结合HTTP关联性和多维特征的恶意软件检测方法研究
发布时间:2021-03-30 19:39
随着通信技术发展、网络规模不断扩大,互联网已经成为人们生活中不可或缺的一部分。与此同时,以恶意软件为载体的网络攻击活动日益猖獗,例如拒绝服务攻击、勒索攻击、窃密攻击等,因此如何快速准确的识别恶意软件是构建安全可靠网络体系的重要一环。目前很多恶意软件采用HTTP协议通信,将自身流量隐藏在大量正常HTTP流量中,不仅增加了自身的隐蔽性,同时也实现了防火墙的穿透。针对于该类恶意软件的检测目前多集中于流量的局部特征,虽然可以识别恶意软件,但是存在较高的误报率和漏报率。针对上述问题,本文分析了用户访问产生的HTTP流量之间的关联关系,对恶意软件网络活动产生的HTTP流量特征进行挖掘,在此基础上,进一步研究现有恶意软件流量检测的相关学术成果,提出了结合HTTP关联性和多维特征的恶意软件检测方法。该方法由两部分组成:构建用户HTTP请求关联图过滤可疑流量和可疑HTTP流量的多维特征检测。重构用户HTTP请求关联图过滤可疑流量方法首先通过HTTP数据包中的多个字段并且结合机器学习算法将用户一段时间内直接或者间接访问产生的HTTP请求流量按照层级关系连接,从而过滤出无关联的可疑流量。大幅缩减系统处理的数...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:82 页
【学位级别】:硕士
【部分图文】:
中心结构僵尸网络在早期,这种C&C结构的僵尸网络通常采用IRC(InternetRelayChat)协议
电子科技大学硕士学位论文8对该类型僵尸网络检测的主要难点所在。Fast-flux是指单域名和多IP地址映射技术,它可以频繁变更域名所绑定的IP地址,该技术隐藏了母体主机,并且与网站CDN技术在流量特征上非常相似,所以检测追踪起来难度很大。Domain-Flux是一种多域名单IP映射技术,其核心是DGA算法,该算法利用日期、社交网络搜索热词、随机数字、字典、硬件编码等信息生成域名,频繁变更的通信域名让僵尸网络变得灵活,难以屏蔽。为了能够彻底克服中心控制C&C单点失效的问题,分布式结构僵尸网络[30]开始出现。分布式结构僵尸网络如图2-2所示,这种C&C结构下的僵尸主机可以同时扮演客户端和服务器的角色,一旦某个节点被识别和封堵,其他节点依然可以作为资源的提供者和传递者,相对于中心结构更加健壮和灵活。图2-2分布式结构僵尸网络目前分布式C&C结构主要通过P2P技术来实现,P2P又称对等网络,各节点处于平等的地位,既可以作为客户端向网络中其他节点请求服务,也可以作为服务器处理来自其他节点发来的请求。P2P僵尸网络充分利用了P2P的特性,使得充当控制服务器的节点不再单一,攻击者可以通过任一节点控制整个僵尸网络,P2P僵尸网络解决了IRC和HTTP类型僵尸网络存在的单点失效问题,但其实现较为复杂,并且存在命令认证不完备,容易受到污染攻击等缺陷。混合结构僵尸网络如图2-3所示,它是以上两种C&C结构僵尸网络的结合应用,充分利用了以上两种结构各自的优势。
第二章恶意软件相关内容研究9图2-3混合结构僵尸网络混合结构僵尸网络由代理层和工作层组成[31]。代理层的僵尸主机可以同时以客户端和服务端的形式存在,这些主机拥有静态地址和路由地址,可以接收流入的连接,并且使用对称性密钥对其进行加密,最大程度绕过僵尸网络检测机制。工作层的僵尸主机只能作为客户端存在,它们配置动态的不可路由的地址,位于防火墙的后端,为了减少暴露的机会,只会定期和相应代理层的僵尸主机进行通信来获取恶意指令。复杂的运行机制为这种结构的僵尸主机带来了高度的扩展性,极大提升了僵尸网络的健壮性,安全人员无法做到对整个僵尸网络规模的探测和彻底的封停。2.1.2勒索软件勒索软件是一种流行的木马[32],它通过骚扰、恐吓甚至采用绑架用户文件等方式使用户丧失对计算机资源或者数据资产的使用权限,并以此为条件要求受害者以加密货币或者其他方式支付赎金,从而完成最终获利。目前大部分勒索软件攻击流程可以分为图2-4所示的五个部分。1、软件部署。勒索软件通过恶意下载、网络钓鱼、系统漏洞等方式部署到目标主机上,完成系统入侵行为。2、环境检测。勒索软件会对当前运行环境进行检测,如果判定运行在沙箱或
【参考文献】:
期刊论文
[1]恶意域名检测研究与应用综述[J]. 王媛媛,吴春江,刘启和,谭浩,周世杰. 计算机应用与软件. 2019(09)
[2]基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究[J]. 宋金伟,杨进,李涛. 信息网络安全. 2018(12)
[3]Mirai僵尸网络恶意程序分析和监测数据研究[J]. 陈亚亮,戴沁芸,吴海燕,魏征. 网络与信息安全学报. 2017(08)
[4]僵尸网络综述[J]. 崔丽娟,马卫国,赵巍,景秋实. 信息安全研究. 2017(07)
[5]勒索软件简史[J]. 中国信息安全. 2017(04)
[6]基于机遇和挑战谋略发展和安全——比较中解读《国家网络空间安全战略》[J]. 朱莉欣,韩晓阳. 信息安全与通信保密. 2017(02)
[7]Scapy在网络设备安全性测试中的应用[J]. 李兆斌,茅方毅,王瑶君,刘倩. 北京电子科技学院学报. 2016(04)
[8]僵尸网络综述[J]. 方滨兴,崔翔,王威. 计算机研究与发展. 2011(08)
[9]CC攻击检测方法研究[J]. 陈仲华,张连营,王孝明. 电信科学. 2009(05)
博士论文
[1]基于深度学习的网络流量分类及异常检测方法研究[D]. 王伟.中国科学技术大学 2018
[2]基于谱分析与统计机器学习的DDoS攻击检测技术研究[D]. 陈世文.解放军信息工程大学 2013
硕士论文
[1]恶意代码的网络行为分析与识别技术研究[D]. 汪尧.西安电子科技大学 2017
本文编号:3110037
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:82 页
【学位级别】:硕士
【部分图文】:
中心结构僵尸网络在早期,这种C&C结构的僵尸网络通常采用IRC(InternetRelayChat)协议
电子科技大学硕士学位论文8对该类型僵尸网络检测的主要难点所在。Fast-flux是指单域名和多IP地址映射技术,它可以频繁变更域名所绑定的IP地址,该技术隐藏了母体主机,并且与网站CDN技术在流量特征上非常相似,所以检测追踪起来难度很大。Domain-Flux是一种多域名单IP映射技术,其核心是DGA算法,该算法利用日期、社交网络搜索热词、随机数字、字典、硬件编码等信息生成域名,频繁变更的通信域名让僵尸网络变得灵活,难以屏蔽。为了能够彻底克服中心控制C&C单点失效的问题,分布式结构僵尸网络[30]开始出现。分布式结构僵尸网络如图2-2所示,这种C&C结构下的僵尸主机可以同时扮演客户端和服务器的角色,一旦某个节点被识别和封堵,其他节点依然可以作为资源的提供者和传递者,相对于中心结构更加健壮和灵活。图2-2分布式结构僵尸网络目前分布式C&C结构主要通过P2P技术来实现,P2P又称对等网络,各节点处于平等的地位,既可以作为客户端向网络中其他节点请求服务,也可以作为服务器处理来自其他节点发来的请求。P2P僵尸网络充分利用了P2P的特性,使得充当控制服务器的节点不再单一,攻击者可以通过任一节点控制整个僵尸网络,P2P僵尸网络解决了IRC和HTTP类型僵尸网络存在的单点失效问题,但其实现较为复杂,并且存在命令认证不完备,容易受到污染攻击等缺陷。混合结构僵尸网络如图2-3所示,它是以上两种C&C结构僵尸网络的结合应用,充分利用了以上两种结构各自的优势。
第二章恶意软件相关内容研究9图2-3混合结构僵尸网络混合结构僵尸网络由代理层和工作层组成[31]。代理层的僵尸主机可以同时以客户端和服务端的形式存在,这些主机拥有静态地址和路由地址,可以接收流入的连接,并且使用对称性密钥对其进行加密,最大程度绕过僵尸网络检测机制。工作层的僵尸主机只能作为客户端存在,它们配置动态的不可路由的地址,位于防火墙的后端,为了减少暴露的机会,只会定期和相应代理层的僵尸主机进行通信来获取恶意指令。复杂的运行机制为这种结构的僵尸主机带来了高度的扩展性,极大提升了僵尸网络的健壮性,安全人员无法做到对整个僵尸网络规模的探测和彻底的封停。2.1.2勒索软件勒索软件是一种流行的木马[32],它通过骚扰、恐吓甚至采用绑架用户文件等方式使用户丧失对计算机资源或者数据资产的使用权限,并以此为条件要求受害者以加密货币或者其他方式支付赎金,从而完成最终获利。目前大部分勒索软件攻击流程可以分为图2-4所示的五个部分。1、软件部署。勒索软件通过恶意下载、网络钓鱼、系统漏洞等方式部署到目标主机上,完成系统入侵行为。2、环境检测。勒索软件会对当前运行环境进行检测,如果判定运行在沙箱或
【参考文献】:
期刊论文
[1]恶意域名检测研究与应用综述[J]. 王媛媛,吴春江,刘启和,谭浩,周世杰. 计算机应用与软件. 2019(09)
[2]基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究[J]. 宋金伟,杨进,李涛. 信息网络安全. 2018(12)
[3]Mirai僵尸网络恶意程序分析和监测数据研究[J]. 陈亚亮,戴沁芸,吴海燕,魏征. 网络与信息安全学报. 2017(08)
[4]僵尸网络综述[J]. 崔丽娟,马卫国,赵巍,景秋实. 信息安全研究. 2017(07)
[5]勒索软件简史[J]. 中国信息安全. 2017(04)
[6]基于机遇和挑战谋略发展和安全——比较中解读《国家网络空间安全战略》[J]. 朱莉欣,韩晓阳. 信息安全与通信保密. 2017(02)
[7]Scapy在网络设备安全性测试中的应用[J]. 李兆斌,茅方毅,王瑶君,刘倩. 北京电子科技学院学报. 2016(04)
[8]僵尸网络综述[J]. 方滨兴,崔翔,王威. 计算机研究与发展. 2011(08)
[9]CC攻击检测方法研究[J]. 陈仲华,张连营,王孝明. 电信科学. 2009(05)
博士论文
[1]基于深度学习的网络流量分类及异常检测方法研究[D]. 王伟.中国科学技术大学 2018
[2]基于谱分析与统计机器学习的DDoS攻击检测技术研究[D]. 陈世文.解放军信息工程大学 2013
硕士论文
[1]恶意代码的网络行为分析与识别技术研究[D]. 汪尧.西安电子科技大学 2017
本文编号:3110037
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3110037.html
