僵尸网络控制命令发掘与应用研究
本文关键词:僵尸网络控制命令发掘与应用研究,,由笔耕文化传播整理发布。
【摘要】:僵尸网络(Botnet)利用僵尸程序(Bots)传播、感染并控制大量的终端计算机,可以获取大量的信息资源和强大的分布式计算能力,因此逐渐成为攻击者手中最有效的攻击平台之一。攻击者和僵尸程序之间通过命令与控制信道形成一对多的控制关系,命令与控制机制使得僵尸网络具有高度的可控性及更强的灵活性、私密性,僵尸程序的行为取决于从命令与控制信道获取的控制命令信息,因此,掌握僵尸程序的控制命令及其控制机制对于僵尸网络的分析与防治具有重要的意义。利用约束求解、路径空间遍历等技术提取僵尸网络控制命令的方法存在复杂耗时、面临路径空间爆炸、无法处理混淆后的僵尸程序等缺点。本文在已有研究工作的基础上,对如何从二进制僵尸程序中发掘出其所在僵尸网络的控制命令这一课题进行了进一步研究,结合二进制动态分析技术,提出了一种利用污点传播信息和代码覆盖率特征,从僵尸程序的执行轨迹中识别出其命令控制逻辑,并基于命令控制逻辑信息提取僵尸网络控制命令集合的新方法。与原有方法相比,该方法具有时间开销小、不依赖于API、需要的先验知识少等优点,而且可以有效地避免加壳、代码混淆等技术对分析结果的干扰。本文选取了Zeus、Citadel、 Agobot、Ice Ⅸ等六种典型的僵尸程序的样本进行了实验,实验结果表明该方法能够快速有效地提取出僵尸网络的控制命令集合。此外,本文还对提取出的控制命令的应用进行了探索,提出了将僵尸网络的控制命令应用到僵尸程序行为分析中进行主动探测的新思路,指出了利用控制命令去主动触发僵尸程序执行以观测其行为的可行性,并对其实现方式和步骤进行了阐述;对利用控制命令来辅助构造主动探测数据包以支持僵尸主机的检测工作的思路,进行了分析和讨论。
【关键词】:恶意代码分析 僵尸网络 控制命令 命令与控制逻辑
【学位授予单位】:南开大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要5-6
- Abstract6-13
- 第一章 绪论13-20
- 第一节 论文背景及意义13-16
- 1.1.1 僵尸网络概述13
- 1.1.2 僵尸网络的命令与控制机制13-15
- 1.1.3 本文研究内容与意义15-16
- 第二节 国内外研究现状16-19
- 1.2.1 对僵尸网络命令与控制机制的研究17
- 1.2.2 僵尸网络控制命令的识别、提取17-18
- 1.2.3 对僵尸网络服务器及僵尸程序的主动探测18-19
- 第三节 本文组织结构19-20
- 第二章 相关技术20-26
- 第一节 二进制恶意代码分析技术20-23
- 2.1.1 二进制恶意代码分析技术概述20-21
- 2.1.2 动态污点分析技术21-22
- 2.1.3 代码插装技术22-23
- 第二节 二进制代码分析平台BitBlaze23-25
- 第三节 本章小结25-26
- 第三章 僵尸网络控制命令提取方法26-40
- 第一节 基本思想26-32
- 3.1.1 相关概念26-28
- 3.1.2 本方法的基本思想与原理28-32
- 第二节 僵尸网络控制命令提取方法32-39
- 3.2.1 整体流程32-33
- 3.2.2 执行轨迹的捕获与处理33-36
- 3.2.3 污点与覆盖率信息的分析36-37
- 3.2.4 命令控制逻辑的识别37-38
- 3.2.5 控制命令提取38-39
- 第三节 本章小结39-40
- 第四章 实验设计与分析40-59
- 第一节 原型系统的设计与实现40-43
- 第二节 实验数据及实验分析43-57
- 4.2.1 实验环境43-45
- 4.2.2 实验样本及样本特征45-46
- 4.2.3 实验数据及分析46-54
- 4.2.4 实验评估与讨论54-57
- 第三节 本章小结57-59
- 第五章 对控制命令的应用的探索59-67
- 第一节 基于主动探测的僵尸程序行为分析方法59-64
- 第二节 基于主动探测的僵尸主机检测方法64-66
- 第三节 本章小结66-67
- 第六章 总结与展望67-69
- 第一节 本文总结67
- 第二节 不足与展望67-69
- 参考文献69-72
- 附录72-75
- 附录A Agobot代码块覆盖次数72
- 附录B SDBot代码块覆盖次数72-73
- 附录C Citadel代码块覆盖次数73
- 附录D Ice Ⅸ代码块覆盖次数73-74
- 附录E Zeus2.1代码块覆盖次数74-75
- 致谢75-76
- 个人简历、在学期间发表的学术论文及研究成果76
- 个人简历76
- 硕士期间参与的科研项目76
- 硕士期间完成的论文76
【相似文献】
中国期刊全文数据库 前10条
1 陈明奇,崔翔;“僵尸网络”的威胁及应对策略[J];信息网络安全;2005年05期
2 ;TrustedSource 3.0摧毁僵尸网络[J];信息安全与通信保密;2005年04期
3 范春风;;浅析“僵尸网络”[J];大学时代论坛;2006年02期
4 刘冬梅;;跟踪僵尸网络[J];信息技术与信息化;2006年06期
5 张辉;;僵尸网络的发现与追踪[J];电脑知识与技术(学术交流);2007年19期
6 韩心慧;郭晋鹏;周勇林;诸葛建伟;邹维;;僵尸网络活动调查分析[J];通信学报;2007年12期
7 纵鑫;李玉德;;“僵尸网络”的危害、特点及新型控制方式[J];法制与社会;2008年36期
8 诸葛建伟;韩心慧;周勇林;叶志远;邹维;;僵尸网络研究[J];软件学报;2008年03期
9 蔡慧梅;;僵尸网络的研究与发现[J];计算机安全;2008年04期
10 杜跃进;;僵尸网络关键字[J];信息网络安全;2008年05期
中国重要会议论文全文数据库 前10条
1 诸葛建伟;韩心慧;叶志远;邹维;;僵尸网络的发现与跟踪[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
2 韩心慧;郭晋鹏;周勇林;诸葛建伟;曹东志;邹维;;僵尸网络活动调查分析[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
3 周勇林;崔翔;;僵尸网络的发现与对策[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
4 杨明;任岗;张建伟;;浅谈僵尸网络[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年
5 刘海燕;王维锋;李永亮;;一个基于马尔可夫链的僵尸网络演化模型[A];2006年全国理论计算机科学学术年会论文集[C];2006年
6 季大臣;刘向东;;Botnet网络组织机制研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
7 蔡隽;童峥嵘;;浅谈“花生壳”在僵尸网络检测系统中的妙用[A];中国通信学会第五届学术年会论文集[C];2008年
8 朱敏;钟力;何金勇;李蒙;;基于主机与网络协同的僵尸网络事件验证技术[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
9 蔡隽;童峥嵘;;浅谈僵尸网络及其检测方案的研究[A];四川省通信学会2007年学术年会论文集[C];2007年
10 李杰;;浅述物联网设备系统存在的安全风险及僵尸家电网络[A];第27次全国计算机安全学术交流会论文集[C];2012年
中国重要报纸全文数据库 前10条
1 Frank Hayes;直面僵尸网络威胁[N];计算机世界;2006年
2 记者 边歆;打击僵尸网络刻不容缓[N];网络世界;2006年
3 ;僵尸网络成罪恶之源[N];网络世界;2007年
4 郭川;僵尸网络:吞噬电信网流量的黑色暗流[N];人民邮电;2008年
5 李若怡;信息官大战僵尸网络[N];人民邮电;2012年
6 FortiGuard 威胁研究与响应实验室;多重感染帮助僵尸网络深层攫利[N];网络世界;2013年
7 陈翔;警报:惊现僵尸网络[N];中国计算机报;2005年
8 陈翔;僵尸网络也可以租赁[N];中国计算机报;2005年
9 ;警惕僵尸网络“还魂”[N];计算机世界;2005年
10 本报记者 张琳;刺向僵尸网络的剑[N];网络世界;2005年
中国博士学位论文全文数据库 前10条
1 臧天宁;僵尸网络协同检测与识别关键技术研究[D];哈尔滨工程大学;2011年
2 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年
3 王威;僵尸网络对抗技术研究[D];哈尔滨工业大学;2010年
4 李润恒;大规模网络中僵尸网络分析技术研究[D];国防科学技术大学;2010年
5 王海龙;僵尸网络检测关键技术研究[D];国防科学技术大学;2011年
6 王新良;僵尸网络异常流量分析与检测[D];北京邮电大学;2011年
7 耿贵宁;移动僵尸网络安全分析关键技术研究[D];北京邮电大学;2012年
8 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年
9 于晓聪;基于网络流量分析的僵尸网络在线检测技术的研究[D];东北大学;2011年
10 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年
中国硕士学位论文全文数据库 前10条
1 刘彬斌;一种僵尸网络的拓扑分析及反制算法研究[D];电子科技大学;2009年
2 糜利敏;僵尸网络建模研究[D];吉林大学;2010年
3 李乔;可控僵尸网络系统设计与实现[D];哈尔滨工业大学;2009年
4 李跃;面向移动网络的僵尸网络关键技术研究[D];西南交通大学;2013年
5 刘兴龙;应用于互联网攻防测试平台的僵尸网络设计与实现[D];哈尔滨工业大学;2012年
6 邢丽;基于支持向量机的僵尸网络检测方法的研究[D];大连海事大学;2015年
7 席瑞;基于相似性分析的僵尸网络检测研究与实现[D];电子科技大学;2014年
8 张可;基于BP神经网络的僵尸网络检测技术研究[D];电子科技大学;2014年
9 周琦;基于ESM模型的P2P僵尸网络检测方法研究[D];兰州大学;2015年
10 谢舜;基于流量分析的僵尸网络检测技术研究[D];西安电子科技大学;2014年
本文关键词:僵尸网络控制命令发掘与应用研究,由笔耕文化传播整理发布。
本文编号:281853
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/281853.html