近幾年來,網(wǎng)絡(luò)攻擊隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用而層出不窮,特別是APT攻擊,更加成為了對國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展的重要威脅。而APT攻擊離不開木馬軟件的應(yīng)用,因此,分析APT木馬網(wǎng)絡(luò)行為特征,從而識別攻擊行為有著至關(guān)重要的作用。本文對APT木馬網(wǎng)絡(luò)行為特征提取技術(shù)進行研究,提出一種木馬網(wǎng)絡(luò)協(xié)議逆向方法,通過該方法實現(xiàn)對于木馬網(wǎng)絡(luò)行為特征的自動化提取。該網(wǎng)絡(luò)協(xié)議逆向方法的理論依據(jù)主要為同一網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)通信數(shù)據(jù)的自身內(nèi)部約束所產(chǎn)生的統(tǒng)計規(guī)律。首先通過部署沙盒環(huán)境,包括木馬運行環(huán)境以及網(wǎng)絡(luò)環(huán)境,以此捕獲木馬受控端通信數(shù)據(jù)。在對通信數(shù)據(jù)經(jīng)過Token序列化預(yù)處理后,再對預(yù)處理的Token序列應(yīng)用序列比對以及聚類算法進行進一步的分析,并在聚類過程中不斷調(diào)整Token的劃分。從而使Token的劃分不斷逼近真實的協(xié)議格式,最終得到逆向后的網(wǎng)絡(luò)協(xié)議格式。通過對逆向后的協(xié)議格式進行分析,從中提取網(wǎng)絡(luò)特征。該自動化分析方法由于通過沙盒上下文信息支持一定的語義分析,能夠動態(tài)對變長數(shù)據(jù)域的協(xié)議格式進行動態(tài)調(diào)整。實驗表明,本文所述的APT木馬網(wǎng)絡(luò)行為自動化分析原型系統(tǒng)對于文本型網(wǎng)絡(luò)協(xié)議的木馬、二進制型網(wǎng)絡(luò)協(xié)議... 

【文章來源】：上海交通大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學(xué)位級別】：碩士

【部分圖文】：

主動連接型Fig.2-1Activeconnection

圖 2-2 被動連接型Fig.2-2 Passive connection捕獲的捕獲，需要滿足幾個條件：馬受控端運行環(huán)境；部虛擬網(wǎng)絡(luò)環(huán)境；與流量捕獲；條件所需技術(shù)與原理進行介紹。境的可靠性是指：在提供木馬受控能讓樣本真正獲取系統(tǒng)的訪問權(quán)限沙盒技術(shù)的支持。門應(yīng)用于惡意軟件分析的開源沙盒

圖 2-3 域名系統(tǒng)結(jié)構(gòu)Fig.2-3 Domain Name System StructureS 服務(wù)所提供的最主要功能就是 DNS 查詢，DNS 查詢又可以分查詢兩種。一般而言，客戶端所設(shè)置的 DNS 服務(wù)器采用的是遞權(quán)代理完整的域名查詢，而其他的 DNS 服務(wù)器采用的是迭代bbb.edu 這一個域名地址為例，DNS 查詢過程如下：） 客戶端向設(shè)置的 DNS 服務(wù)器發(fā)送 aa.bbb.edu 這一個域名地） 如果 DNS 服務(wù)器檢測 DNS 緩存發(fā)現(xiàn)緩存命中，則直接返向根域名服務(wù)器發(fā)送 aa.bbb.edu 的查詢請求，根域名服務(wù)器返名服務(wù)器地址。） DNS 服務(wù)器向.edu 域權(quán)威域名服務(wù)器發(fā)送 aa.bbb.edu u 權(quán)威域名服務(wù)器返回.bbb.edu 域的權(quán)威域名服務(wù)器地址。） DNS 服務(wù)器向.bbb.edu 權(quán)威域名服務(wù)器發(fā)送 aa.bbb.edu b.edu 權(quán)威域名服務(wù)器返回 aa.bbb.edu 的地址。

【參考文獻】：
期刊論文
[1]網(wǎng)絡(luò)編碼協(xié)議污點回溯逆向分析方法研究[J]. 高君豐,張岳峰,羅森林,張笈.  信息網(wǎng)絡(luò)安全. 2017(01)
[2]基于概率比對的通信協(xié)議格式逆向分析方法[J]. 孟凡治,李桐,劉淵,張春瑞.  計算機工程與設(shè)計. 2016(09)
[3]基于最大似然概率的協(xié)議關(guān)鍵詞長度確定方法[J]. 羅建楨,余順爭,蔡君.  通信學(xué)報. 2016(06)
[4]基于主動學(xué)習(xí)和SVM方法的網(wǎng)絡(luò)協(xié)議識別技術(shù)[J]. 王一鵬,云曉春,張永錚,李書豪.  通信學(xué)報. 2013(10)
[5]基于動態(tài)污點分析的惡意代碼通信協(xié)議逆向分析方法[J]. 劉豫,王明華,蘇璞睿,馮登國.  電子學(xué)報. 2012(04)
[6]惡意軟件網(wǎng)絡(luò)協(xié)議的語法和行為語義分析方法[J]. 應(yīng)凌云,楊軼,馮登國,蘇璞睿.  軟件學(xué)報. 2011(07)
[7]聚類算法研究[J]. 孫吉貴,劉杰,趙連宇.  軟件學(xué)報. 2008(01)

碩士論文
[1]基于EDSM的二進制協(xié)議狀態(tài)機逆向[D]. 王軍.哈爾濱工業(yè)大學(xué) 2016
[2]未知協(xié)議逆向分析關(guān)鍵技術(shù)研究[D]. 王慶亮.北方工業(yè)大學(xué) 2015



本文編號：3417883