發(fā)布時間：2021-03-03 19:46

　　隨著全球網絡信息化腳步的加快,各個企業(yè)、機構數據也在向網絡化、數字化靠攏,但也給了非法技術人員監(jiān)控企業(yè)、機構以及獲取私有數據的機會。另外,攻擊者往往會針對攻擊目標插入特定后門、木馬或者其他監(jiān)控軟件,以達到對企業(yè)、機構長期控制的目的。目前常用的惡意軟件有Gh0st、DarkComet、Hupigon等,而在APT攻擊中,為了更加隱蔽,攻擊者往往會對惡意軟件進行改進,使得惡意軟件變種越來越多。目前對惡意軟件的檢測往往采用特征碼匹配、以及直接采用靜態(tài)流量信息結合機器學習進行分類,很難應對日漸增多的變種APT惡意軟件。對于上述問題,本文通過研究最新的惡意軟件檢測方式,提出一種惡意軟件流量檢測以及區(qū)分惡意流量屬于哪種惡意軟件的方法。主要研究內容及創(chuàng)新點如下:1.首先對APT惡意軟件流量進行特征提取及差異性分析,本文提取了流量數據包中數據報文時間、端口號、標志位等靜態(tài)信息。然后分析了不同惡意軟件數據報文傳輸時間差變化規(guī)律、端口號變化規(guī)律、TCP標志位變化規(guī)律等,分析結果發(fā)現不同類別軟件流量在時間維度上的變化曲線具有一定差異性。2.根據上述分析結果,提出一種基于LSTM的流量時序特征提取方法。首先針... 

【文章來源】：電子科技大學四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數】：79 頁

【學位級別】：碩士

【部分圖文】：

Frame層結構信息

電子科技大學碩士學位論文100x0806含義是ARP等。本文主要討論下層為IP層的信息。圖2-3Ethernet層結構信息2.2.2IP層報文結構信息IP層屬于數據報文信息的第二層，頭部信息主要有IP版本信息（ipv4還是ipv6）、源IP地址Source、目標IP地址Destination、IP頭部長度HeaderLength、數據總長度(包括IP頭長度)TotalLength、協議下層是什么協議Protocol（IP_PROTO_UDP=17#UDP，IP_PROTO_TCP=6#TCP）、服務類型（默認為0）、生存時間Timetolive、IP段頭部信息校驗和Headerchecksum，具體結構如表2-2所示：表2-2數據報文IP段結構01……3031版本號（4bit）頭長度（4bit）TOS（8bit）總數據長度（16bit）flags字段（16bit）標志（3bit）段偏移（13bit）TTL（8bit）下層協議類型（8bit）校驗和（16bit）源IP地址目的IP地址下層數據2.2.3UDP報文結構信息UDP數據包中包含Frame段、Ethernet段、IP段、UDP段，它們依次排列。UDP和TCP位于IP層下面一層，UDP由于不像TCP需要保持可靠性，結構比較簡單。UDP段主要信息有4個部分，結構如圖2-4所示。

第二章APT惡意軟件流量相關研究11圖2-4UDP段結構信息2.2.4TCP報文結構信息TCP協議為了保證傳輸的完整性，主要增加了SEQ和ACK兩個字段，用來對傳輸信息進行確認；同時還增加了flags標志段，用來表示連接過程中的傳輸狀態(tài)。詳細結構如表2-3所示：表2-3數據報文TCP段結構01……3031源端口號（16bit）目的端口號（16bit）序列號SEQ（32bit）確認號ACK（32bit）首部長度（4bit）flags標志位（12bit）窗口大小WIN（16bit）校驗和（16bit）緊急指針（16bit）選項其中Flags共12位，每一位分別表示不同信息，不同位的值可以組合表示不同含義，如0x010=16表示回應SYN的確認號，0x011=20表示FIN-ACK，具體含義如表2-4所示：表2-4標志位含義標志位標志名稱標志含義Reserved[0-6)位保留字段Urgent第6位16bit緊急數據點Ack第7位確認標志對數據的確認信息PUSH第8位推送標志有DATA數據傳輸Reset第9位復位標志TCP連接重置Syn第10位同步標志TCP握手階段信息Fin第11位結束標志表示關閉連接

【參考文獻】：
期刊論文
[1]基于大數據和人工智能技術的信息安全態(tài)勢感知系統(tǒng)研究[J]. 劉雅娟,胡榮.  中小企業(yè)管理與科技(中旬刊). 2019(09)
[2]淺談計算機惡意軟件的危害及防范[J]. 鄭翔翼.  科技與創(chuàng)新. 2018(01)
[3]計算機惡意軟件的危害及防范[J]. 吳涵之.  電子技術與軟件工程. 2017(18)
[4]基于通信特征的APT攻擊檢測方法[J]. 戴震,程光.  計算機工程與應用. 2017(18)
[5]面向DGA類型Bot的命令控制通信過程研究[J]. 郭曉軍.  網絡安全技術與應用. 2017(08)
[6]基于階段特性的APT攻擊行為分類與評估方法[J]. 楊豪璞,王坤.  計算機工程與應用. 2017(22)
[7]基于樹型結構的APT攻擊預測方法[J]. 張小松,牛偉納,楊國武,卓中流,呂鳳毛.  電子科技大學學報. 2016(04)
[8]基于大數據分析的APT攻擊檢測研究綜述[J]. 付鈺,李洪成,吳曉平,王甲生.  通信學報. 2015(11)
[9]惡意代碼反分析與分析綜述[J]. 高玉新,張怡,唐勇,盧澤新.  小型微型計算機系統(tǒng). 2015(10)
[10]面向APT攻擊的關聯分析檢測模型研究[J]. 李杰,樓芳,金渝筌,董智馨.  計算機工程與科學. 2015(08)

碩士論文
[1]基于DNS日志數據的異常域名檢測研究[D]. 朱迦南.電子科技大學 2018
[2]基于操作碼序列和機器學習的惡意程序檢測技術研究[D]. 李鵬飛.北京郵電大學 2017
[3]基于虛擬化的沙箱防御技術的研究與實現[D]. 趙廣強.廣東工業(yè)大學 2015
[4]基于操作碼序列的靜態(tài)惡意代碼檢測方法的研究[D]. 盧占軍.哈爾濱工業(yè)大學 2013



本文編號：3061830