【摘要】：隨著智能設(shè)備和終端的不斷發(fā)展,物聯(lián)網(wǎng)技術(shù)日趨成熟。由于物聯(lián)網(wǎng)設(shè)備多架設(shè)在公網(wǎng),缺乏有效的保護措施,并且難以升級,其天然的安全隱患造成了物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的橫行。同時,由于僵尸網(wǎng)絡(luò)的隱蔽性,給安全研究人員的檢測和評估帶來了較大的困難。本文從Mirai僵尸網(wǎng)絡(luò)的檢測和風(fēng)險評估等多方面進行了研究。(1)基于蜜罐技術(shù)的Mirai僵尸網(wǎng)絡(luò)節(jié)點識別基于流量的僵尸網(wǎng)絡(luò)識別方法存在數(shù)據(jù)處理量大、節(jié)點通信流量獲取困難等問題,難以在未知網(wǎng)絡(luò)中進行識別。針對這一問題,論文分析Mirai代碼,研究Mirai病毒工作機制和原理,設(shè)計了Mirai病毒識別特征,結(jié)合蜜罐和漏掃技術(shù),提出了Mirai僵尸網(wǎng)絡(luò)節(jié)點識別方法。在此基礎(chǔ)上,論文設(shè)計并實現(xiàn)了Mirai僵尸網(wǎng)絡(luò)節(jié)點的可視化檢測系統(tǒng)。論文在公共網(wǎng)絡(luò)中對系統(tǒng)進行了驗證,共捕獲272204次掃描行為,175923次感染行為。(2)基于函數(shù)調(diào)用圖的Mirai病毒文件識別為了提高僵尸網(wǎng)絡(luò)節(jié)點識別的可信度,減少漏檢、錯檢,本文進一步研究Mirai及其變種僵尸網(wǎng)絡(luò)病毒文件識別方法。無源碼條件下的病毒文件識別通常采用特征碼/關(guān)鍵字匹配技術(shù),然而由于受混淆和壓縮等技術(shù)影響,這一方法難以有效識別Mirai及變種病毒。針對這一問題,論文提出了基于函數(shù)調(diào)用圖的相似性的識別方法。首先,論文選取函數(shù)調(diào)用圖作為特征來反映同源程序相似性,利用其對程序語義特性的表現(xiàn)能力來抵抗混淆等語義維持攻擊技術(shù)的干擾。然后,論文通過鄰接矩陣的特征值組合成為圖的特征向量來比較其相似性,從而回避了直接比較圖相似性的復(fù)雜計算開銷。最后論文使用有監(jiān)督機器學(xué)習(xí)算法學(xué)習(xí)樣本生成分類模型,實現(xiàn)了對Mirai及其變種病毒的識別。仿真分析顯示,就受試者工作特征曲線、精確率和召回率等多項指標(biāo)而言,論文所提算法最終達到0.8239精確率,0.8310準(zhǔn)確率,0.8446召回率,且優(yōu)于基于譜圖特征的病毒識別算法。(3)基于節(jié)點重要性的Mirai僵尸網(wǎng)絡(luò)安全風(fēng)險評估Mirai及其變種是物聯(lián)網(wǎng)內(nèi)傳播最廣泛的僵尸病毒,評估Mirai僵尸網(wǎng)絡(luò)安全風(fēng)險對制定網(wǎng)絡(luò)安全策略具有重要意義�；陔[馬爾科夫模型的技術(shù)是應(yīng)用得最廣的風(fēng)險評估方法,但存在不能直接應(yīng)用于Mirai僵尸網(wǎng)絡(luò)的問題。此外,該技術(shù)也缺乏對節(jié)點和網(wǎng)絡(luò)安全風(fēng)險關(guān)系及影響的評估,盡管在Mirai僵尸網(wǎng)絡(luò)環(huán)境下,該影響難以忽略。針對上述問題,本文提出新的網(wǎng)絡(luò)風(fēng)險值計算方法,改進了基本隱馬爾科夫模型評估方法。引入了節(jié)點重要性的概念,通過節(jié)點關(guān)聯(lián)性計算網(wǎng)絡(luò)中各個節(jié)點的節(jié)點重要性,通過節(jié)點重要性和節(jié)點風(fēng)險值加權(quán)的方式計算整個網(wǎng)絡(luò)的風(fēng)險,改變了原有風(fēng)險計算中對所有節(jié)點均同等看待的方式。本文使用公開的數(shù)據(jù)驗證了模型,結(jié)果顯示,論文所提方法對于網(wǎng)絡(luò)風(fēng)險變化的敏感度提升,有利于改進物聯(lián)網(wǎng)環(huán)境下的安全事件的應(yīng)對能力。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP393.08
【圖文】：

特征對函數(shù)塊進行匹配識別惡意文件的方法［１５］，趙梓旭等人使用對字符串最大逡逑信息熵、字符串最大長度等作為特征檢測惡意文件［１６］。逡逑基于語法的識別方法主要使用函數(shù)調(diào)用圖之間的相似度對病毒文件進行識逡逑別，其中圖的相似度計算方法包括基于圖編輯距離的相似度算法［１７］，基于譜圖特逡逑征的識別算法［１８］，和基于頻繁子圖挖掘算法的識別方法［１９］等。逡逑惡意文件的識別還包括一些其他方法，王超等人通過系統(tǒng)ＡＰＩ調(diào)用的偏序逡逑關(guān)系作為病毒文件特征對病毒文件進行識別［２（）］。ＧＰｌａｇ結(jié)合數(shù)據(jù)依賴性來比較惡逡逑意文件相似性，具有更高精度和抗混淆能力的相似性［２１］。逡逑以上分析方法對于差異性較大的同源病毒文件識別能力較高，但同時訓(xùn)練和逡逑識別的速度較慢，難以適應(yīng)于高速的網(wǎng)絡(luò)環(huán)境中。逡逑１．２．３風(fēng)險評估方法逡逑目前風(fēng)險評估的主要方法分為定量方法和定性方法，其中定性評估方法可以逡逑采用專家咨詢、人員訪談、問卷調(diào)查等形式，常用的評估方法包括因素分析法、逡逑邏輯分析法、德爾菲法等［２２］，定量方法主要包括基于博弈論的評估方法、基于攻逡逑擊圖的評估方法和基于隱馬爾科夫的評估方法，如下圖所示。逡逑風(fēng)險評估技術(shù)逡逑

P臼衣緲刂棲翦危褪詰沐義賢跡玻插澹校玻形韉幕旌鮮澆┦繽仄隋義弦災(zāi)行氖轎韉幕旌鮮澆┦纈欣誚┦衿鞫說畝黽�，窐饭安全辶x先嗽憊乇掌渲械囊徊糠址衿鞫私詰愕賈陸┦凡豢捎謾６裕校玻惺轎韉膩義匣旌鮮澆┦緗桓齟笮徒┦綬殖啥喔鲆蔚男⌒徒┦紓欣誚┦義賢繚諛諭械拇ァｅ義希峰義

本文編號：2749593