鲁·普劳特1, 菲利普·莱纳9, 铃木浩一10, 高桥健二11, 托尼·陶伯12, 莉亚·沃克9, 道格拉斯·斯泰森11麻省理工学院2日本互联网倡议3银天4全球网络联盟5赤舞6哈佛大学7杜克大学8灰噪声9安全与技术研究所10教育局11NTT12康卡斯特ii零僵尸网络：观察-追踪-反方法 致谢作者希望感谢以下个人的贡献和支持：Bob Bond、Alan Edelman、Jeff Gottschalk、Chris Hill、Charles Leiserson、Mimi McClure、Damian Menscher、Steve Rejto、Daniela Rus、Allan Vanterpool、Marc Zissman 和 MIT SuperCloud 团队：Bill Arcand、Bill Bergeron、David Bestor、Chansup Byun 、迈克尔·霍尔、马修·哈贝尔、安娜·克莱恩、劳伦·米勒钦、朱莉·马伦、安东尼奥·罗莎、阿尔伯特·鲁瑟、查尔斯·伊。免责声明本材料中表达的任何意见、发现、结论或建议均为作者的观点，不一定反映我们的赞助商或机构的观点。贝尔弗科学与国际事务中心 |哈佛肯尼迪学院三 目录贝尔弗科学与国际事务中心|哈佛肯尼迪学校v 1贝尔弗科学与国际事务中心 |哈佛肯尼迪学院一个遵守和执行负责任的国家行为规范的国际社会。基于共享态势感知、联合行动和政府全力支持保护私营部门的公私伙伴关系。在日常竞争中主动观察、追踪和反击对手的行动并施加成本，以破坏和击败正在进行的恶意对手网络活动，威慑未来的活动，并加强有利的国际行为规范。概括对抗性互联网机器人（僵尸网络）对互联网的安全使用和稳定性构成越来越大的威胁。僵尸网络可以在发起对手侦察（扫描和网络钓鱼）、影响操作（投票）和融资操作（勒索软件、市场操纵、拒绝服务、垃圾邮件和广告点击欺诈），同时混淆定制的战术操作。减少压力互联网上僵尸网络的存在，其理想目标是零，是激励政策行动的强大愿景。设定全球目标、鼓励国际合作、为改进网络创造激励措施以及支持实体移除僵尸网络是可以推进这一目标的几项政策。这些政策提出了关于适当权限/访问的重要问题，这些问题无法抽象地回答。系统分析已广泛用于其他领域，以获取足够的细节，使这些问题能够得到具体的处理。分析使用观察-追踪-计数器架构击败僵尸网络，确认技术可行性，并确定权限/访问问题明显缩小。建议的后续步骤包括：支持国际僵尸网络移除社区、扩大网络观测站、大规模增强基础网络科学、进行详细的系统分析以及制定适当的政策框架。 期望的最终状态日光浴室报告 [70]灰色（中性）网络空间物理世界 2零僵尸网络：观察-追踪-反方法坏僵尸网络网络流量示例好的僵尸网络坏僵尸网络介绍僵尸网络是 Internet 上日益严重的祸害。僵尸网络可以在发起对手侦察（扫描和网络钓鱼）、影响操作（投票）和融资操作（勒索软件、市场操纵、拒绝服务、垃圾邮件和广告点击欺诈）方面发挥作用，同时混淆定制的战术操作 [2][ 35]。互联网虽然具有革命性，但仍然不安全，并且互联网上设备数量的增加增加了潜在的攻击面。这种差异有允许对抗活动蓬勃发展。到 2020 年，被动设备占所有受感染移动设备的三分之一，比 2019 年增加了 100% [59]，导致对抗性僵尸网络占某些网站互联网流量的四分之一（图 1）[38]。数字1:坏僵尸网络.高级持久性僵尸网络 (APB) 继续困扰着一些网站。 APB 在随机 IP 地址中循环，通过匿名代理进入，改变他们的身份，并模仿人类行为（改编自 [38]）在一个僵尸网络的存在通常被认为是不可逆转的行业中，外交关系委员会 (CFR) 发布了“零僵尸网络：建立全球努力清理互联网”，倡导对互联网采取积极的零容忍政策。僵尸网络 [35]。描述网络空间作为“旧的美国狂野西部，没有真正的警长，僵尸网络是持枪的不法之徒”，该报告的重点是改变分布——网络安全责任。对于这种责任的重新分配，最关键的是需要确立“各国应对其境内的僵尸网络造成的损害负责的原则” 3贝尔弗科学与国际事务中心 |哈佛肯尼迪学院给别人”。在服务提供商方面，作者敦促“互联网服务提供商应对离开其网络的不良流量相互追究责任”。非营利组织和私营部门正在进行令人钦佩的工作，各种参与者通过收集包含威胁信息的数据、关闭僵尸网络和操作僵尸网络陷坑 [13][14][31][ 33][51][68]。但是，非政府行为者无法自行清除互联网上的僵尸网络。为此，需要国际政府协调。此外，依靠私营公司来监管互联网上的言论自由和访问自由也存在挑战。仅仅呼吁政府在僵尸网络清除中发挥更广泛的作用是不够的。目前，政府没有优先考虑取消或破坏未参与重大欺诈或窃听的僵尸网络。多年来，各国政府一直将网络空间视为一个作战领域，但才刚刚开始以陆地、海洋、海底、空中和太空中的全域方式来解决它。政府不应将海上防御留给私人渔业，也不应将网络空间防御留给私人技术公司。如果政府拥有合适的工具和适当的权限，他们可以为这场斗争提供大量资源。本文试图提出一种可能的方法改进公私讨论以更好地防御网络。政策讨论常常以抽象的技术能力概念为框架。通过提供一个具体的、可行的、概念化的架构，本文为政策辩论提供了显着缩小政策问题的工具。由于某些独特的特征，僵尸网络提供了一个机会来考虑如何在特定威胁的上下文中观察和跟踪 Internet 中的威胁。保护现有域的标准方法依赖于三个支持要素：安全、防御和威慑（见图 2）。本文提出了技术手段来解决私人和公共行为者在僵尸网络方面缺乏网络防御的问题。应用后得出的解决方案 -使用经过良好测试的系统分析方法（一种用于为其他域推导防御系统的方法），是一种基于网络的防御， 4零僵尸网络：观察-追踪-反方法其精确目标是通过观察 - 追踪 - 计数器方法清除僵尸网络。这样的提议并不新颖，已经在其他领域使用过，但是将这种方法应用于僵尸网络需要解决如何观察网络空间的特定问题。网络空间的观察在技术上具有挑战性且资源密集，但对于了解在何处阻止和在何处关闭对手至关重要。这种方法可以扩展到政府和非政府组织，为消除僵尸网络的政策和技术挑战带来合法的技术框架。政策考虑观察追踪计数器方法需要收集和聚合足够的网络流量元数据来识别恶意活动。当破坏可能更容易时，这种方法可以在僵尸网络形成的早期阶段识别它们。它还可以用于通知活动以移除更大、更危险的僵尸网络。然而，观察-追踪-反方法可能会引起对隐私、政府无证监视和其他公民自由问题的担忧。我们的分析是技术性的，并没有直接解决这些问题。我们的分析提供了可行性、成本效益权衡，并缩小了为大规模僵尸网络检测构建此类架构的政策范围。我们的分析并未假设政府在其运作中发挥核心作用。可以开发商业模式，以激励完全私营部门的做法。或者，一个非营利组织可以负责管理这项工作。该方法也不假设完全监控所有僵尸网络流量。通过一系列合作并征得用户同意的天文台，可能会获得足够的视图。 5贝尔弗科学与国际事务中心 |哈佛肯尼迪学院僵尸网络移除僵尸网络有多种形式。僵尸网络（“机器人网络”的缩写）是受恶意软件感染的计算机网络，这些计算机在实体（称为“僵尸牧羊人”）的控制下。僵尸网络的一个显着特征是规模，它可能包含数百万个节点。僵尸网络因其规模庞大，可以放大其他恶意攻击。对数百万受感染节点的集中控制允许僵尸网络以独特的方式使用，包括所谓的分布式拒绝服务攻击，即僵尸网络中的所有机器淹没主机或网络区域，目的是中断服务.作为僵尸网络一部分的机器有时被称为“机器人”。术语“机器人”可能含糊不清，用于描述任何无需人类直接监督即可运行的程序。 “聊天机器人”尝试使用人工智能技术与人类进行对话。一些此类机器人可能会做一些操纵性的事情，例如加入 Facebook 和 Twitter 等应用程序的“社交机器人”，目的是影响、投票等。我们的重点是僵尸网络而不是机器人。僵尸网络的本质是分布式计算基础设施。对抗性僵尸网络的表现可能包括发送不受欢迎的通信和利用未经同意的计算系统。对抗性僵尸网络组件的架构通常包括：打扰者（僵尸网络牧羊人）：控制僵尸网络的实体。机器人CC（僵尸网络命令和控制）：从干扰者那里接收方向并协调更大僵尸网络的系统。僵尸网络客户端：通常是未经同意的计算系统已被僵尸网络恶意软件感染，以便从 botCC 接收指令以实现骚扰者的目标和/或传播到其他系统。 6零僵尸网络：观察-追踪-反方法受害者：从僵尸网络客户端接收不需要的通信的计算系统。僵尸网络创建可在 Internet 中检测到的独特流量模式。僵尸网络需要复杂的命令和控制机制。当构成僵尸网络的机器被颠覆并变成客户端时，这些机器必须报告，然后必须等待指令。许多攻击（与攻击的形式无关）具有独特的流量模式。大型僵尸网络能够造成重大破坏。僵尸网络客户端级别的缓解措施是多方面的，包括持续软件更新、使用两因素身份验证以及更改出厂设置的设备密码。消灭僵尸网络通常是网络防御者的最终目标，并将在实现零僵尸网络的理想目标的道路上发挥重要作用。 “僵尸网络移除”社区由许多共同努力禁用僵尸网络的实体组成。有许多僵尸网络删除场景，但这个长达数月至数年的过程通常包括以下步骤 [16][50]受害者身份识别：对各种网络工件的分析揭示了僵尸网络所受害的系统。客户身份：对各种网络工件的分析揭示了僵尸网络客户端并导致僵尸网络恶意软件在客户端上运行。恶意软件分析：结合网络流量工件对恶意软件的操作的探索揭示了僵尸网络如何传播并与 botCC 通信。客户端修补：修复客户端软件并向网络安全系统添加适当的签名来修复已识别的僵尸网络客户端。BotCC 天坑：夺取 botCC 域名可以防止干扰者控制僵尸网络客户端。 7贝尔弗科学与国际事务中心 |哈佛肯尼迪学院威慑 - 存在不可接受的反击的可信威胁防御 - 为击败威胁而采取的行动威胁要破坏网络空间安全安全 - 在受保护的网络空间内采取的措施，以防止未经授权的访问、利用或损害对手网络空间威慑防御受保护的网络空间安全目的地僵尸网络移除在保护互联网方面发挥着关键作用，并且涉及移除阶段的许多并行组件，包括使用法院。这些可能很慢，但在许多情况下似乎很有效。加快清除僵尸网络的速度并缩短其时间是实现理想的零僵尸网络目标的重要一步。一种对僵尸网络和僵尸网络删除的高级评估表明存在许多加速机会。最值得注意的是，现有的网络观察站和前哨站表明，从适当的有利位置可以很容易地观察到骚扰者、botCC、僵尸网络客户端和受害者之间的通信。僵尸网络通信的早期检测允许在僵尸网络较小且在它们造成重大损害之前采取缓解措施。因此，零僵尸网络的理想目标自然适用于观察-追踪-计数器方法，这是在广泛的成熟领域（陆地、海洋、海底、空中和太空）中使用的有效防御的标志[22] .MITRE ATT&CK 矩阵初始访问... C&C Exfil 影响网络安全响应网络安全响应网络事件激活遵循网络程序的网络单位损害评估损害控制修理数字2:安全、防御、威慑.使用标准领域术语的网络空间安全、防御和威慑的源-目标流量矩阵视图 [27]。网络安全的特点是 ATT&CK（对抗策略、技术和常识）范式 [53]。系统分