应用层网络隧道检测技术研究

发布时间：2020-10-21 23:26

　　 随着各种新技术(5G,云计算,大数据)的不断发展,网络场景和业务越来越复杂,扩大了可利用的攻击面,导致各种网络威胁层出不穷。常见的木马,僵尸网络,APT,DDoS等威胁都需要建立CC通信,因此可以从网络通信阶段去分析和检测以上网络威胁,从而实时的阻断网络威胁的通信过程,达到网络系统安全防护的目的。为了避免被安全设备识别,网络威胁通常采用应用层网络隧道的形式去构建隐蔽通道,实现CC通信。威胁通过伪装成正常应用层协议,从而绕过安全控制策略,实现通信的目的。因此,可以通过识别应用层隧道来检测各种网络威胁。应用层协议的通信流量大,承载业务复杂,给隧道的检测造成了极大的困难。现有工作中基于特征签名的检测方法的误报率较高,效率也比较低,而且无法分析加密隧道。基于协议异常的检测方法可以在隧道实现原理上去分析和检测隧道。但是随着协议伪装技术的发展,基于协议异常的检测方法识别率越来越低。基于行为统计的检测方法是当前的研究热点,其通过分析网络通信数据的行为来检测隧道。但是该方法存在行为分析困难,建模复杂,实时性差等缺点。随着网络业务的不断丰富,协议越来越复杂,单独一种检测方法很难实现隧道检测的高精确率和低误报率。为了解决现有工作的不足,本文提出了一个结合规则和机器学习的通用应用层隧道检测方案,整个检测方案主要包括两个部分:DGA域名过滤规则和机器学习模型。本文首先基于trigram模型设计了一个DGA域名过滤规则,当通信数据所采用的域名明显不满足过滤规则时,直接进行阻断;当满足过滤规则时再采用机器学习模型对通信数据进行分析。设计DGA过滤规则的目的是识别特征明显的应用层隧道,减少机器学习模型需要处理的数据量,提高了检测的效率和实时性。为了构建一个通用的机器学习模型,本文首先提出了一个针对于应用层隧道检测的通用特征提取框架,该框架综合了之前的研究工作,结合基于特征签名的检测方法,基于协议异常的检测方法和基于行为统计的检测方法,从网络层,传输层和应用层等多个角度综合分析和提取所需要的统计特征和安全特征。并基于该框架,分别对当前最为常见的三种应用层隧道:DNS隧道,HTTP隧道,HTTPS隧道进行分析。实验结果表明本文提出的检测方案可以解决现有工作的不足,是一个通用和高效的应用层隧道检测方案。同时本文对隧道检测中的数据采集问题进行了相关研究,提出了一个基于回归和降维的自适应多维数据采集方法,提高了数据采集的有效性。最后提出了一个基于窗口的启发式规则来降低工程中威胁检测难以处理的高误报率问题。
【学位单位】：西安电子科技大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08;TP18
【部分图文】：

西安电子科技大学硕士学位论文，比如概率分布，熵等。如果明显偏离于正常行一般是具有默认值的保留字段或者是系统产生的隐蔽通道的检测，可以通过对每个数据包的特殊值异常，则可能存在隐蔽信道。而基于隧道构建载数据涉及到加密和隐私泄露问题。特别是应用道更加难以检测。

图2.1网络隐蔽通道基本模型2.1.2 网络隧道网络隧道（Networktunnel）也叫协议隧道，是指将一种协议数据包封装到另外一种数据包的有效载荷中进行传输的技术。隧道是一种常用的网络技术，最初设计的目的是在不兼容或不安全的网络段上传输数据。隧道基本模型如图 2.2 所示，其中 P_A是作为载体的数据包，用于传输 P_B 协议，一般称最外层的数据包为分发包（Deliverypacket）；P_B 是被传输的数据包，一般称内层数据包为载荷包（Payload packet）[32]。该场景下隧道数据包格式如图 2.3 所示。P_B 协议在传输到路由器节点 R_A 时，由于后面的 R_A 到 R_B 之间的网段不允许传输 P_B 协议，只允许传输 P_A 协议。因此在 R_A 节点通过隧道技术将载荷包 P_B 封装到分发包 P_A 的协议载荷部分，然后由分发包 P_A 提供路由信息，将载荷包 P_B 传输到下一个路由器节点 R_B。节点 R_B将分发包 P_A 解封装得到 P_B 数据包，根据 P_B 中的目的地址进行后续处理。

图2.3隧道的数据包格式目的并不是一种恶意的通信方法，其实际PN（VirtualPrivateNetwork，虚拟专用网可用于网络管理和用户远程访问等；2）协输不支持的协议。常用的隧道协议主要位系统互联）参考模型的第二层和第三层。unneling Protocol，点对点隧道协议）和 L2T协议），三层隧道协议主要有 IPSec（Int些隧道协议属于正常隧道，也就是满足安内的隧道。由于隧道技术在安全传输，协被用来构建隐蔽通道以传输秘密数据。恶括以下三种应用场景：内网被入侵主机通信[17, 19, 20]。攻击者利络中的主机进行通信，包括 C&C 通信，
【相似文献】

相关期刊论文 前10条

1 饶鲜;杨绍全;魏青;董春曦;;基于熵的入侵检测特征参数选择[J];系统工程与电子技术;2006年04期

2 龙啸;方勇;黄诚;刘亮;;Webshell研究综述:检测与逃逸之间的博弈[J];网络空间安全;2018年01期

3 沈通;吴志军;张建富;杨建新;曾龙;;数控加工原位检测系统中检测规划关键技术研究[J];制造技术与机床;2018年08期

4 张少擎;;基于MBD的数字化零件检测技术研究[J];航空制造技术;2014年21期

5 王通;郭渊博;祝松帅;严新成;;基于大数据的APT威胁检测方法[J];信息工程大学学报;2017年06期

6 王丹;赵宏伟;戴毅;吴彬;;基于回归的人脸检测加速算法[J];重庆邮电大学学报(自然科学版);2019年04期

7 刘素芳,凌云,曹致刚,程玉香,姜雪波,曾蓉嘉,陈雪莲,贾铭章;全自动酶标分析系统对抗-HCVEIA检测特征性的影响[J];中国输血杂志;2000年01期

8 周颖;胡勇;;基于关联分析的Webshell检测方法研究[J];信息安全研究;2018年03期

9 欧凡;刘冲;;人脸图像灰度分布统计分析与检测特征设计[J];大连理工大学学报;2010年04期

10 申家全;闫怀志;胡昌振;;探地雷达目标检测中的离散余弦变换方法[J];仪器仪表学报;2011年06期

相关博士学位论文 前4条

1 杨婉霞;网络语音流中的隐信道实时检测关键问题研究[D];中国地质大学;2019年

2 张治国;前方道路行人检测和距离估计研究[D];华中科技大学;2017年

3 许舟军;基于异常分析的入侵检测关键技术研究[D];天津大学;2006年

4 滕少华;基于对象监控的分布式协同入侵检测[D];广东工业大学;2008年

相关硕士学位论文 前10条

1 陈土生;基于行为分析的SCADA系统异常检测方法研究[D];广东工业大学;2019年

2 谢文利;交通监控系统中行人检测方法的研究[D];成都理工大学;2019年

3 蔺华庆;应用层网络隧道检测技术研究[D];西安电子科技大学;2019年

4 赵静;遥感图像层次化目标检测方法研究[D];哈尔滨工业大学;2019年

5 毛科栋;基于深度学习的房颤检测[D];浙江工业大学;2019年

6 李承前;基于深度学习的行人检测方法的研究[D];中国石油大学(华东);2017年

7 高苗;基于姿态分析的摔倒检测研究与实现[D];上海师范大学;2019年

8 李昭青;基于视频的行人检测研究[D];山东大学;2019年

9 房有丽;基于知识图谱的虚假评论检测方法研究[D];山东师范大学;2019年

10 吴楚婷;基于用户网络数据指纹的异常行为检测研究[D];北京邮电大学;2019年

本文编号：2850742