隨著各種新技術(shù)(5G,云計(jì)算,大數(shù)據(jù))的不斷發(fā)展,網(wǎng)絡(luò)場景和業(yè)務(wù)越來越復(fù)雜,擴(kuò)大了可利用的攻擊面,導(dǎo)致各種網(wǎng)絡(luò)威脅層出不窮。常見的木馬,僵尸網(wǎng)絡(luò),APT,DDoS等威脅都需要建立CC通信,因此可以從網(wǎng)絡(luò)通信階段去分析和檢測以上網(wǎng)絡(luò)威脅,從而實(shí)時(shí)的阻斷網(wǎng)絡(luò)威脅的通信過程,達(dá)到網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的目的。為了避免被安全設(shè)備識(shí)別,網(wǎng)絡(luò)威脅通常采用應(yīng)用層網(wǎng)絡(luò)隧道的形式去構(gòu)建隱蔽通道,實(shí)現(xiàn)CC通信。威脅通過偽裝成正常應(yīng)用層協(xié)議,從而繞過安全控制策略,實(shí)現(xiàn)通信的目的。因此,可以通過識(shí)別應(yīng)用層隧道來檢測各種網(wǎng)絡(luò)威脅。應(yīng)用層協(xié)議的通信流量大,承載業(yè)務(wù)復(fù)雜,給隧道的檢測造成了極大的困難�，F(xiàn)有工作中基于特征簽名的檢測方法的誤報(bào)率較高,效率也比較低,而且無法分析加密隧道�；趨f(xié)議異常的檢測方法可以在隧道實(shí)現(xiàn)原理上去分析和檢測隧道。但是隨著協(xié)議偽裝技術(shù)的發(fā)展,基于協(xié)議異常的檢測方法識(shí)別率越來越低�；谛袨榻y(tǒng)計(jì)的檢測方法是當(dāng)前的研究熱點(diǎn),其通過分析網(wǎng)絡(luò)通信數(shù)據(jù)的行為來檢測隧道。但是該方法存在行為分析困難,建模復(fù)雜,實(shí)時(shí)性差等缺點(diǎn)。隨著網(wǎng)絡(luò)業(yè)務(wù)的不斷豐富,協(xié)議越來越復(fù)雜,單獨(dú)一種檢測方法很難實(shí)現(xiàn)隧道檢測的高精確率和低誤報(bào)率。為了解決現(xiàn)有工作的不足,本文提出了一個(gè)結(jié)合規(guī)則和機(jī)器學(xué)習(xí)的通用應(yīng)用層隧道檢測方案,整個(gè)檢測方案主要包括兩個(gè)部分:DGA域名過濾規(guī)則和機(jī)器學(xué)習(xí)模型。本文首先基于trigram模型設(shè)計(jì)了一個(gè)DGA域名過濾規(guī)則,當(dāng)通信數(shù)據(jù)所采用的域名明顯不滿足過濾規(guī)則時(shí),直接進(jìn)行阻斷;當(dāng)滿足過濾規(guī)則時(shí)再采用機(jī)器學(xué)習(xí)模型對(duì)通信數(shù)據(jù)進(jìn)行分析。設(shè)計(jì)DGA過濾規(guī)則的目的是識(shí)別特征明顯的應(yīng)用層隧道,減少機(jī)器學(xué)習(xí)模型需要處理的數(shù)據(jù)量,提高了檢測的效率和實(shí)時(shí)性。為了構(gòu)建一個(gè)通用的機(jī)器學(xué)習(xí)模型,本文首先提出了一個(gè)針對(duì)于應(yīng)用層隧道檢測的通用特征提取框架,該框架綜合了之前的研究工作,結(jié)合基于特征簽名的檢測方法,基于協(xié)議異常的檢測方法和基于行為統(tǒng)計(jì)的檢測方法,從網(wǎng)絡(luò)層,傳輸層和應(yīng)用層等多個(gè)角度綜合分析和提取所需要的統(tǒng)計(jì)特征和安全特征。并基于該框架,分別對(duì)當(dāng)前最為常見的三種應(yīng)用層隧道:DNS隧道,HTTP隧道,HTTPS隧道進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明本文提出的檢測方案可以解決現(xiàn)有工作的不足,是一個(gè)通用和高效的應(yīng)用層隧道檢測方案。同時(shí)本文對(duì)隧道檢測中的數(shù)據(jù)采集問題進(jìn)行了相關(guān)研究,提出了一個(gè)基于回歸和降維的自適應(yīng)多維數(shù)據(jù)采集方法,提高了數(shù)據(jù)采集的有效性。最后提出了一個(gè)基于窗口的啟發(fā)式規(guī)則來降低工程中威脅檢測難以處理的高誤報(bào)率問題。
【學(xué)位單位】：西安電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP393.08;TP18
【部分圖文】：

西安電子科技大學(xué)碩士學(xué)位論文，比如概率分布，熵等。如果明顯偏離于正常行一般是具有默認(rèn)值的保留字段或者是系統(tǒng)產(chǎn)生的隱蔽通道的檢測，可以通過對(duì)每個(gè)數(shù)據(jù)包的特殊值異常，則可能存在隱蔽信道。而基于隧道構(gòu)建載數(shù)據(jù)涉及到加密和隱私泄露問題。特別是應(yīng)用道更加難以檢測。

圖2.1網(wǎng)絡(luò)隱蔽通道基本模型2.1.2 網(wǎng)絡(luò)隧道網(wǎng)絡(luò)隧道（Networktunnel）也叫協(xié)議隧道，是指將一種協(xié)議數(shù)據(jù)包封裝到另外一種數(shù)據(jù)包的有效載荷中進(jìn)行傳輸?shù)募夹g(shù)。隧道是一種常用的網(wǎng)絡(luò)技術(shù)，最初設(shè)計(jì)的目的是在不兼容或不安全的網(wǎng)絡(luò)段上傳輸數(shù)據(jù)。隧道基本模型如圖 2.2 所示，其中 P_A是作為載體的數(shù)據(jù)包，用于傳輸 P_B 協(xié)議，一般稱最外層的數(shù)據(jù)包為分發(fā)包（Deliverypacket）；P_B 是被傳輸?shù)臄?shù)據(jù)包，一般稱內(nèi)層數(shù)據(jù)包為載荷包（Payload packet）[32]。該場景下隧道數(shù)據(jù)包格式如圖 2.3 所示。P_B 協(xié)議在傳輸?shù)铰酚善鞴?jié)點(diǎn) R_A 時(shí)，由于后面的 R_A 到 R_B 之間的網(wǎng)段不允許傳輸 P_B 協(xié)議，只允許傳輸 P_A 協(xié)議。因此在 R_A 節(jié)點(diǎn)通過隧道技術(shù)將載荷包 P_B 封裝到分發(fā)包 P_A 的協(xié)議載荷部分，然后由分發(fā)包 P_A 提供路由信息，將載荷包 P_B 傳輸?shù)较乱粋�(gè)路由器節(jié)點(diǎn) R_B。節(jié)點(diǎn) R_B將分發(fā)包 P_A 解封裝得到 P_B 數(shù)據(jù)包，根據(jù) P_B 中的目的地址進(jìn)行后續(xù)處理。

圖2.3隧道的數(shù)據(jù)包格式目的并不是一種惡意的通信方法，其實(shí)際PN（VirtualPrivateNetwork，虛擬專用網(wǎng)可用于網(wǎng)絡(luò)管理和用戶遠(yuǎn)程訪問等；2）協(xié)輸不支持的協(xié)議。常用的隧道協(xié)議主要位系統(tǒng)互聯(lián)）參考模型的第二層和第三層。unneling Protocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議）和 L2T協(xié)議），三層隧道協(xié)議主要有 IPSec（Int些隧道協(xié)議屬于正常隧道，也就是滿足安內(nèi)的隧道。由于隧道技術(shù)在安全傳輸，協(xié)被用來構(gòu)建隱蔽通道以傳輸秘密數(shù)據(jù)。惡括以下三種應(yīng)用場景：內(nèi)網(wǎng)被入侵主機(jī)通信[17, 19, 20]。攻擊者利絡(luò)中的主機(jī)進(jìn)行通信，包括 C&C 通信，
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 饒鮮;楊紹全;魏青;董春曦;;基于熵的入侵檢測特征參數(shù)選擇[J];系統(tǒng)工程與電子技術(shù);2006年04期

2 龍嘯;方勇;黃誠;劉亮;;Webshell研究綜述:檢測與逃逸之間的博弈[J];網(wǎng)絡(luò)空間安全;2018年01期

3 沈通;吳志軍;張建富;楊建新;曾龍;;數(shù)控加工原位檢測系統(tǒng)中檢測規(guī)劃關(guān)鍵技術(shù)研究[J];制造技術(shù)與機(jī)床;2018年08期

4 張少擎;;基于MBD的數(shù)字化零件檢測技術(shù)研究[J];航空制造技術(shù);2014年21期

5 王通;郭淵博;祝松帥;嚴(yán)新成;;基于大數(shù)據(jù)的APT威脅檢測方法[J];信息工程大學(xué)學(xué)報(bào);2017年06期

6 王丹;趙宏偉;戴毅;吳彬;;基于回歸的人臉檢測加速算法[J];重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版);2019年04期

7 劉素芳,凌云,曹致剛,程玉香,姜雪波,曾蓉嘉,陳雪蓮,賈銘章;全自動(dòng)酶標(biāo)分析系統(tǒng)對(duì)抗-HCVEIA檢測特征性的影響[J];中國輸血雜志;2000年01期

8 周穎;胡勇;;基于關(guān)聯(lián)分析的Webshell檢測方法研究[J];信息安全研究;2018年03期

9 歐凡;劉沖;;人臉圖像灰度分布統(tǒng)計(jì)分析與檢測特征設(shè)計(jì)[J];大連理工大學(xué)學(xué)報(bào);2010年04期

10 申家全;閆懷志;胡昌振;;探地雷達(dá)目標(biāo)檢測中的離散余弦變換方法[J];儀器儀表學(xué)報(bào);2011年06期

相關(guān)博士學(xué)位論文 前4條

1 楊婉霞;網(wǎng)絡(luò)語音流中的隱信道實(shí)時(shí)檢測關(guān)鍵問題研究[D];中國地質(zhì)大學(xué);2019年

2 張治國;前方道路行人檢測和距離估計(jì)研究[D];華中科技大學(xué);2017年

3 許舟軍;基于異常分析的入侵檢測關(guān)鍵技術(shù)研究[D];天津大學(xué);2006年

4 滕少華;基于對(duì)象監(jiān)控的分布式協(xié)同入侵檢測[D];廣東工業(yè)大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 陳土生;基于行為分析的SCADA系統(tǒng)異常檢測方法研究[D];廣東工業(yè)大學(xué);2019年

2 謝文利;交通監(jiān)控系統(tǒng)中行人檢測方法的研究[D];成都理工大學(xué);2019年

3 藺華慶;應(yīng)用層網(wǎng)絡(luò)隧道檢測技術(shù)研究[D];西安電子科技大學(xué);2019年

4 趙靜;遙感圖像層次化目標(biāo)檢測方法研究[D];哈爾濱工業(yè)大學(xué);2019年

5 毛科棟;基于深度學(xué)習(xí)的房顫檢測[D];浙江工業(yè)大學(xué);2019年

6 李承前;基于深度學(xué)習(xí)的行人檢測方法的研究[D];中國石油大學(xué)(華東);2017年

7 高苗;基于姿態(tài)分析的摔倒檢測研究與實(shí)現(xiàn)[D];上海師范大學(xué);2019年

8 李昭青;基于視頻的行人檢測研究[D];山東大學(xué);2019年

9 房有麗;基于知識(shí)圖譜的虛假評(píng)論檢測方法研究[D];山東師范大學(xué);2019年

10 吳楚婷;基于用戶網(wǎng)絡(luò)數(shù)據(jù)指紋的異常行為檢測研究[D];北京郵電大學(xué);2019年

本文編號(hào)：2850742