基于网络流量行为分析的僵尸网络检测和追踪方法研究
发布时间:2020-07-10 11:06
【摘要】:僵尸网络对于网络安全变得越来越具有威胁性,其平台性可使黑客进行分布式拒绝服务(DDoS:Distributed Denialof Service)攻击、获取虚拟货币、发送垃圾邮件等多种恶意活动,每年给全球造成的直接经济损失达数十亿美元。另外,随着各种物联网设备接入互联网,网络环境越来越复杂,这无疑使僵尸网络检测和追踪的难度越来越大。僵尸网络的检测方面,由于其通常有潜伏期,期间宿主机的行为表现与正常主机一般无二,要在其实施恶意行为之前提前检测就显得比较困难。目前僵尸网络的检测方法为将网络流量分析方法和主机行为分析方法相结合。前者分析主机间通信产生的流量,后者检测主机是否具有可疑行为。网络流量分析从网络流量中进行特征提取以用多维向量来表示主机间的交互模式。其包含两类方法,一类利用机器学习的分类方法在己知的僵尸网络样本中训练分类器,根据分类器来判断当前网络环境中是否存在己知僵尸网络。另一类利用机器学习的聚类算法对网络环境中所有的主机交互模式进行聚类分析,根据聚类结果来分析可疑的主机群。聚类算法的不确定性导致这种方法通常具有较高的误报率。针对这个问题,本文将图论中的异常点检测方法引入到僵尸网络的检测领域,提出将图的异常点检测方法与主机间交互模式相似性分析方法相结合的僵尸网络检测方法,可有效解决的误报率过高的问题。实验证明,本方法对多种协议(HTTP、TELNET)的集中式僵尸网络检测率达98%且误报率低于1%。僵尸网络的追踪方面,在未使用匿名网络的前提下,为了隐藏真实的CC(Command and Control)服务器地址以躲避追踪,黑客会在服务器之前设置多个跳板。分析bot可以追踪到最外层的跳板,但无法依次向上溯源。基于网络流水印的僵尸网络追踪方法可以有效解决这一问题,其通常在bot发往服务器的数据包上添加水印,再在网络上检测添加的水印。目前在网络流水印领域己有多种通过调整网络层数据包的水印追踪方法,其主要难题是降低黑客在跳板处对数据流的加密、添加chaff包、分割流、重组数据包等情况对水印检测的干扰。僵尸网络的“心跳”数据包数量少导致这类方法不适用。另外,目前学术界对HTTP协议僵尸网络追踪方法的研究工作很少,其焦点主要在针对基于IRC协议僵尸网络的追踪方法上。其主要原因是IRC僵尸网络中黑客与bot之间只能直接通信,研究IRC协议僵尸网络的追踪技术可直接追踪到黑客IP地址。为了填补HTTP协议僵尸网络追踪研究领域的空白,本文为追踪HTTP协议僵尸网络真实CC服务器地址,提出了在应用层添加冗余参数的动态水印追踪方法,其可以有效规避数据包的流分割、包重组等现象。实验表明,本方法追踪真实CC服务器地址的成功率在85%以上。
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
IoT设备)的集合。这些设备也称肉鸡或者bot。恶意者通过发送一些内置在恶意逡逑程序中的命令可使这些设备来在设备所属者不知情的情况下执行一些计算机指令逡逑以达到恶意目的【38]。在不考虑僵尸网络结构的情况下,其定义如图2-1所示。逡逑厂 ̄僵尸网络逡逑b\0?逡逑 ̄肉鸡/bot邋(可联网的设备)逡逑图2_1僵尸网络逡逑Figure邋2-1邋The邋botnet逡逑7逡逑
僵尸程序的生命周期按照时间先后顺序,一般包含传播、感染、潜伏、实施恶逡逑意行为、消亡等阶段。需要说明的是僵尸主机的潜伏和实施恶意行为阶段会一直的逡逑循环直到达到消亡的条件。其生命周期的图示见图2-3。逡逑传播阶段:此阶段指僵尸网络通过多种方式在互联网上传播的阶段。一般僵尸逡逑网络传播的方式分为被动传播和主动传播。被动传播的方式包含黑客向用户发送逡逑带有恶意程序附件的电子邮件、诱导欺骗用户点击恶意的链接、网页挂马、在正常逡逑的程序中捆绑恶意程序、利用社会工程学原理进行的诱导行为等。主动传播方式的逡逑传播包含系统bug导致的漏洞利用、系统弱密码导致的恶意程序直接爆破式的登逡逑录并植入等。逡逑感染阶段:恶意程序在感染主机后,通常首先探测此系统的基本信息,然后根逡逑据探测到的信息采取不同的动作。如侦测到系统含有反病毒软件,便下载规避模块。逡逑下载其它必要的模块(如攻击模块)、设置自身开机启动或者防止宿主机关机。此逡逑阶段经历的时间通常十分短暂,之后僵尸程序便进入到潜伏阶段。逡逑潜伏阶段:此阶段中恶意程序为不被用户发现,一直在后台运行,但不执行任逡逑何导致宿主机异常的行为。但是会定期或者不定期的向C&C服务器发送宿主机的逡逑信息。这样做通常有两个目的,一是向C&C报告宿主机的基本信息。二是告知服逡逑务器自己的存活状态。逡逑实施恶意行为阶段:这个阶段bot将根据黑客发送的指令实施对应的恶意行逡逑为。如尝试至指定系统文件夹下偷取主机上的隐私信息,利用邮件地址生成模块随逡逑机生成邮件地址发送垃圾邮件、向目标发动DDoS攻击、启动挖矿模块开始挖矿逡逑(计算)。逡逑消亡阶段:这个阶段内宿主机由于某些环境改变破坏
们可以运行大量的成品(容器),每个容器可看作一个虚拟机,在虚拟机里运行僵逡逑尸网络的客户端就可达到模拟的目的。Docker程序利用DockerFile来制作镜像。逡逑图2-5为其用到的DockerFile。逡逑FROM邋ubuntu:16.04逡逑RUN邋apt-get邋upadate逡逑RUN邋apt-get邋install邋python逡逑RUN邋mkdir邋/tjnp/ares逡逑ADD邋Ares/python邋/tmp/ares逡逑WORKDIR邋/tmp/ares逡逑图2-5僵尸网络Ares的DockerFile逡逑Figure邋2-5邋The邋Dockerfile邋of邋botnet邋named邋Ares逡逑此DockerFile的目的是将Ares的客户端代码放入镜像中。接着需要运行生成逡逑镜像的命令:“docker邋build-tares-fDockerFile.’’。其中“-t”指定生成的镜像名为逡逑“ares”邋,“-f’指定DockerFile的位置。为了使模拟的宿主机拥有相同的IP网段,接逡逑下来需要利用Docker来新建一个虚拟网关职/e”,命令为“docker邋network邋create逡逑-d邋bridge邋—gateway=l72.19.19.1邋aresgate”,从命令中看出该网关的广播地址为逡逑172.19.19.255,网关为172.19.19.1,接下来每个新接入到此网关的容器IP地址会逡逑依次往后分配,如172.19.19.2。逡逑然后
本文编号:2748835
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
IoT设备)的集合。这些设备也称肉鸡或者bot。恶意者通过发送一些内置在恶意逡逑程序中的命令可使这些设备来在设备所属者不知情的情况下执行一些计算机指令逡逑以达到恶意目的【38]。在不考虑僵尸网络结构的情况下,其定义如图2-1所示。逡逑厂 ̄僵尸网络逡逑b\0?逡逑 ̄肉鸡/bot邋(可联网的设备)逡逑图2_1僵尸网络逡逑Figure邋2-1邋The邋botnet逡逑7逡逑
僵尸程序的生命周期按照时间先后顺序,一般包含传播、感染、潜伏、实施恶逡逑意行为、消亡等阶段。需要说明的是僵尸主机的潜伏和实施恶意行为阶段会一直的逡逑循环直到达到消亡的条件。其生命周期的图示见图2-3。逡逑传播阶段:此阶段指僵尸网络通过多种方式在互联网上传播的阶段。一般僵尸逡逑网络传播的方式分为被动传播和主动传播。被动传播的方式包含黑客向用户发送逡逑带有恶意程序附件的电子邮件、诱导欺骗用户点击恶意的链接、网页挂马、在正常逡逑的程序中捆绑恶意程序、利用社会工程学原理进行的诱导行为等。主动传播方式的逡逑传播包含系统bug导致的漏洞利用、系统弱密码导致的恶意程序直接爆破式的登逡逑录并植入等。逡逑感染阶段:恶意程序在感染主机后,通常首先探测此系统的基本信息,然后根逡逑据探测到的信息采取不同的动作。如侦测到系统含有反病毒软件,便下载规避模块。逡逑下载其它必要的模块(如攻击模块)、设置自身开机启动或者防止宿主机关机。此逡逑阶段经历的时间通常十分短暂,之后僵尸程序便进入到潜伏阶段。逡逑潜伏阶段:此阶段中恶意程序为不被用户发现,一直在后台运行,但不执行任逡逑何导致宿主机异常的行为。但是会定期或者不定期的向C&C服务器发送宿主机的逡逑信息。这样做通常有两个目的,一是向C&C报告宿主机的基本信息。二是告知服逡逑务器自己的存活状态。逡逑实施恶意行为阶段:这个阶段bot将根据黑客发送的指令实施对应的恶意行逡逑为。如尝试至指定系统文件夹下偷取主机上的隐私信息,利用邮件地址生成模块随逡逑机生成邮件地址发送垃圾邮件、向目标发动DDoS攻击、启动挖矿模块开始挖矿逡逑(计算)。逡逑消亡阶段:这个阶段内宿主机由于某些环境改变破坏
们可以运行大量的成品(容器),每个容器可看作一个虚拟机,在虚拟机里运行僵逡逑尸网络的客户端就可达到模拟的目的。Docker程序利用DockerFile来制作镜像。逡逑图2-5为其用到的DockerFile。逡逑FROM邋ubuntu:16.04逡逑RUN邋apt-get邋upadate逡逑RUN邋apt-get邋install邋python逡逑RUN邋mkdir邋/tjnp/ares逡逑ADD邋Ares/python邋/tmp/ares逡逑WORKDIR邋/tmp/ares逡逑图2-5僵尸网络Ares的DockerFile逡逑Figure邋2-5邋The邋Dockerfile邋of邋botnet邋named邋Ares逡逑此DockerFile的目的是将Ares的客户端代码放入镜像中。接着需要运行生成逡逑镜像的命令:“docker邋build-tares-fDockerFile.’’。其中“-t”指定生成的镜像名为逡逑“ares”邋,“-f’指定DockerFile的位置。为了使模拟的宿主机拥有相同的IP网段,接逡逑下来需要利用Docker来新建一个虚拟网关职/e”,命令为“docker邋network邋create逡逑-d邋bridge邋—gateway=l72.19.19.1邋aresgate”,从命令中看出该网关的广播地址为逡逑172.19.19.255,网关为172.19.19.1,接下来每个新接入到此网关的容器IP地址会逡逑依次往后分配,如172.19.19.2。逡逑然后
【参考文献】
相关期刊论文 前3条
1 郭晓军;程光;朱琛刚;TRUONG Dinh-Tu;周爱平;;主动网络流水印技术研究进展[J];通信学报;2014年07期
2 张连成;王振兴;刘慧生;;网络流水印技术研究进展[J];计算机科学;2011年11期
3 赵佐;蔡皖东;田广利;;基于异常行为监控的僵尸网络发现技术研究[J];信息安全与通信保密;2007年09期
本文编号:2748835
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2748835.html
