隨著信息化進(jìn)程不斷深入,大量設(shè)備、數(shù)據(jù)接入了互聯(lián)網(wǎng),給社會(huì)生活帶來巨大便利的同時(shí)也引發(fā)了嚴(yán)峻的安全挑戰(zhàn)。一方面,各類網(wǎng)絡(luò)攻擊層出不窮,大量數(shù)據(jù)泄露事件頻現(xiàn)報(bào)端;另一方面,流量混淆工具的廣泛使用使得一些網(wǎng)絡(luò)流量審查機(jī)制疲于應(yīng)對。網(wǎng)絡(luò)攻擊工具與流量混淆工具的使用目的雖然不同,二者在規(guī)避流量檢測方面采用的技術(shù)卻相似。隨著加密技術(shù)的廣泛應(yīng)用,傳統(tǒng)的基于深度包檢測的方法逐漸失效。目前,網(wǎng)絡(luò)安全防御者和流量審查者面臨的共同挑戰(zhàn)是:如何在不影響正常業(yè)務(wù)的同時(shí)從規(guī)模日益增長的網(wǎng)絡(luò)流量中準(zhǔn)確識(shí)別出攻擊或混淆流量。目前規(guī)避流量檢測的主要方法是混淆,即偽裝成正常業(yè)務(wù)流量,具體分為隨機(jī)化、擬態(tài)和隧道三種技術(shù)。如果一種混淆流量與正常業(yè)務(wù)流量足夠相似,檢測系統(tǒng)的誤報(bào)率就會(huì)急劇升高,為了不影響正常業(yè)務(wù),檢測系統(tǒng)將不得不放棄對此類混淆流量的封鎖。為增強(qiáng)隱蔽性,一些混淆工具選擇目前使用廣泛的HTTPS網(wǎng)絡(luò)協(xié)議進(jìn)行偽裝。例如,Meterpreter是Metasploit滲透測試框架中一款高級動(dòng)態(tài)攻擊工具。為規(guī)避流量檢測,該工具衍生出包括基于HTTPS協(xié)議的隧道在內(nèi)的數(shù)個(gè)變種,但目前業(yè)界公開的對其流量進(jìn)行識(shí)別的研究較少。又... 

【文章頁數(shù)】：111 頁

【學(xué)位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
符號對照表
縮略語對照表
第一章 緒論
    1.1 研究背景與選題意義
    1.2 混淆流量識(shí)別技術(shù)研究現(xiàn)狀
        1.2.1 網(wǎng)絡(luò)流量混淆背景
        1.2.2 網(wǎng)絡(luò)流量混淆工具
        1.2.3 隧道流量檢測現(xiàn)狀
    1.3 本文工作內(nèi)容與組織安排
    1.4 本章小結(jié)
第二章 相關(guān)背景知識(shí)
    2.1 隧道通信技術(shù)與HTTPS網(wǎng)絡(luò)協(xié)議
        2.1.1 隧道技術(shù)背景知識(shí)
        2.1.2 HTTPS協(xié)議背景知識(shí)
    2.2 基于HTTPS協(xié)議的隧道技術(shù)
        2.2.1 HTTPS隧道原理簡介
        2.2.2 HTTPS隧道特點(diǎn)分析
        2.2.3 HTTPS隧道典型工具
    2.3 機(jī)器學(xué)習(xí)背景知識(shí)
        2.3.1 基本原理和主要類別
        2.3.2 監(jiān)督學(xué)習(xí)和統(tǒng)計(jì)分類
        2.3.3 統(tǒng)計(jì)分類的評價(jià)指標(biāo)
    2.4 本章小結(jié)
第三章 網(wǎng)絡(luò)流量分類與隧道流量檢測技術(shù)
    3.1 網(wǎng)絡(luò)流量分類相關(guān)概念
    3.2 網(wǎng)絡(luò)流量分類技術(shù)類別
        3.2.1 基于端口信息的方法
        3.2.2 基于有效負(fù)載的方法
        3.2.3 基于主機(jī)行為的方法
        3.2.4 基于統(tǒng)計(jì)特征的方法
    3.3 隧道流量檢測技術(shù)類別
        3.3.1 隧道檢測與流量分類的關(guān)系
        3.3.2 基于深度包檢測的隧道流量識(shí)別技術(shù)
        3.3.3 基于機(jī)器學(xué)習(xí)的隧道流量識(shí)別技術(shù)
    3.4 本章小結(jié)
第四章 基于指紋與統(tǒng)計(jì)特征的HTTPS隧道流量檢測方案
    4.1 HTTPS隧道流量檢測方案概述
        4.1.1 HTTPS隧道威脅模型
        4.1.2 HTTPS隧道流量檢測方案邏輯框架
    4.2 HTTPS指紋特征設(shè)計(jì)
        4.2.2 服務(wù)器合法性評估
        4.2.3 客戶端加密套件評估
        4.2.4 客戶端擴(kuò)展支持評估
        4.2.5 TLS會(huì)話標(biāo)識(shí)評估
    4.3 HTTPS統(tǒng)計(jì)特征設(shè)計(jì)
        4.3.2 握手階段的空間特征
        4.3.3 業(yè)務(wù)階段的空間特征
        4.3.4 業(yè)務(wù)階段的時(shí)間特征
    4.4 隧道檢測方案模塊功能介紹
        4.4.1 樣本采集模塊
        4.4.2 特征提取模塊
        4.4.3 模型構(gòu)建模塊
    4.5 本章小結(jié)
第五章 HTTPS隧道流量檢測系統(tǒng)工程實(shí)現(xiàn)
    5.1 HTTPS隧道流量檢測系統(tǒng)概述
        5.1.1 系統(tǒng)開發(fā)背景信息
        5.1.2 系統(tǒng)開發(fā)總體架構(gòu)
    5.2 樣本采集模塊的工程實(shí)現(xiàn)
        5.2.1 樣本采集環(huán)境
        5.2.2 TCP流提取過程
        5.2.3 樣本采集結(jié)果
    5.3 特征提取模塊的工程實(shí)現(xiàn)
        5.3.1 原始特征提取
        5.3.2 指紋和統(tǒng)計(jì)特征提取
        5.3.3 特征提取結(jié)果
    5.4 模型構(gòu)建模塊的工程實(shí)現(xiàn)
        5.4.2 訓(xùn)練分類模型
        5.4.3 評估模型效果
    5.5 本章小結(jié)
第六章 HTTPS隧道流量檢測系統(tǒng)效果評估
    6.1 Meterpreter HTTPS隧道流量檢測效果評估
        6.1.1 分類算法檢測效果對比
        6.1.2 特征重要性分析
    6.2 Shadowsocks Obfs隧道流量檢測效果評估
        6.2.1 分類算法檢測效果對比
        6.2.2 特征重要性分析
    6.3 兩種隧道流量檢測效果及特征重要性對比
        6.3.1 隧道流量檢測效果對比
        6.3.2 特征重要性對比
    6.4 本章小結(jié)
第七章 總結(jié)與展望
    7.1 論文工作總結(jié)
    7.2 后續(xù)研究工作
參考文獻(xiàn)
致謝
作者簡介


【參考文獻(xiàn)】：
期刊論文
[1]流量混淆技術(shù)及相應(yīng)識(shí)別、追蹤技術(shù)研究綜述[J]. 姚忠將,葛敬國,張瀟丹,鄭宏波,鄒壯,孫焜焜,許子豪.  軟件學(xué)報(bào). 2018(10)
[2]基于云流量混淆的Tor匿名通信識(shí)別方法[J]. 何永忠,李響,陳美玲,王偉.  工程科學(xué)與技術(shù). 2017(02)
[3]基于改進(jìn)聚類分析的網(wǎng)絡(luò)流量異常檢測方法[J]. 李洪成,吳曉平,姜洪海.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2015(01)
[4]匿名通信系統(tǒng)不可觀測性度量方法[J]. 譚慶豐,時(shí)金橋,方濱興,郭莉,張文濤,王學(xué)賓,衛(wèi)冰潔.  計(jì)算機(jī)研究與發(fā)展. 2015(10)
[5]網(wǎng)絡(luò)流量分類研究進(jìn)展與展望[J]. 熊剛,孟姣,曹自剛,王勇,郭莉,方濱興.  集成技術(shù). 2012(01)
[6]基于信息熵的流量識(shí)別方法[J]. 吳震,劉興彬,童曉民.  計(jì)算機(jī)工程. 2009(20)

博士論文
[1]基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測方法研究[D]. 王偉.中國科學(xué)技術(shù)大學(xué) 2018
[2]隱蔽式網(wǎng)絡(luò)攻擊檢測關(guān)鍵問題研究[D]. 曹自剛.北京郵電大學(xué) 2015

碩士論文
[1]Obfs4匿名網(wǎng)絡(luò)流量識(shí)別研究[D]. 高睿.北京交通大學(xué) 2018



本文編號：3713000