隨著信息技術(shù)的快速發(fā)展以及多種異構(gòu)網(wǎng)絡(luò)的融合,各行各業(yè)對(duì)網(wǎng)絡(luò)的依賴性也越來(lái)越強(qiáng)。受政治經(jīng)濟(jì)利益等驅(qū)動(dòng),近年來(lái)借助僵尸網(wǎng)絡(luò)和木馬進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取事件數(shù)量快速增加,針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測(cè)、滲透和攻擊事件時(shí)有發(fā)生,受國(guó)家級(jí)支持的高級(jí)持續(xù)性威脅活動(dòng)頻現(xiàn),隱蔽網(wǎng)絡(luò)攻擊和信息竊取對(duì)象已經(jīng)從個(gè)人蔓延到金融、通信、能源、航空、交通等領(lǐng)域,對(duì)公民、企業(yè)及國(guó)家信息安全都造成了嚴(yán)重威脅。結(jié)合學(xué)術(shù)界的相關(guān)研究,我們將網(wǎng)絡(luò)攻擊中這些高技術(shù)的、采用對(duì)抗性隱蔽逃逸技術(shù)、借助網(wǎng)絡(luò)控制、以竊取機(jī)密信息或長(zhǎng)期控制及破壞的攻擊統(tǒng)稱為隱蔽式網(wǎng)絡(luò)攻擊(Evasive Network Attack)。隱蔽式網(wǎng)絡(luò)攻擊的檢測(cè)對(duì)于維護(hù)國(guó)家信息基礎(chǔ)設(shè)施安全與社會(huì)穩(wěn)定,打擊網(wǎng)絡(luò)犯罪,提升對(duì)攻擊的追蹤溯源能力等,無(wú)疑具有重要意義。在分析和總結(jié)已有研究工作不足和產(chǎn)業(yè)界的技術(shù)短板的基礎(chǔ)上,我們針對(duì)隱蔽式網(wǎng)絡(luò)攻擊檢測(cè)中的關(guān)鍵問(wèn)題開(kāi)展研究,主要工作及取得的成果包括：加密服務(wù)流量的準(zhǔn)確識(shí)別方面,對(duì)本領(lǐng)域的最新研究進(jìn)展進(jìn)行了綜述,并提出了基于協(xié)議消息格式和狀態(tài)轉(zhuǎn)移深度驗(yàn)證的SSL/TLS通信實(shí)時(shí)高準(zhǔn)確度識(shí)別方法,可滿足高速網(wǎng)絡(luò)環(huán)境下對(duì)此類加密流及偽裝流的精準(zhǔn)區(qū)分要求。加密服務(wù)中的惡意行為發(fā)現(xiàn)方面,通過(guò)對(duì)海量網(wǎng)絡(luò)行為測(cè)量結(jié)果的數(shù)據(jù)挖掘發(fā)現(xiàn)隱私泄露與惡意服務(wù)。首先,提出了一種基于被動(dòng)NetFlow信息的主動(dòng)測(cè)量方法,實(shí)現(xiàn)了高成功率高效率的面向X.509證書的SSL/TLS服務(wù)測(cè)量,可近似還原出大規(guī)模用戶網(wǎng)絡(luò)行為。在此基礎(chǔ)上,采用基于證書屬性的相似性度量對(duì)自簽名證書及海量日志挖掘關(guān)聯(lián)分析,揭示采用自簽名證書的HTTPS服務(wù)存在的應(yīng)用服務(wù)類型泄露問(wèn)題,可用于發(fā)現(xiàn)新型SSL/TLS應(yīng)用服務(wù)以及潛在的惡意SSL/TLS加密通信。與目前主流的借助統(tǒng)計(jì)指紋對(duì)加密瀏覽等進(jìn)行細(xì)粒度行為識(shí)別的研究相比,面向大規(guī)模數(shù)據(jù)集,注重實(shí)用性。SSL/TLS加密通道內(nèi)的隱蔽惡意行為發(fā)現(xiàn)方面,我們提出了基于證書屬性的信譽(yù)度與域名可信度的綜合度量來(lái)發(fā)現(xiàn)高可疑的隱蔽攻擊通道,借助于簡(jiǎn)單規(guī)則、證書的安全屬性和部分域的匿名性,以及服務(wù)器的排名和反向解析結(jié)果等,給出服務(wù)器的綜合異常度。三個(gè)公開(kāi)數(shù)據(jù)集的實(shí)驗(yàn)結(jié)果表明,我們的方法能高效準(zhǔn)確的識(shí)別偽裝和惡意的SSL/TLS加密通信。而且,我們?cè)诤罄m(xù)研究中借助于主動(dòng)服務(wù)發(fā)現(xiàn)濾除無(wú)害服務(wù),進(jìn)一步降低了本工作在實(shí)用中的誤報(bào)率。此外,基于前述大范圍的SSL/TLS服務(wù)測(cè)量,提出了基于證書分類來(lái)改進(jìn)SSL/TLS加密通道入侵檢測(cè)的方法,借助分而治之和反向排除的思想,首先根據(jù)用戶訪問(wèn)統(tǒng)計(jì)將流行的合法服務(wù)和高可信度的正常服務(wù)也排除,然后對(duì)占據(jù)網(wǎng)絡(luò)數(shù)據(jù)流中很小比例的低可信度和非法的證書對(duì)應(yīng)的網(wǎng)絡(luò)通信進(jìn)行詳細(xì)檢測(cè)來(lái)發(fā)現(xiàn)可疑的惡意加密通道。協(xié)議偽裝行為檢測(cè)方面,面對(duì)隱蔽式網(wǎng)絡(luò)攻擊中惡意通信經(jīng)常偽裝成流行協(xié)議或常見(jiàn)應(yīng)用來(lái)躲避入侵檢測(cè)系統(tǒng)的挑戰(zhàn),我們基于協(xié)議的一般性概念將真實(shí)世界中的常見(jiàn)網(wǎng)絡(luò)協(xié)議抽象為三方面屬性,即協(xié)議語(yǔ)法格式,協(xié)議狀態(tài)轉(zhuǎn)移和協(xié)議行為屬性,并提出了面向常見(jiàn)網(wǎng)絡(luò)協(xié)議的通用偽裝檢測(cè)框架,從上述三個(gè)方面分別對(duì)協(xié)議的合規(guī)性和異常度進(jìn)行深度驗(yàn)證。該方法可直接應(yīng)用于實(shí)時(shí)被動(dòng)檢測(cè),避免了主動(dòng)探測(cè)方法對(duì)網(wǎng)絡(luò)運(yùn)行和性能的影響,彌補(bǔ)了單純基于統(tǒng)計(jì)、知識(shí)或機(jī)器學(xué)習(xí)的異常檢測(cè)檢測(cè)方法的不足,并在對(duì)抗場(chǎng)景下具備較強(qiáng)的魯棒性。此外,在深度惡意隱蔽網(wǎng)絡(luò)通信對(duì)抗檢測(cè)方面,引入知識(shí)庫(kù)實(shí)現(xiàn)從數(shù)據(jù)到知識(shí)再到能力的持久轉(zhuǎn)化,將主機(jī)、網(wǎng)絡(luò)和知識(shí)庫(kù)有機(jī)融合,結(jié)合上述加密服務(wù)分類、加密惡意通道檢測(cè)和協(xié)議偽裝行為檢測(cè),形成面向?qū)嵱玫膼阂怆[蔽通信多維協(xié)同檢測(cè)框架,將故意逃避主機(jī)和網(wǎng)絡(luò)檢測(cè)的隱蔽惡意通信行為識(shí)別出來(lái)。綜上所述,本文從應(yīng)對(duì)網(wǎng)絡(luò)空間面臨的突出性安全威脅出發(fā),針對(duì)隱蔽式網(wǎng)絡(luò)攻擊的檢測(cè)關(guān)鍵挑戰(zhàn)性問(wèn)題開(kāi)展研究,在加密服務(wù)分類、基于SSL/TLS服務(wù)大規(guī)模測(cè)量與挖掘的加密通道中惡意行為發(fā)現(xiàn)以及應(yīng)用協(xié)議偽裝檢測(cè)等方面取得了一定研究成果。這些研究中的方法和技術(shù)對(duì)于提升對(duì)抗環(huán)境中惡意隱蔽網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)能力,打擊網(wǎng)絡(luò)犯罪和信息竊取,保障國(guó)家信息基礎(chǔ)設(shè)施、公民隱私和財(cái)產(chǎn)安全等具有重要的應(yīng)用價(jià)值和意義。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位年份】：2015
【中圖分類】：TP393.08
【部分圖文】：

新版本的化Ｓ協(xié)議，即ＴＬＳ１．３正在討論和修改中，從２０１４年４月逡逑到２０１５年１月，己經(jīng)有５個(gè)不同版本的草案被陸續(xù)提交【７５１。逡逑ＳＳＬ／ＴＬＳ所處的位置及構(gòu)成如下圖２－１所示：逡逑＇Ｙ邐應(yīng)瑞枎協(xié)議邐、勺逡逑ｆ邋ＨＴＴＰ邐ＦＴＰ邐）b8邋ＭＴＰ逆邋Ｗ‘平）（、其他）逡逑＼邐邐＾邐邐？／＇、＇、．邐＼邐ｙ邋ｊ逡逑邐邋邋邐邐邋邐一／＇逡逑＾邐}痹酪瑰危掊巍苠義希�？、，／；；∮z誨危В苠澹㈠蚊橛檬齜嘶椋赍義希駑危齲幔睿洌螅瑁幔耄邋齲蒎義希埽櫻浚皺澹櫻穡澹沐邋危剩赍澹皺危叔義希嫜稀弧危劐義希懾危椋瀆夾殄危╁義襄五五危掊義賢跡玻歟ィ桑裕蹋有櫚奈恢眉骯鉤墑疽饌煎義希櫻櫻蹋裕蹋渝灝鍬夾椋ǎ遙澹悖錚潁溴澹校潁錚簦錚悖錚歟┖臀帳中椋ǎ齲幔睿洌螅瑁幔耄椋睿玨澹校潁錚垮義希簦錚悖錚歟螅�，邋而螏ぶ协议下脣壬细分为钢\涿藶牘娣緞殄澹ǎ茫瑁幔睿紓邋澹茫椋穡瑁澹蟈澹櫻穡澹沐澹校潁錚義希玻跺義

本文編號(hào)：2810433