基于蜜罐技术的Mirai僵尸网络检测技术研究
发布时间:2020-07-10 23:24
【摘要】:随着智能设备和终端的不断发展,物联网技术日趋成熟。由于物联网设备多架设在公网,缺乏有效的保护措施,并且难以升级,其天然的安全隐患造成了物联网僵尸网络的横行。同时,由于僵尸网络的隐蔽性,给安全研究人员的检测和评估带来了较大的困难。本文从Mirai僵尸网络的检测和风险评估等多方面进行了研究。(1)基于蜜罐技术的Mirai僵尸网络节点识别基于流量的僵尸网络识别方法存在数据处理量大、节点通信流量获取困难等问题,难以在未知网络中进行识别。针对这一问题,论文分析Mirai代码,研究Mirai病毒工作机制和原理,设计了Mirai病毒识别特征,结合蜜罐和漏扫技术,提出了Mirai僵尸网络节点识别方法。在此基础上,论文设计并实现了Mirai僵尸网络节点的可视化检测系统。论文在公共网络中对系统进行了验证,共捕获272204次扫描行为,175923次感染行为。(2)基于函数调用图的Mirai病毒文件识别为了提高僵尸网络节点识别的可信度,减少漏检、错检,本文进一步研究Mirai及其变种僵尸网络病毒文件识别方法。无源码条件下的病毒文件识别通常采用特征码/关键字匹配技术,然而由于受混淆和压缩等技术影响,这一方法难以有效识别Mirai及变种病毒。针对这一问题,论文提出了基于函数调用图的相似性的识别方法。首先,论文选取函数调用图作为特征来反映同源程序相似性,利用其对程序语义特性的表现能力来抵抗混淆等语义维持攻击技术的干扰。然后,论文通过邻接矩阵的特征值组合成为图的特征向量来比较其相似性,从而回避了直接比较图相似性的复杂计算开销。最后论文使用有监督机器学习算法学习样本生成分类模型,实现了对Mirai及其变种病毒的识别。仿真分析显示,就受试者工作特征曲线、精确率和召回率等多项指标而言,论文所提算法最终达到0.8239精确率,0.8310准确率,0.8446召回率,且优于基于谱图特征的病毒识别算法。(3)基于节点重要性的Mirai僵尸网络安全风险评估Mirai及其变种是物联网内传播最广泛的僵尸病毒,评估Mirai僵尸网络安全风险对制定网络安全策略具有重要意义。基于隐马尔科夫模型的技术是应用得最广的风险评估方法,但存在不能直接应用于Mirai僵尸网络的问题。此外,该技术也缺乏对节点和网络安全风险关系及影响的评估,尽管在Mirai僵尸网络环境下,该影响难以忽略。针对上述问题,本文提出新的网络风险值计算方法,改进了基本隐马尔科夫模型评估方法。引入了节点重要性的概念,通过节点关联性计算网络中各个节点的节点重要性,通过节点重要性和节点风险值加权的方式计算整个网络的风险,改变了原有风险计算中对所有节点均同等看待的方式。本文使用公开的数据验证了模型,结果显示,论文所提方法对于网络风险变化的敏感度提升,有利于改进物联网环境下的安全事件的应对能力。
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
特征对函数块进行匹配识别恶意文件的方法[15],赵梓旭等人使用对字符串最大逡逑信息熵、字符串最大长度等作为特征检测恶意文件[16]。逡逑基于语法的识别方法主要使用函数调用图之间的相似度对病毒文件进行识逡逑别,其中图的相似度计算方法包括基于图编辑距离的相似度算法[17],基于谱图特逡逑征的识别算法[18],和基于频繁子图挖掘算法的识别方法[19]等。逡逑恶意文件的识别还包括一些其他方法,王超等人通过系统API调用的偏序逡逑关系作为病毒文件特征对病毒文件进行识别[2()]。GPlag结合数据依赖性来比较恶逡逑意文件相似性,具有更高精度和抗混淆能力的相似性[21]。逡逑以上分析方法对于差异性较大的同源病毒文件识别能力较高,但同时训练和逡逑识别的速度较慢,难以适应于高速的网络环境中。逡逑1.2.3风险评估方法逡逑目前风险评估的主要方法分为定量方法和定性方法,其中定性评估方法可以逡逑采用专家咨询、人员访谈、问卷调查等形式,常用的评估方法包括因素分析法、逡逑逻辑分析法、德尔菲法等[22],定量方法主要包括基于博弈论的评估方法、基于攻逡逑击图的评估方法和基于隐马尔科夫的评估方法,如下图所示。逡逑风险评估技术逡逑
P臼衣缈刂栖翦危褪诘沐义贤迹玻插澹校玻形鞯幕旌鲜浇┦缤仄隋义弦灾行氖轿鞯幕旌鲜浇┦缬欣诮┦衿鞫说亩黾酰乐拱踩义先嗽惫乇掌渲械囊徊糠址衿鞫私诘愕贾陆┦凡豢捎谩6裕校玻惺轿鞯腻义匣旌鲜浇┦缃桓龃笮徒┦绶殖啥喔鲆蔚男⌒徒┦纾欣诮┦义贤缭谀谕械拇ァe义希峰义
本文编号:2749593
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
特征对函数块进行匹配识别恶意文件的方法[15],赵梓旭等人使用对字符串最大逡逑信息熵、字符串最大长度等作为特征检测恶意文件[16]。逡逑基于语法的识别方法主要使用函数调用图之间的相似度对病毒文件进行识逡逑别,其中图的相似度计算方法包括基于图编辑距离的相似度算法[17],基于谱图特逡逑征的识别算法[18],和基于频繁子图挖掘算法的识别方法[19]等。逡逑恶意文件的识别还包括一些其他方法,王超等人通过系统API调用的偏序逡逑关系作为病毒文件特征对病毒文件进行识别[2()]。GPlag结合数据依赖性来比较恶逡逑意文件相似性,具有更高精度和抗混淆能力的相似性[21]。逡逑以上分析方法对于差异性较大的同源病毒文件识别能力较高,但同时训练和逡逑识别的速度较慢,难以适应于高速的网络环境中。逡逑1.2.3风险评估方法逡逑目前风险评估的主要方法分为定量方法和定性方法,其中定性评估方法可以逡逑采用专家咨询、人员访谈、问卷调查等形式,常用的评估方法包括因素分析法、逡逑逻辑分析法、德尔菲法等[22],定量方法主要包括基于博弈论的评估方法、基于攻逡逑击图的评估方法和基于隐马尔科夫的评估方法,如下图所示。逡逑风险评估技术逡逑
P臼衣缈刂栖翦危褪诘沐义贤迹玻插澹校玻形鞯幕旌鲜浇┦缤仄隋义弦灾行氖轿鞯幕旌鲜浇┦缬欣诮┦衿鞫说亩黾酰乐拱踩义先嗽惫乇掌渲械囊徊糠址衿鞫私诘愕贾陆┦凡豢捎谩6裕校玻惺轿鞯腻义匣旌鲜浇┦缃桓龃笮徒┦绶殖啥喔鲆蔚男⌒徒┦纾欣诮┦义贤缭谀谕械拇ァe义希峰义
本文编号:2749593
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2749593.html
