隨著通信技術(shù)發(fā)展、網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,互聯(lián)網(wǎng)已經(jīng)成為人們生活中不可或缺的一部分。與此同時,以惡意軟件為載體的網(wǎng)絡(luò)攻擊活動日益猖獗,例如拒絕服務(wù)攻擊、勒索攻擊、竊密攻擊等,因此如何快速準(zhǔn)確的識別惡意軟件是構(gòu)建安全可靠網(wǎng)絡(luò)體系的重要一環(huán)。目前很多惡意軟件采用HTTP協(xié)議通信,將自身流量隱藏在大量正常HTTP流量中,不僅增加了自身的隱蔽性,同時也實(shí)現(xiàn)了防火墻的穿透。針對于該類惡意軟件的檢測目前多集中于流量的局部特征,雖然可以識別惡意軟件,但是存在較高的誤報率和漏報率。針對上述問題,本文分析了用戶訪問產(chǎn)生的HTTP流量之間的關(guān)聯(lián)關(guān)系,對惡意軟件網(wǎng)絡(luò)活動產(chǎn)生的HTTP流量特征進(jìn)行挖掘,在此基礎(chǔ)上,進(jìn)一步研究現(xiàn)有惡意軟件流量檢測的相關(guān)學(xué)術(shù)成果,提出了結(jié)合HTTP關(guān)聯(lián)性和多維特征的惡意軟件檢測方法。該方法由兩部分組成:構(gòu)建用戶HTTP請求關(guān)聯(lián)圖過濾可疑流量和可疑HTTP流量的多維特征檢測。重構(gòu)用戶HTTP請求關(guān)聯(lián)圖過濾可疑流量方法首先通過HTTP數(shù)據(jù)包中的多個字段并且結(jié)合機(jī)器學(xué)習(xí)算法將用戶一段時間內(nèi)直接或者間接訪問產(chǎn)生的HTTP請求流量按照層級關(guān)系連接,從而過濾出無關(guān)聯(lián)的可疑流量。大幅縮減系統(tǒng)處理的數(shù)... 

【文章來源】：電子科技大學(xué)四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：82 頁

【學(xué)位級別】：碩士

【部分圖文】：

中心結(jié)構(gòu)僵尸網(wǎng)絡(luò)在早期，這種C&C結(jié)構(gòu)的僵尸網(wǎng)絡(luò)通常采用IRC（InternetRelayChat）協(xié)議

電子科技大學(xué)碩士學(xué)位論文8對該類型僵尸網(wǎng)絡(luò)檢測的主要難點(diǎn)所在。Fast-flux是指單域名和多IP地址映射技術(shù)，它可以頻繁變更域名所綁定的IP地址，該技術(shù)隱藏了母體主機(jī)，并且與網(wǎng)站CDN技術(shù)在流量特征上非常相似，所以檢測追蹤起來難度很大。Domain-Flux是一種多域名單IP映射技術(shù)，其核心是DGA算法，該算法利用日期、社交網(wǎng)絡(luò)搜索熱詞、隨機(jī)數(shù)字、字典、硬件編碼等信息生成域名，頻繁變更的通信域名讓僵尸網(wǎng)絡(luò)變得靈活，難以屏蔽。為了能夠徹底克服中心控制C&C單點(diǎn)失效的問題，分布式結(jié)構(gòu)僵尸網(wǎng)絡(luò)[30]開始出現(xiàn)。分布式結(jié)構(gòu)僵尸網(wǎng)絡(luò)如圖2-2所示，這種C&C結(jié)構(gòu)下的僵尸主機(jī)可以同時扮演客戶端和服務(wù)器的角色，一旦某個節(jié)點(diǎn)被識別和封堵，其他節(jié)點(diǎn)依然可以作為資源的提供者和傳遞者，相對于中心結(jié)構(gòu)更加健壯和靈活。圖2-2分布式結(jié)構(gòu)僵尸網(wǎng)絡(luò)目前分布式C&C結(jié)構(gòu)主要通過P2P技術(shù)來實(shí)現(xiàn)，P2P又稱對等網(wǎng)絡(luò)，各節(jié)點(diǎn)處于平等的地位，既可以作為客戶端向網(wǎng)絡(luò)中其他節(jié)點(diǎn)請求服務(wù)，也可以作為服務(wù)器處理來自其他節(jié)點(diǎn)發(fā)來的請求。P2P僵尸網(wǎng)絡(luò)充分利用了P2P的特性，使得充當(dāng)控制服務(wù)器的節(jié)點(diǎn)不再單一，攻擊者可以通過任一節(jié)點(diǎn)控制整個僵尸網(wǎng)絡(luò)，P2P僵尸網(wǎng)絡(luò)解決了IRC和HTTP類型僵尸網(wǎng)絡(luò)存在的單點(diǎn)失效問題，但其實(shí)現(xiàn)較為復(fù)雜，并且存在命令認(rèn)證不完備，容易受到污染攻擊等缺陷�；旌辖Y(jié)構(gòu)僵尸網(wǎng)絡(luò)如圖2-3所示，它是以上兩種C&C結(jié)構(gòu)僵尸網(wǎng)絡(luò)的結(jié)合應(yīng)用，充分利用了以上兩種結(jié)構(gòu)各自的優(yōu)勢。

第二章惡意軟件相關(guān)內(nèi)容研究9圖2-3混合結(jié)構(gòu)僵尸網(wǎng)絡(luò)混合結(jié)構(gòu)僵尸網(wǎng)絡(luò)由代理層和工作層組成[31]。代理層的僵尸主機(jī)可以同時以客戶端和服務(wù)端的形式存在，這些主機(jī)擁有靜態(tài)地址和路由地址，可以接收流入的連接，并且使用對稱性密鑰對其進(jìn)行加密，最大程度繞過僵尸網(wǎng)絡(luò)檢測機(jī)制。工作層的僵尸主機(jī)只能作為客戶端存在，它們配置動態(tài)的不可路由的地址，位于防火墻的后端，為了減少暴露的機(jī)會，只會定期和相應(yīng)代理層的僵尸主機(jī)進(jìn)行通信來獲取惡意指令。復(fù)雜的運(yùn)行機(jī)制為這種結(jié)構(gòu)的僵尸主機(jī)帶來了高度的擴(kuò)展性，極大提升了僵尸網(wǎng)絡(luò)的健壯性，安全人員無法做到對整個僵尸網(wǎng)絡(luò)規(guī)模的探測和徹底的封停。2.1.2勒索軟件勒索軟件是一種流行的木馬[32]，它通過騷擾、恐嚇甚至采用綁架用戶文件等方式使用戶喪失對計算機(jī)資源或者數(shù)據(jù)資產(chǎn)的使用權(quán)限，并以此為條件要求受害者以加密貨幣或者其他方式支付贖金，從而完成最終獲利。目前大部分勒索軟件攻擊流程可以分為圖2-4所示的五個部分。1、軟件部署。勒索軟件通過惡意下載、網(wǎng)絡(luò)釣魚、系統(tǒng)漏洞等方式部署到目標(biāo)主機(jī)上，完成系統(tǒng)入侵行為。2、環(huán)境檢測。勒索軟件會對當(dāng)前運(yùn)行環(huán)境進(jìn)行檢測，如果判定運(yùn)行在沙箱或

【參考文獻(xiàn)】：
期刊論文
[1]惡意域名檢測研究與應(yīng)用綜述[J]. 王媛媛,吳春江,劉啟和,譚浩,周世杰.  計算機(jī)應(yīng)用與軟件. 2019(09)
[2]基于加權(quán)支持向量機(jī)的Domain Flux僵尸網(wǎng)絡(luò)域名檢測方法研究[J]. 宋金偉,楊進(jìn),李濤.  信息網(wǎng)絡(luò)安全. 2018(12)
[3]Mirai僵尸網(wǎng)絡(luò)惡意程序分析和監(jiān)測數(shù)據(jù)研究[J]. 陳亞亮,戴沁蕓,吳海燕,魏征.  網(wǎng)絡(luò)與信息安全學(xué)報. 2017(08)
[4]僵尸網(wǎng)絡(luò)綜述[J]. 崔麗娟,馬衛(wèi)國,趙巍,景秋實(shí).  信息安全研究. 2017(07)
[5]勒索軟件簡史[J].   中國信息安全. 2017(04)
[6]基于機(jī)遇和挑戰(zhàn)謀略發(fā)展和安全——比較中解讀《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》[J]. 朱莉欣,韓曉陽.  信息安全與通信保密. 2017(02)
[7]Scapy在網(wǎng)絡(luò)設(shè)備安全性測試中的應(yīng)用[J]. 李兆斌,茅方毅,王瑤君,劉倩.  北京電子科技學(xué)院學(xué)報. 2016(04)
[8]僵尸網(wǎng)絡(luò)綜述[J]. 方濱興,崔翔,王威.  計算機(jī)研究與發(fā)展. 2011(08)
[9]CC攻擊檢測方法研究[J]. 陳仲華,張連營,王孝明.  電信科學(xué). 2009(05)

博士論文
[1]基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測方法研究[D]. 王偉.中國科學(xué)技術(shù)大學(xué) 2018
[2]基于譜分析與統(tǒng)計機(jī)器學(xué)習(xí)的DDoS攻擊檢測技術(shù)研究[D]. 陳世文.解放軍信息工程大學(xué) 2013

碩士論文
[1]惡意代碼的網(wǎng)絡(luò)行為分析與識別技術(shù)研究[D]. 汪堯.西安電子科技大學(xué) 2017



本文編號：3110037