一部分僵尸网络一般来说是用分布式拒绝服务（DDoS）反击让垃圾数据水淹服务器。还有一部分僵尸网络通过盗取密码或挖出加密货币来射击特定设备。

尤其是加密货币挖出对于最近工业物联网领域的企业来说早已沦为一个急遽快速增长的威胁，Coinhive和CryptoLoot等僵尸网络使网络犯罪分子每年需要以壮烈牺牲受害者的计算能力为代价赚多达1亿美元。Smominru是仅次于的加密货币挖出僵尸网络之一，利用从NSA外泄的臭名昭著的EternalBlue漏洞病毒感染了多达50万台机器。为了避免僵尸网络病毒感染，存留有IoT设备的企业必需需要检测它们。

但僵尸网络检测并不更容易。下面咱们来探究一下IoT僵尸网络检测所面对的一些技术升级和挑战。

僵尸网络检测方法那么，什么是僵尸网络？简而言之，它是一组僵尸程序－损毁的计算机和设备－继续执行僵尸网络所有者获取的命令。一般来说，僵尸网络所有者将专门用于命令和掌控服务器（C2），这是一个损毁的服务器，用作与机器人通信，一般来说通过InternetRelayChat命令。僵尸网络所有者用于C2服务器命令僵尸网络继续执行反击，无论是DDoS反击，数据盗取，身份偷窃还是其他类型的反击。

意外的是，寻找C2一般来说不是一项非常简单的任务。许多僵尸网络命令来自多个服务器或使用隐蔽的形式，将蓄意命令屏蔽为有害的活动，例如Tor网络流量，社交媒体流量，对等服务之间的流量或域分解算法。更加简单的是，命令一般来说十分错综复杂，使得无法检测到任何出现异常。

尝试检测C2的一种方法是分解成和分析恶意软件代码。IoT安全性人员可以尝试通过OD脚本类似于的反汇编工具提供已编译器的代码，有时可以借此辨识僵尸网络命令的根源。但是，由于僵尸网络创建者和管理员更加多地用于构建加密，因此这种技术的效果更加劣。一般来说，C2检测必须理解C2服务器与其机器人之间的通信，但只有专门维护C2服务器的安全性解决方案才具备这种可见性。

检测僵尸网络的一种更加少见的方法是追踪和分析攻击本身－标准安全性解决方案获取可见性－并确认哪些反击来自僵尸网络。在查阅漏洞利用尝试时，僵尸网络有一些有可能的迹象。

例如，如果完全相同的IP地址反击完全相同的站点，同时用于完全相同的有效载荷和反击模式，那么它们很有可能是僵尸网络的一部分。如果牵涉到许多IP和站点，则特别是在如此。一个引人注目的例子是僵尸网络在Web服务上的DDoS尝试。

误报误报的可能性使得僵尸网络检测尤其艰难。一些有效载荷被普遍用于，减少了随机再次发生的模式启动时误报的可能性。此外，攻击者可以通过用于虚拟世界专用网络或代理来变更其IP地址，使其看上去像确实只有一个攻击者或机器人。

黑客工具和漏洞扫瞄程序的不道德也类似于僵尸网络，一般来说不会回到误报。这是因为黑客工具产生完全相同的有效载荷和反击模式，并且许多黑客用于它们，无论其帽子的颜色如何。而且，如果有所不同的玩家恰巧同时在同一网站上展开渗入测试，它有可能看上去像僵尸网络攻击。IoT安全性人员一般来说可以通过Google搜寻有效地阻抗并参照其周围的任何记录信息来辨识误报。

另一种技术牵涉到非常简单地搜集安全性解决方案中完整催促中能用的任何信息。例如，如果要更佳的利用漏洞扫瞄程序，大多数安全性解决方案都会通过辨识它来说明了它，尤其是如果它是更加少见的漏洞扫瞄程序之一。

鉴于潜在的大量事件，误报是僵尸网络检测中不可避免的挑战；最近的研究指出，27％的IT专业人员每天接到多达100万次安全性警报，而55％的人接到多达10，000次。但是，通过准确的技术和刻苦，的组织可以辨识来自蓄意的，僵尸网络驱动的流量的有害流量。

本文来源：博鱼(boyu·中国)官方网站-www.705jk.com