面向溯源取证的网络攻击工具痕迹分析技术与实现

发布时间：2020-08-10 10:20

【摘要】：随着互联网的飞速发展,网络技术在社会的经济、教育、文化、科技等的各个方面应用越来越广泛,让生活变得越来越便利,但同时所带来的威胁也越来越大。其中APT(Advanced Persistent Threats,高级持续性威胁)攻击因其高级、长期、威胁三要素具有极强的隐蔽性和破坏性,使得对APT攻击的溯源成为研究热点。据统计,截至2016年12月,全球有41家安全机构发布近100篇APT攻击溯源研究报告,其中对APT攻击后收集到的网络工具(如EXE、docx和PDF文件)的痕迹进行分析成为溯源的支撑点。但到目前为止,还没有一个统一的模型与方法对APT攻击进行溯源。因此本文通过对攻击后可能收集到的网络攻击工具样本文件中可用来进行溯源的痕迹种类、网络攻击工具静态痕迹提取技术、网络攻击工具动态痕迹提取技术、网络攻击工具痕迹分析技术的研究,提出了动静态结合的面向溯源取证的网络攻击工具痕迹分析模型,旨在为改善这一现状做点努力。本文的主要工作如下:1)通过分析已经公开发布的APT攻击溯源研究报告中的思路与方法,归纳总结出其中的规律为5个W加一个H,分别为Who、Why、When、Where、How、What,表示为最终想知道是什么人以什么原因在什么时间什么地点以什么样的方式干了一件什么事;2)研究攻击者留下来的网络工具,如EXE、docx和PDF文件中可用来进行溯源的痕迹种类、静态痕迹提取技术,并完成了静态痕迹提取工具的开发;3)研究针对EXE可执行文件的动态痕迹提取技术,基于python开源取证框架Volatility,完成了动态痕迹提取工具的开发;4)综合各个模块,完成一套半自动化的针对网络攻击工具痕迹提取与分析系统。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08
【图文】：

0Ｔｌｅｓ邋ｕｐｌｏａｄｅｄ：逡逑１．邋？＊＇□！：邋；：：－邋：．ｊ邋／逦：邋：：ｘｍｃｉ邋ｂｏｍｂ邋ｖ／ｔｈ邋ｇ邋ｇｏｏｄ邋，１８Ｋ３，ｄ0ｙ／ｎ邋ｏｃｄｓ邋ｏ逡逑图１－２邋ＡＰＴ１样本溯源之特殊字符串逡逑在众多ＡＰＴ研究报告中，ＦｉｒｅＥｙｅ在２０１３年发布白皮书《Ｄｉｇｉｔａｌ邋Ｂｒｅａｄ邋Ｃｒｕｍｂｓ：逡逑Ｓｅｖｅｎ邋Ｃｌｕｅｓ邋Ｔｏ邋Ｉｄｅｎｔｉｆｙｉｎｇ邋Ｗｈｏ‘ｓ邋Ｂｅｈｉｎｄ邋Ａｄｖａｎｃｅｄ邋Ｃｙｂｅｒ邋Ａｔｔａｃｋｓ》［４］，归纳邋／邋可逡逑以在ＡＰＴ攻击中用来溯源的线索信息

ｗｉｎＡｐｐｌｉｃａｔｉｏｎ２００９－８－７＼ｍｙｗｏｒｋ＼ａａａａａａａ＼Ｒｅｌｅａｓｅ＼逡逑ａａａａａａａ．ｐｄｂ逡逑图１－１邋ＡＰＴ１样本溯源之调试路径逡逑另外Ｍａｎｄｉａｎｔ对ＡＰＴ１使用工具的早期版本分析中，发现了邋“Ｗｒｉｔｅｄｂｙ逡逑ＵｇｌｙＧｏｒｉｌｌａ”特征字符串，综合社交网络的分析结果后，溯源到ＡＰＴ１的可能参逡逑与人员“ＷａｎｇＤｏｎｇ”（汪东）。逡逑Ａｂｏｕｔ邋汪东丨逦．：［－逦－逦＇逦）卜－：：逦】逡逑0Ｔｌｅｓ邋ｕｐｌｏａｄｅｄ：逡逑１．邋？＊＇□！：邋；：：－邋：．ｊ邋／逦：邋：：ｘｍｃｉ邋ｂｏｍｂ邋ｖ／ｔｈ邋ｇ邋ｇｏｏｄ邋，１８Ｋ３，ｄ0ｙ／ｎ邋ｏｃｄｓ邋ｏ逡逑图１－２邋ＡＰＴ１样本溯源之特殊字符串逡逑在众多ＡＰＴ研究报告中，ＦｉｒｅＥｙｅ在２０１３年发布白皮书《Ｄｉｇｉｔａｌ邋Ｂｒｅａｄ邋Ｃｒｕｍｂｓ：逡逑Ｓｅｖｅｎ邋Ｃｌｕｅｓ邋Ｔｏ邋Ｉｄｅｎｔｉｆｙｉｎｇ邋Ｗｈｏ‘ｓ邋Ｂｅｈｉｎｄ邋Ａｄｖａｎｃｅｄ邋Ｃｙｂｅｒ邋Ａｔｔａｃｋｓ》［４］，归纳邋／邋可逡逑以在ＡＰＴ攻击中用来溯源的线索信息，包括：逡逑ａ）

第二章关键性技术研究逡逑提供了一个更简单更友好的查看ＰＥ文件格式的界面，同时可以通过界面直接修逡逑改ＰＥ二进制文件的内容，操作非常简单方便，Ｐｅｌｎｔｅｍａｌｓ运行界面如图２－３所逡逑／Ｊ、—邋0逡逑

【相似文献】

相关期刊论文 前10条

1 ;"万物互联"下猛增的漏洞之痛,解药在哪?[J];中国教育网络;2017年08期

2 龚雷;陈性元;唐慧林;祝宁;;面向安全测试攻击工具库设计[J];微计算机信息;2008年03期

3 水月子;;矛与盾——QQ攻防大战[J];电脑应用文萃;2002年07期

4 李军;;谈网上攻击的几个大趋势[J];计算机安全;2002年09期

5 ;Web安全问答(2)[J];通信技术;2012年11期

6 ;威胁[J];保密科学技术;2017年07期

7 卞莹 ,张玉清 ,郎良 ,冯登国;主动防御攻击工具库设计[J];计算机工程与应用;2003年33期

8 网络飞剑客;;网络攻击的四大新趋势[J];电脑采购周刊;2002年26期

9 ;网络攻击技术与攻击工具六大趋势[J];计算机与网络;2008年06期

10 ;安全新闻[J];微电脑世界;2011年05期

相关会议论文 前7条

1 郑康锋;胡正名;杨义先;王秀娟;;网络攻击工具的融合性设计技术[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

2 王勇;张璇;;基于多属性分类方法的网络攻击工具研究[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

3 陈秋绚;郑康锋;张冬梅;;一种基于攻击流程的报警分析方法[A];第十七届全国青年通信学术年会论文集[C];2012年

4 王永强;;网络入侵检测系统测试的技术体系研究[A];第二十次全国计算机安全学术交流会论文集[C];2005年

5 魏瑾;佐斌;;暴力网络游戏与青少年攻击——基于内隐的生命态度与攻击线索的研究[A];“改革开放与心理学”学术研讨会——湖北省暨武汉心理学会2008年学术年会论文集[C];2008年

6 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第十九次全国计算机安全学术交流会论文集[C];2004年

7 罗凌;王成良;;分布式拒绝服务攻击的检测与防御措施研究[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

相关重要报纸文章 前10条

1 本报记者 陈宝亮;全球互联网遭勒索 企业安全意识薄弱[N];21世纪经济报道;2017年

2 张建军;全球网络安全治理面临新变化[N];科学导报;2017年

3 8680部队 徐叁玖;网络无界安全有疆[N];人民武警报;2017年

4 《网络世界》记者 林洪技;安全风险进入新时代[N];网络世界;2012年

5 李 冰;网络攻击的六大趋势[N];网络世界;2002年

6 应向荣;主动防御系统的重要性[N];中国计算机报;2003年

7 肖扬;网络犯罪趋于专业化[N];金融时报;2007年

8 胡英;静悄悄的攻击知多少[N];计算机世界;2007年

9 中电信息技术研究院 耿贵宁;自主可控是信息化发展重中之重[N];中国电子报;2012年

10 IDG电讯;黑手伸向Linux[N];计算机世界;2000年

相关硕士学位论文 前10条

1 何尾风;面向溯源取证的网络攻击工具痕迹分析技术与实现[D];北京邮电大学;2018年

2 庄绪强;WLAN攻击技术研究[D];西安电子科技大学;2011年

3 康效龙;网络攻击与攻击性检测技术研究[D];西安电子科技大学;2005年

4 张朔;仿真环境下安全性检测评估系统[D];四川大学;2005年

5 龚雷;基于扩展NASL脚本的攻击工具集成技术研究[D];解放军信息工程大学;2007年

6 陈巍巍;关于Padding Oracle攻击的研究[D];合肥工业大学;2012年

7 陈秋绚;基于支持向量机的混合入侵报警分析研究[D];北京邮电大学;2013年

8 羊洁;仿真环境下安全性检测评估系统[D];四川大学;2005年

9 张彬彬;无线局域网攻击技术研究[D];华中科技大学;2006年

10 褚书涵;流媒体服务攻击防御方案的设计[D];复旦大学;2011年

本文编号：2787954