APT木马网络行为特征自动化分析技术与应用
发布时间:2021-10-02 03:04
近几年来,网络攻击随着互联网技术的广泛应用而层出不穷,特别是APT攻击,更加成为了对国家安全、社会稳定、经济发展的重要威胁。而APT攻击离不开木马软件的应用,因此,分析APT木马网络行为特征,从而识别攻击行为有着至关重要的作用。本文对APT木马网络行为特征提取技术进行研究,提出一种木马网络协议逆向方法,通过该方法实现对于木马网络行为特征的自动化提取。该网络协议逆向方法的理论依据主要为同一网络协议的网络通信数据的自身内部约束所产生的统计规律。首先通过部署沙盒环境,包括木马运行环境以及网络环境,以此捕获木马受控端通信数据。在对通信数据经过Token序列化预处理后,再对预处理的Token序列应用序列比对以及聚类算法进行进一步的分析,并在聚类过程中不断调整Token的划分。从而使Token的划分不断逼近真实的协议格式,最终得到逆向后的网络协议格式。通过对逆向后的协议格式进行分析,从中提取网络特征。该自动化分析方法由于通过沙盒上下文信息支持一定的语义分析,能够动态对变长数据域的协议格式进行动态调整。实验表明,本文所述的APT木马网络行为自动化分析原型系统对于文本型网络协议的木马、二进制型网络协议...
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
主动连接型Fig.2-1Activeconnection
图 2-2 被动连接型Fig.2-2 Passive connection捕获的捕获,需要满足几个条件:马受控端运行环境;部虚拟网络环境;与流量捕获;条件所需技术与原理进行介绍。境的可靠性是指:在提供木马受控能让样本真正获取系统的访问权限沙盒技术的支持。门应用于恶意软件分析的开源沙盒
图 2-3 域名系统结构Fig.2-3 Domain Name System StructureS 服务所提供的最主要功能就是 DNS 查询,DNS 查询又可以分查询两种。一般而言,客户端所设置的 DNS 服务器采用的是递权代理完整的域名查询,而其他的 DNS 服务器采用的是迭代bbb.edu 这一个域名地址为例,DNS 查询过程如下:) 客户端向设置的 DNS 服务器发送 aa.bbb.edu 这一个域名地) 如果 DNS 服务器检测 DNS 缓存发现缓存命中,则直接返向根域名服务器发送 aa.bbb.edu 的查询请求,根域名服务器返名服务器地址。) DNS 服务器向.edu 域权威域名服务器发送 aa.bbb.edu u 权威域名服务器返回.bbb.edu 域的权威域名服务器地址。) DNS 服务器向.bbb.edu 权威域名服务器发送 aa.bbb.edu b.edu 权威域名服务器返回 aa.bbb.edu 的地址。
【参考文献】:
期刊论文
[1]网络编码协议污点回溯逆向分析方法研究[J]. 高君丰,张岳峰,罗森林,张笈. 信息网络安全. 2017(01)
[2]基于概率比对的通信协议格式逆向分析方法[J]. 孟凡治,李桐,刘渊,张春瑞. 计算机工程与设计. 2016(09)
[3]基于最大似然概率的协议关键词长度确定方法[J]. 罗建桢,余顺争,蔡君. 通信学报. 2016(06)
[4]基于主动学习和SVM方法的网络协议识别技术[J]. 王一鹏,云晓春,张永铮,李书豪. 通信学报. 2013(10)
[5]基于动态污点分析的恶意代码通信协议逆向分析方法[J]. 刘豫,王明华,苏璞睿,冯登国. 电子学报. 2012(04)
[6]恶意软件网络协议的语法和行为语义分析方法[J]. 应凌云,杨轶,冯登国,苏璞睿. 软件学报. 2011(07)
[7]聚类算法研究[J]. 孙吉贵,刘杰,赵连宇. 软件学报. 2008(01)
硕士论文
[1]基于EDSM的二进制协议状态机逆向[D]. 王军.哈尔滨工业大学 2016
[2]未知协议逆向分析关键技术研究[D]. 王庆亮.北方工业大学 2015
本文编号:3417883
【文章来源】:上海交通大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
主动连接型Fig.2-1Activeconnection
图 2-2 被动连接型Fig.2-2 Passive connection捕获的捕获,需要满足几个条件:马受控端运行环境;部虚拟网络环境;与流量捕获;条件所需技术与原理进行介绍。境的可靠性是指:在提供木马受控能让样本真正获取系统的访问权限沙盒技术的支持。门应用于恶意软件分析的开源沙盒
图 2-3 域名系统结构Fig.2-3 Domain Name System StructureS 服务所提供的最主要功能就是 DNS 查询,DNS 查询又可以分查询两种。一般而言,客户端所设置的 DNS 服务器采用的是递权代理完整的域名查询,而其他的 DNS 服务器采用的是迭代bbb.edu 这一个域名地址为例,DNS 查询过程如下:) 客户端向设置的 DNS 服务器发送 aa.bbb.edu 这一个域名地) 如果 DNS 服务器检测 DNS 缓存发现缓存命中,则直接返向根域名服务器发送 aa.bbb.edu 的查询请求,根域名服务器返名服务器地址。) DNS 服务器向.edu 域权威域名服务器发送 aa.bbb.edu u 权威域名服务器返回.bbb.edu 域的权威域名服务器地址。) DNS 服务器向.bbb.edu 权威域名服务器发送 aa.bbb.edu b.edu 权威域名服务器返回 aa.bbb.edu 的地址。
【参考文献】:
期刊论文
[1]网络编码协议污点回溯逆向分析方法研究[J]. 高君丰,张岳峰,罗森林,张笈. 信息网络安全. 2017(01)
[2]基于概率比对的通信协议格式逆向分析方法[J]. 孟凡治,李桐,刘渊,张春瑞. 计算机工程与设计. 2016(09)
[3]基于最大似然概率的协议关键词长度确定方法[J]. 罗建桢,余顺争,蔡君. 通信学报. 2016(06)
[4]基于主动学习和SVM方法的网络协议识别技术[J]. 王一鹏,云晓春,张永铮,李书豪. 通信学报. 2013(10)
[5]基于动态污点分析的恶意代码通信协议逆向分析方法[J]. 刘豫,王明华,苏璞睿,冯登国. 电子学报. 2012(04)
[6]恶意软件网络协议的语法和行为语义分析方法[J]. 应凌云,杨轶,冯登国,苏璞睿. 软件学报. 2011(07)
[7]聚类算法研究[J]. 孙吉贵,刘杰,赵连宇. 软件学报. 2008(01)
硕士论文
[1]基于EDSM的二进制协议状态机逆向[D]. 王军.哈尔滨工业大学 2016
[2]未知协议逆向分析关键技术研究[D]. 王庆亮.北方工业大学 2015
本文编号:3417883
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3417883.html
