隨著全球網(wǎng)絡(luò)信息化腳步的加快,各個(gè)企業(yè)、機(jī)構(gòu)數(shù)據(jù)也在向網(wǎng)絡(luò)化、數(shù)字化靠攏,但也給了非法技術(shù)人員監(jiān)控企業(yè)、機(jī)構(gòu)以及獲取私有數(shù)據(jù)的機(jī)會(huì)。另外,攻擊者往往會(huì)針對(duì)攻擊目標(biāo)插入特定后門、木馬或者其他監(jiān)控軟件,以達(dá)到對(duì)企業(yè)、機(jī)構(gòu)長(zhǎng)期控制的目的。目前常用的惡意軟件有Gh0st、DarkComet、Hupigon等,而在APT攻擊中,為了更加隱蔽,攻擊者往往會(huì)對(duì)惡意軟件進(jìn)行改進(jìn),使得惡意軟件變種越來越多。目前對(duì)惡意軟件的檢測(cè)往往采用特征碼匹配、以及直接采用靜態(tài)流量信息結(jié)合機(jī)器學(xué)習(xí)進(jìn)行分類,很難應(yīng)對(duì)日漸增多的變種APT惡意軟件。對(duì)于上述問題,本文通過研究最新的惡意軟件檢測(cè)方式,提出一種惡意軟件流量檢測(cè)以及區(qū)分惡意流量屬于哪種惡意軟件的方法。主要研究?jī)?nèi)容及創(chuàng)新點(diǎn)如下:1.首先對(duì)APT惡意軟件流量進(jìn)行特征提取及差異性分析,本文提取了流量數(shù)據(jù)包中數(shù)據(jù)報(bào)文時(shí)間、端口號(hào)、標(biāo)志位等靜態(tài)信息。然后分析了不同惡意軟件數(shù)據(jù)報(bào)文傳輸時(shí)間差變化規(guī)律、端口號(hào)變化規(guī)律、TCP標(biāo)志位變化規(guī)律等,分析結(jié)果發(fā)現(xiàn)不同類別軟件流量在時(shí)間維度上的變化曲線具有一定差異性。2.根據(jù)上述分析結(jié)果,提出一種基于LSTM的流量時(shí)序特征提取方法。首先針... 

【文章來源】：電子科技大學(xué)四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

Frame層結(jié)構(gòu)信息

電子科技大學(xué)碩士學(xué)位論文100x0806含義是ARP等。本文主要討論下層為IP層的信息。圖2-3Ethernet層結(jié)構(gòu)信息2.2.2IP層報(bào)文結(jié)構(gòu)信息IP層屬于數(shù)據(jù)報(bào)文信息的第二層，頭部信息主要有IP版本信息（ipv4還是ipv6）、源IP地址Source、目標(biāo)IP地址Destination、IP頭部長(zhǎng)度HeaderLength、數(shù)據(jù)總長(zhǎng)度(包括IP頭長(zhǎng)度)TotalLength、協(xié)議下層是什么協(xié)議Protocol（IP_PROTO_UDP=17#UDP，IP_PROTO_TCP=6#TCP）、服務(wù)類型（默認(rèn)為0）、生存時(shí)間Timetolive、IP段頭部信息校驗(yàn)和Headerchecksum，具體結(jié)構(gòu)如表2-2所示：表2-2數(shù)據(jù)報(bào)文IP段結(jié)構(gòu)01……3031版本號(hào)（4bit）頭長(zhǎng)度（4bit）TOS（8bit）總數(shù)據(jù)長(zhǎng)度（16bit）flags字段（16bit）標(biāo)志（3bit）段偏移（13bit）TTL（8bit）下層協(xié)議類型（8bit）校驗(yàn)和（16bit）源IP地址目的IP地址下層數(shù)據(jù)2.2.3UDP報(bào)文結(jié)構(gòu)信息UDP數(shù)據(jù)包中包含F(xiàn)rame段、Ethernet段、IP段、UDP段，它們依次排列。UDP和TCP位于IP層下面一層，UDP由于不像TCP需要保持可靠性，結(jié)構(gòu)比較簡(jiǎn)單。UDP段主要信息有4個(gè)部分，結(jié)構(gòu)如圖2-4所示。

第二章APT惡意軟件流量相關(guān)研究11圖2-4UDP段結(jié)構(gòu)信息2.2.4TCP報(bào)文結(jié)構(gòu)信息TCP協(xié)議為了保證傳輸?shù)耐暾裕饕黾恿薙EQ和ACK兩個(gè)字段，用來對(duì)傳輸信息進(jìn)行確認(rèn)；同時(shí)還增加了flags標(biāo)志段，用來表示連接過程中的傳輸狀態(tài)。詳細(xì)結(jié)構(gòu)如表2-3所示：表2-3數(shù)據(jù)報(bào)文TCP段結(jié)構(gòu)01……3031源端口號(hào)（16bit）目的端口號(hào)（16bit）序列號(hào)SEQ（32bit）確認(rèn)號(hào)ACK（32bit）首部長(zhǎng)度（4bit）flags標(biāo)志位（12bit）窗口大小WIN（16bit）校驗(yàn)和（16bit）緊急指針（16bit）選項(xiàng)其中Flags共12位，每一位分別表示不同信息，不同位的值可以組合表示不同含義，如0x010=16表示回應(yīng)SYN的確認(rèn)號(hào)，0x011=20表示FIN-ACK，具體含義如表2-4所示：表2-4標(biāo)志位含義標(biāo)志位標(biāo)志名稱標(biāo)志含義Reserved[0-6)位保留字段Urgent第6位16bit緊急數(shù)據(jù)點(diǎn)Ack第7位確認(rèn)標(biāo)志對(duì)數(shù)據(jù)的確認(rèn)信息PUSH第8位推送標(biāo)志有DATA數(shù)據(jù)傳輸Reset第9位復(fù)位標(biāo)志TCP連接重置Syn第10位同步標(biāo)志TCP握手階段信息Fin第11位結(jié)束標(biāo)志表示關(guān)閉連接

【參考文獻(xiàn)】：
期刊論文
[1]基于大數(shù)據(jù)和人工智能技術(shù)的信息安全態(tài)勢(shì)感知系統(tǒng)研究[J]. 劉雅娟,胡榮.  中小企業(yè)管理與科技(中旬刊). 2019(09)
[2]淺談?dòng)?jì)算機(jī)惡意軟件的危害及防范[J]. 鄭翔翼.  科技與創(chuàng)新. 2018(01)
[3]計(jì)算機(jī)惡意軟件的危害及防范[J]. 吳涵之.  電子技術(shù)與軟件工程. 2017(18)
[4]基于通信特征的APT攻擊檢測(cè)方法[J]. 戴震,程光.  計(jì)算機(jī)工程與應(yīng)用. 2017(18)
[5]面向DGA類型Bot的命令控制通信過程研究[J]. 郭曉軍.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2017(08)
[6]基于階段特性的APT攻擊行為分類與評(píng)估方法[J]. 楊豪璞,王坤.  計(jì)算機(jī)工程與應(yīng)用. 2017(22)
[7]基于樹型結(jié)構(gòu)的APT攻擊預(yù)測(cè)方法[J]. 張小松,牛偉納,楊國(guó)武,卓中流,呂鳳毛.  電子科技大學(xué)學(xué)報(bào). 2016(04)
[8]基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J]. 付鈺,李洪成,吳曉平,王甲生.  通信學(xué)報(bào). 2015(11)
[9]惡意代碼反分析與分析綜述[J]. 高玉新,張怡,唐勇,盧澤新.  小型微型計(jì)算機(jī)系統(tǒng). 2015(10)
[10]面向APT攻擊的關(guān)聯(lián)分析檢測(cè)模型研究[J]. 李杰,樓芳,金渝筌,董智馨.  計(jì)算機(jī)工程與科學(xué). 2015(08)

碩士論文
[1]基于DNS日志數(shù)據(jù)的異常域名檢測(cè)研究[D]. 朱迦南.電子科技大學(xué) 2018
[2]基于操作碼序列和機(jī)器學(xué)習(xí)的惡意程序檢測(cè)技術(shù)研究[D]. 李鵬飛.北京郵電大學(xué) 2017
[3]基于虛擬化的沙箱防御技術(shù)的研究與實(shí)現(xiàn)[D]. 趙廣強(qiáng).廣東工業(yè)大學(xué) 2015
[4]基于操作碼序列的靜態(tài)惡意代碼檢測(cè)方法的研究[D]. 盧占軍.哈爾濱工業(yè)大學(xué) 2013



本文編號(hào)：3061830