【摘要】：近年來,互聯(lián)網(wǎng)新技術(shù)新應(yīng)用不斷推陳出新,給人們的日常生活和工作帶來了巨大便捷的同時(shí),也給網(wǎng)絡(luò)安全帶來了全新挑戰(zhàn)。以分布式拒絕服務(wù)攻擊、釣魚郵件、加密勒索、銀行賬戶竊取為代表的網(wǎng)絡(luò)攻擊事件時(shí)常發(fā)生,給個(gè)人、企業(yè)乃至國家造成了巨大損失。在這其中,僵尸網(wǎng)絡(luò)作為一種通用型承載平臺,成為了上述增值網(wǎng)絡(luò)攻擊的源頭。在當(dāng)前背景下,其影響范圍由傳統(tǒng)個(gè)人電腦擴(kuò)大到了智能手機(jī)、工控系統(tǒng)、云服務(wù)、路由器、IP攝像頭等各類型設(shè)施,其形態(tài)不斷發(fā)生變化,攻擊手段日趨多樣化,這給防御研究者帶來了巨大挑戰(zhàn)。不僅如此,在以國家為背景的APT攻擊案例中,僵尸網(wǎng)絡(luò)的命令控制技術(shù)得到了廣泛的應(yīng)用,作為一種有效攻擊武器,僵尸網(wǎng)絡(luò)在未來的網(wǎng)絡(luò)戰(zhàn)場中將發(fā)揮重要作用。基于上述事實(shí),深入研究僵尸網(wǎng)絡(luò)核心機(jī)理,關(guān)注僵尸網(wǎng)絡(luò)演化規(guī)律,全面把握僵尸網(wǎng)絡(luò)相關(guān)攻防關(guān)鍵技術(shù),預(yù)測新型僵尸網(wǎng)絡(luò)形態(tài)和攻擊技術(shù),完善已有僵尸網(wǎng)絡(luò)防御體系對于提高僵尸網(wǎng)絡(luò)安全事件的應(yīng)急處置能力、提升我國網(wǎng)絡(luò)戰(zhàn)威懾力、保障我國家網(wǎng)絡(luò)空間安全具有十分重要的意義。本學(xué)位論文從攻防兩個(gè)角度對僵尸網(wǎng)絡(luò)關(guān)鍵技術(shù)進(jìn)行研究:從攻擊者視角出發(fā),關(guān)注僵尸網(wǎng)絡(luò)演進(jìn)規(guī)律,以受控分析環(huán)境與普通感染主機(jī)的行為差異性為切入點(diǎn),研究高對抗和智能化管控技術(shù),預(yù)測未來可能出現(xiàn)的僵尸網(wǎng)絡(luò)命令控制信道模型和生存模型;從防御者角度出發(fā),分析提取僵尸網(wǎng)絡(luò)通信行為的關(guān)鍵特征,研究面向網(wǎng)絡(luò)流量的僵尸網(wǎng)絡(luò)檢測相關(guān)技術(shù)。全文研究內(nèi)容主要包括僵尸網(wǎng)絡(luò)分析與評估研究、僵尸網(wǎng)絡(luò)生存模型研究、僵尸網(wǎng)絡(luò)信道模型研究,以及僵尸網(wǎng)絡(luò)檢測技術(shù)研究四部分。在僵尸網(wǎng)絡(luò)分析與評估研究方向上,本文首先歸納并分析已有僵尸網(wǎng)絡(luò)生命周期模型的缺陷,提出一種基于隱馬爾科夫模型的僵尸網(wǎng)絡(luò)生命周期模型,適用于細(xì)粒度描述僵尸網(wǎng)絡(luò)個(gè)體的狀態(tài)遷移情況。從攻擊者角度出發(fā),在攻防對抗的需求中提取出僵尸網(wǎng)絡(luò)九大關(guān)鍵屬性,對各屬性含義和期望進(jìn)行闡述,利用該屬性對僵尸網(wǎng)絡(luò)代表性協(xié)議進(jìn)行脆弱性分析。在充分借鑒已有性能評估方法的基礎(chǔ)上,本文提出一種面向七維關(guān)鍵屬性的僵尸網(wǎng)絡(luò)量化評估模型,可對僵尸網(wǎng)絡(luò)進(jìn)行全方位量化評估,填補(bǔ)了已有研究的空缺。借助該模型,以第三方監(jiān)測數(shù)據(jù)和志愿者觀測數(shù)據(jù)為依據(jù),對代表性物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)Mirai進(jìn)行評估。同時(shí)利用SI和SIR傳播模型評估Mirai的傳播能力,仿真結(jié)果表明理想狀態(tài)下Mirai可以在三小時(shí)內(nèi)感染脆弱的物聯(lián)網(wǎng)設(shè)備,一定規(guī)模條件下可在一小時(shí)內(nèi)利用新的漏洞感染任意一臺脆弱設(shè)備,揭示了當(dāng)前物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)威脅的嚴(yán)重性。此外,本文以時(shí)間為線索,基于公開的僵尸網(wǎng)絡(luò)案例報(bào)道和學(xué)術(shù)研究成果,總結(jié)僵尸網(wǎng)絡(luò)攻擊技術(shù)演化規(guī)律,將僵尸網(wǎng)絡(luò)的發(fā)展歷程劃分為“PC攻擊”和“廣泛攻擊”兩大階段。“廣泛攻擊”階段涵蓋“PC僵尸網(wǎng)絡(luò)”、“新興僵尸網(wǎng)絡(luò)”以及“APT中僵尸網(wǎng)絡(luò)”三種演化方向,本文對各階段中僵尸網(wǎng)絡(luò)形態(tài)、代表案例、命令控制協(xié)議、惡意行為進(jìn)行詳細(xì)歸納對比。從類別、命令控制協(xié)議、惡意行為、屬性四個(gè)方面預(yù)測未來僵尸網(wǎng)絡(luò)發(fā)展趨勢。在僵尸網(wǎng)絡(luò)生存模型研究方向上,本文提出一種具備高對抗能力的僵尸網(wǎng)絡(luò)生存模型,該模型改變常規(guī)僵尸網(wǎng)絡(luò)工作流程,提出一種“終端信息采集,后端識別分析”的對抗機(jī)制,將該機(jī)制納入到常規(guī)工作流程中,提升僵尸網(wǎng)絡(luò)識別防御方監(jiān)控分析環(huán)境、對抗檢測系統(tǒng)發(fā)現(xiàn)、支持細(xì)粒度差異化管控的能力。模型實(shí)現(xiàn)的關(guān)鍵點(diǎn)包括注冊認(rèn)證信道構(gòu)建技術(shù)、終端身份識別技術(shù)以及通信模式相似性消除技術(shù)。在注冊認(rèn)證信道研究方面,本文提出一種基于公共服務(wù)資源的信道,利用可自定義的縮址服務(wù)實(shí)現(xiàn)一種動(dòng)態(tài)尋址算法SURL-Flux,利用公開云存儲服務(wù)實(shí)現(xiàn)高效的終端信息回傳,利用匿名網(wǎng)絡(luò)有效保護(hù)信息交互過程中控制者身份的安全性;在終端身份識別技術(shù)研究方面,本文提出基于用戶行為的差異性區(qū)分?jǐn)呈趾推胀ㄕＳ脩?對感染終端的基本配置、使用記錄、鍵鼠操作相關(guān)統(tǒng)計(jì)特征進(jìn)行采集,通過注冊認(rèn)證信道回傳,控制者借助機(jī)器學(xué)習(xí)算法進(jìn)行身份的有效識別。本地仿真實(shí)驗(yàn)以監(jiān)控分析所用虛擬機(jī)和普通物理機(jī)作為測試對象,實(shí)驗(yàn)結(jié)果證明通過聚類算法可以對不同群體進(jìn)行有效識別;在通信模式相似性消除技術(shù)研究方面,本文以主流的基于數(shù)據(jù)流統(tǒng)計(jì)特征的檢測方法為繞過對象,引入常見檢測方案中采用的特征,以背景流量為模板,提出一種基于自適應(yīng)模板的通信模式變化技術(shù)。該方法可以有效消除不同僵尸主機(jī)間通信模式相似性,對比實(shí)驗(yàn)證明其一定程度上增加了對抗流量檢測系統(tǒng)識別的能力。該模型有效彌補(bǔ)了已有僵尸網(wǎng)絡(luò)在隱蔽性和智能感知能力上的不足,代表了高級僵尸網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展方向,對研究人員未來開展相關(guān)防御工作具有重要啟示意義。在信道模型預(yù)測研究方向上,本文以當(dāng)今Web安全威脅的嚴(yán)重性和僵尸網(wǎng)絡(luò)廣泛攻擊的發(fā)展趨勢為出發(fā)點(diǎn),研究面向Web服務(wù)器的命令控制信道技術(shù),提出一種基于Webshell的層次化命令控制信道模型。該模型基于無連接和協(xié)同泛洪傳遞思想,對傳統(tǒng)單點(diǎn)下發(fā)的Webshell的控制方式進(jìn)行改進(jìn),提出樹狀結(jié)構(gòu)自頂向下的并發(fā)命令傳遞方法,可有效提高僵尸主機(jī)的管控效率;基于Tor網(wǎng)絡(luò)的Hidden Service和Tor2Web服務(wù)構(gòu)建命令控制信道,有效隱藏命令控制服務(wù)器真實(shí)信息,使傳統(tǒng)溯源方法難以奏效;基于感染主機(jī)網(wǎng)絡(luò)行為的信譽(yù)評估方法,控制者可以快速發(fā)現(xiàn)和定位蜜罐主機(jī),使該模型具備一定的智能感知能力;中心認(rèn)證和動(dòng)態(tài)加密機(jī)制可以有效對抗防御方的攻擊重放、劫持和測量行為。本地仿真實(shí)驗(yàn)證明所提出的信道模型具備較好的效率和可靠性,其抗毀能力完全優(yōu)于隨機(jī)網(wǎng)絡(luò)模型,隨著移除數(shù)量的不斷增大,其健壯性逐漸優(yōu)于小世界網(wǎng)絡(luò)模型。從防御角度出發(fā),本文提出了利用匿名網(wǎng)絡(luò)漏洞、滲透監(jiān)控、代理節(jié)點(diǎn)拒絕服務(wù)攻擊、建立國際合作機(jī)制四種針對性防御建議。在僵尸網(wǎng)絡(luò)檢測技術(shù)研究方向上,本文以主流HTTP僵尸網(wǎng)絡(luò)為對象,研究面向數(shù)據(jù)流的被動(dòng)檢測技術(shù)和特征碼生成技術(shù)。在檢測技術(shù)研究方面,本文提出一種面向HTTP首次請求包和首次響應(yīng)包(簡稱“一問一答”包)的檢測方法,對HTTP “一問一答”數(shù)據(jù)包大小以及頭部關(guān)鍵字段信息的統(tǒng)計(jì)特征進(jìn)行提取,利用代表性機(jī)器學(xué)習(xí)分類算法識別僵尸網(wǎng)絡(luò)流量。交叉驗(yàn)證實(shí)驗(yàn)證明該方法有效平衡了準(zhǔn)確性和時(shí)空開銷,支持小規(guī)模檢測場景的需求,可對Bobax、ZeuS、Spyeye等著名的HTTP僵尸網(wǎng)絡(luò)的通信流量進(jìn)行準(zhǔn)確檢測,與基于傳統(tǒng)數(shù)據(jù)流特征的檢測方法相比性能更佳。在特征碼提取技術(shù)研究方面,本文提出一種基于HTTP僵尸網(wǎng)絡(luò)頭部關(guān)鍵信息相似性的特征碼生成方法,可以自動(dòng)化生成高質(zhì)量網(wǎng)絡(luò)特征碼,可與特征碼檢測系統(tǒng)聯(lián)動(dòng),幫助防御人員更加廣泛、快速地識別僵尸網(wǎng)絡(luò)流量。在工程實(shí)現(xiàn)方面,本文概述了基于“一問一答”包的僵尸網(wǎng)絡(luò)檢測方法以及特征碼的自動(dòng)生成方法的設(shè)計(jì)理念和體系架構(gòu)。其設(shè)計(jì)方案申請并獲得了國家專利授權(quán),實(shí)現(xiàn)的原型系統(tǒng)作為“面向三網(wǎng)融合的統(tǒng)一安全管控網(wǎng)絡(luò)” 863子課題的重要研究內(nèi)容,在項(xiàng)目技術(shù)驗(yàn)收環(huán)節(jié)中得到了國內(nèi)專家同行的一致認(rèn)可。
[Abstract]:......
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前5條

1 李可;方濱興;崔翔;劉奇旭;;僵尸網(wǎng)絡(luò)發(fā)展研究[J];計(jì)算機(jī)研究與發(fā)展;2016年10期

2 李可;方濱興;崔翔;劉奇旭;嚴(yán)志濤;;基于Webshell的僵尸網(wǎng)絡(luò)研究[J];通信學(xué)報(bào);2016年06期

3 王蕊;馮登國;楊軼;蘇璞睿;;基于語義的惡意代碼行為特征提取及檢測方法[J];軟件學(xué)報(bào);2012年02期

4 方濱興;崔翔;王威;;僵尸網(wǎng)絡(luò)綜述[J];計(jì)算機(jī)研究與發(fā)展;2011年08期

5 諸葛建偉;韓心慧;周勇林;葉志遠(yuǎn);鄒維;;僵尸網(wǎng)絡(luò)研究[J];軟件學(xué)報(bào);2008年03期

，

本文編號：2396916