|
|
51CTO旗下网站
|
|
开户注册送38体验金端

IP团伙行为分析:大流量与多渠道电子游艺免费申请彩金一体化

绿盟科技根据近两年所搜集的DDoS电子游艺免费申请彩金新用户注册送47元彩金、多个IP团伙并研究了他们的团伙行为,近期推出了《IP团伙行为分析》。

作者:绿盟科技来源:51CTO.com|2019-01-28 13:55

僵尸网络近年来已经成为企业的大敌,近期发现有这样一群僵尸机“捆绑销售”,常年坚持多渠道僵尸网络活动和DDoS电子游艺免费申请彩金,“不抛弃”“不放弃”。

人设:

◆ “C位成员”(仅占电子游艺免费申请彩金者中2%)以一己之力发起了20%的电子游艺免费申请彩金;“核心成员”(仅占电子游艺免费申请彩金者中的20%)发起了80%的电子游艺免费申请彩金;

◆全员酷爱反射电子游艺免费申请彩金,特别是大流量电子游艺免费申请彩金;

我们将这样的团体称为“IP团伙”(IP Chain-Gang)。每个IP团伙由某个或者一组黑客控制者。因此,同一个团伙在不同的电子游艺免费申请彩金中必然会表现出相似的行为。

绿盟科技根据近两年所搜集的DDoS电子游艺免费申请彩金新用户注册送47元彩金、多个IP团伙并研究了他们的团伙行为,近期推出了《IP团伙行为分析》。本文简要介绍报告中的IP团伙的识别手段,分析IP团伙的规模、电子游艺免费申请彩金次数、电子游艺免费申请彩金时长和电子游艺免费申请彩金流量。希望,通过研究团伙的历史行为建立团伙档案,以便更准确地描述其背后一个或多个电子游艺免费申请彩金控制者的行动方式,同时更有效地防御这些团伙未来可能发起的电子游艺免费申请彩金,防患于未然。

http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

1识别IP团伙

为识别IP团伙,我们首先分析了绿盟科技自2017年以来所搜集的DDoS电子游艺免费申请彩金新用户注册送47元彩金,并按步骤进行了下述操作:

a. 确定一次协同电子游艺免费申请彩金中的电子游艺免费申请彩金者并将其划归一组。这里,我们将协同电子游艺免费申请彩金定义为针对同一目标几乎同时发起的电子游艺免费申请彩金。由于这些电子游艺免费申请彩金者协同工作,因此有理由相信他们为同一个电子游艺免费申请彩金控制者控制。

b. 如果上一步中有两个组重叠或其行为非常相似,则将其合并为一个更大的组。重复此合并过程,直到不再存在重叠的组。在此过程中,使用复杂的机器学习算法来确定“相似性”阈值。

c. 清除组中的“偶然电子游艺免费申请彩金者”(仅参与一小部分电子游艺免费申请彩金的电子游艺免费申请彩金者),提取每个电子游艺免费申请彩金组的核心成员,得出我们所称的“IP团伙”。

通过这一步骤,我们确定了80多个活跃的IP团伙。在本研究报告中,我们在算法中选择了相当严格的参数,因此,这些团伙中的所有成员都是实实在在的惯犯。每个惯犯都在我们的研究期间进行了多次电子游艺免费申请彩金。因此,尽管这些团伙成员的数量仅占我们新用户注册送47元彩金集中所有电子游艺免费申请彩金者的2%,但它们发起的电子游艺免费申请彩金约占所有电子游艺免费申请彩金的20%。

应该注意的是,任何团伙的组成都会动态变化。本报告中,我们将研究期间的团伙行为视为静态。在未来的研究中,我们将考虑动态性质。

2 IP团伙统计分析

在确定团伙之后,我们从几个不同的角度研究了各团伙的行为。除非另有说明,本节中提及的数字为同一团伙所有成员的累计计数。

2.1 IP团队规模:千人团体占主导

下图展示了IP团伙规模的分布情况。大多数团伙成员不到1000人,但我们也发现有一个团伙的成员高达26,000多人。

图1 IP团伙规模

IP团伙行为分析:大流量与多渠道电子游艺免费申请彩金一体化

2.2 20/80法则,到哪里都适用

下图展示了各团伙发起的DDoS电子游艺免费申请彩金事件的数量,按事件次数统计。毫不意外,大约20%的团伙发起了80%的电子游艺免费申请彩金。

图2 电子游艺免费申请彩金总次数(按各团伙电子游艺免费申请彩金统计)

http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

电子游艺免费申请彩金事件次数

2.3 团伙最长总电子游艺免费申请彩金时长超过13“年”

下图展示了同一团伙所有成员的总累计电子游艺免费申请彩金时长的分布情况。有些团伙的总电子游艺免费申请彩金时长高达5000多天(>13“年”),但多数团伙不到1000天。

图3 团伙总电子游艺免费申请彩金时长

http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

2.4 更少的团员、更多电子游艺免费申请彩金次数、更大电子游艺免费申请彩金流量

我们一般总感觉,较大的团伙会发动较多电子游艺免费申请彩金时间,且产生的电子游艺免费申请彩金总流量也较大,但事实并非如此。

如下图所示,与更大规模的IP团伙相比,拥有较少成员的团伙可能会发动更多电子游艺免费申请彩金并发出更多电子游艺免费申请彩金流量。这说明,特定团伙中的电子游艺免费申请彩金者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前10个团伙,电子游艺免费申请彩金总流量以不同大小的橙色气泡表示。

图4 团伙规模、电子游艺免费申请彩金次数及电子游艺免费申请彩金总流量对比

IP团伙行为分析:大流量与多渠道电子游艺免费申请彩金一体化

如上图所示,发动电子游艺免费申请彩金次数最多(> 50K)的团伙仅拥有274名成员,超过了所有其他团伙。而最大的气泡(即电子游艺免费申请彩金总流量最大)对应的团伙电子游艺免费申请彩金次数竟然较少(<10K)。

结语

据我们所知,将DDoS电子游艺免费申请彩金作为协同团伙活动进行研究尚属首次。从这一全新角度来研究,可以获得一些独特见解,有助于我们更好地检测、缓解、取证分析甚至预测DDoS电子游艺免费申请彩金。

本报告是IP团伙主题系列中的开篇之作。在后续报告中,绿盟科技计划进一步研究团伙成员构成如何演化与联系,以及如何基于此构建更有效的防御措施。

了解更多,可查看绿盟科技《IP团伙行为分析》报告完整版 http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/

【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

216人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

83人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 武凤涛

468人订阅学习

读 书 +更多

网管员必读—-网络安全

本书共10章,介绍的内容包括恶意软件(包括病毒、木马和蠕虫等)的深度防御方法,黑客的主要类型和防御方法,企业网络内、外部网络防火墙系...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网