【摘要】：僵尸網(wǎng)絡(luò)對于網(wǎng)絡(luò)安全變得越來越具有威脅性,其平臺性可使黑客進行分布式拒絕服務(wù)(DDoS:Distributed Denialof Service)攻擊、獲取虛擬貨幣、發(fā)送垃圾郵件等多種惡意活動,每年給全球造成的直接經(jīng)濟損失達數(shù)十億美元。另外,隨著各種物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng),網(wǎng)絡(luò)環(huán)境越來越復(fù)雜,這無疑使僵尸網(wǎng)絡(luò)檢測和追蹤的難度越來越大。僵尸網(wǎng)絡(luò)的檢測方面,由于其通常有潛伏期,期間宿主機的行為表現(xiàn)與正常主機一般無二,要在其實施惡意行為之前提前檢測就顯得比較困難。目前僵尸網(wǎng)絡(luò)的檢測方法為將網(wǎng)絡(luò)流量分析方法和主機行為分析方法相結(jié)合。前者分析主機間通信產(chǎn)生的流量,后者檢測主機是否具有可疑行為。網(wǎng)絡(luò)流量分析從網(wǎng)絡(luò)流量中進行特征提取以用多維向量來表示主機間的交互模式。其包含兩類方法,一類利用機器學(xué)習(xí)的分類方法在己知的僵尸網(wǎng)絡(luò)樣本中訓(xùn)練分類器,根據(jù)分類器來判斷當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在己知僵尸網(wǎng)絡(luò)。另一類利用機器學(xué)習(xí)的聚類算法對網(wǎng)絡(luò)環(huán)境中所有的主機交互模式進行聚類分析,根據(jù)聚類結(jié)果來分析可疑的主機群。聚類算法的不確定性導(dǎo)致這種方法通常具有較高的誤報率。針對這個問題,本文將圖論中的異常點檢測方法引入到僵尸網(wǎng)絡(luò)的檢測領(lǐng)域,提出將圖的異常點檢測方法與主機間交互模式相似性分析方法相結(jié)合的僵尸網(wǎng)絡(luò)檢測方法,可有效解決的誤報率過高的問題。實驗證明,本方法對多種協(xié)議(HTTP、TELNET)的集中式僵尸網(wǎng)絡(luò)檢測率達98%且誤報率低于1%。僵尸網(wǎng)絡(luò)的追蹤方面,在未使用匿名網(wǎng)絡(luò)的前提下,為了隱藏真實的CC(Command and Control)服務(wù)器地址以躲避追蹤,黑客會在服務(wù)器之前設(shè)置多個跳板。分析bot可以追蹤到最外層的跳板,但無法依次向上溯源�；诰W(wǎng)絡(luò)流水印的僵尸網(wǎng)絡(luò)追蹤方法可以有效解決這一問題,其通常在bot發(fā)往服務(wù)器的數(shù)據(jù)包上添加水印,再在網(wǎng)絡(luò)上檢測添加的水印。目前在網(wǎng)絡(luò)流水印領(lǐng)域己有多種通過調(diào)整網(wǎng)絡(luò)層數(shù)據(jù)包的水印追蹤方法,其主要難題是降低黑客在跳板處對數(shù)據(jù)流的加密、添加chaff包、分割流、重組數(shù)據(jù)包等情況對水印檢測的干擾。僵尸網(wǎng)絡(luò)的“心跳”數(shù)據(jù)包數(shù)量少導(dǎo)致這類方法不適用。另外,目前學(xué)術(shù)界對HTTP協(xié)議僵尸網(wǎng)絡(luò)追蹤方法的研究工作很少,其焦點主要在針對基于IRC協(xié)議僵尸網(wǎng)絡(luò)的追蹤方法上。其主要原因是IRC僵尸網(wǎng)絡(luò)中黑客與bot之間只能直接通信,研究IRC協(xié)議僵尸網(wǎng)絡(luò)的追蹤技術(shù)可直接追蹤到黑客IP地址。為了填補HTTP協(xié)議僵尸網(wǎng)絡(luò)追蹤研究領(lǐng)域的空白,本文為追蹤HTTP協(xié)議僵尸網(wǎng)絡(luò)真實CC服務(wù)器地址,提出了在應(yīng)用層添加冗余參數(shù)的動態(tài)水印追蹤方法,其可以有效規(guī)避數(shù)據(jù)包的流分割、包重組等現(xiàn)象。實驗表明,本方法追蹤真實CC服務(wù)器地址的成功率在85%以上。
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2019
【分類號】：TP393.08
【圖文】：

ＩｏＴ設(shè)備）的集合。這些設(shè)備也稱肉雞或者ｂｏｔ。惡意者通過發(fā)送一些內(nèi)置在惡意逡逑程序中的命令可使這些設(shè)備來在設(shè)備所屬者不知情的情況下執(zhí)行一些計算機指令逡逑以達到惡意目的【３８］。在不考慮僵尸網(wǎng)絡(luò)結(jié)構(gòu)的情況下，其定義如圖２－１所示。逡逑廠￣僵尸網(wǎng)絡(luò)逡逑b\0？逡逑￣肉雞／ｂｏｔ邋（可聯(lián)網(wǎng)的設(shè)備）逡逑圖２＿１僵尸網(wǎng)絡(luò)逡逑Ｆｉｇｕｒｅ邋２－１邋Ｔｈｅ邋ｂｏｔｎｅｔ逡逑７逡逑

僵尸程序的生命周期按照時間先后順序，一般包含傳播、感染、潛伏、實施惡逡逑意行為、消亡等階段。需要說明的是僵尸主機的潛伏和實施惡意行為階段會一直的逡逑循環(huán)直到達到消亡的條件。其生命周期的圖示見圖２－３。逡逑傳播階段：此階段指僵尸網(wǎng)絡(luò)通過多種方式在互聯(lián)網(wǎng)上傳播的階段。一般僵尸逡逑網(wǎng)絡(luò)傳播的方式分為被動傳播和主動傳播。被動傳播的方式包含黑客向用戶發(fā)送逡逑帶有惡意程序附件的電子郵件、誘導(dǎo)欺騙用戶點擊惡意的鏈接、網(wǎng)頁掛馬、在正常逡逑的程序中捆綁惡意程序、利用社會工程學(xué)原理進行的誘導(dǎo)行為等。主動傳播方式的逡逑傳播包含系統(tǒng)ｂｕｇ導(dǎo)致的漏洞利用、系統(tǒng)弱密碼導(dǎo)致的惡意程序直接爆破式的登逡逑錄并植入等。逡逑感染階段：惡意程序在感染主機后，通常首先探測此系統(tǒng)的基本信息，然后根逡逑據(jù)探測到的信息采取不同的動作。如偵測到系統(tǒng)含有反病毒軟件，便下載規(guī)避模塊。逡逑下載其它必要的模塊（如攻擊模塊）、設(shè)置自身開機啟動或者防止宿主機關(guān)機。此逡逑階段經(jīng)歷的時間通常十分短暫，之后僵尸程序便進入到潛伏階段。逡逑潛伏階段：此階段中惡意程序為不被用戶發(fā)現(xiàn)，一直在后臺運行，但不執(zhí)行任逡逑何導(dǎo)致宿主機異常的行為。但是會定期或者不定期的向Ｃ＆Ｃ服務(wù)器發(fā)送宿主機的逡逑信息。這樣做通常有兩個目的，一是向Ｃ＆Ｃ報告宿主機的基本信息。二是告知服逡逑務(wù)器自己的存活狀態(tài)。逡逑實施惡意行為階段：這個階段ｂｏｔ將根據(jù)黑客發(fā)送的指令實施對應(yīng)的惡意行逡逑為。如嘗試至指定系統(tǒng)文件夾下偷取主機上的隱私信息，利用郵件地址生成模塊隨逡逑機生成郵件地址發(fā)送垃圾郵件、向目標(biāo)發(fā)動ＤＤｏＳ攻擊、啟動挖礦模塊開始挖礦逡逑（計算）。逡逑消亡階段：這個階段內(nèi)宿主機由于某些環(huán)境改變破壞

們可以運行大量的成品（容器），每個容器可看作一個虛擬機，在虛擬機里運行僵逡逑尸網(wǎng)絡(luò)的客戶端就可達到模擬的目的。Ｄｏｃｋｅｒ程序利用ＤｏｃｋｅｒＦｉｌｅ來制作鏡像。逡逑圖２－５為其用到的ＤｏｃｋｅｒＦｉｌｅ。逡逑ＦＲＯＭ邋ｕｂｕｎｔｕ：１６．０４逡逑ＲＵＮ邋ａｐｔ－ｇｅｔ邋ｕｐａｄａｔｅ逡逑ＲＵＮ邋ａｐｔ－ｇｅｔ邋ｉｎｓｔａｌｌ邋ｐｙｔｈｏｎ逡逑ＲＵＮ邋ｍｋｄｉｒ邋／ｔｊｎｐ／ａｒｅｓ逡逑ＡＤＤ邋Ａｒｅｓ／ｐｙｔｈｏｎ邋／ｔｍｐ／ａｒｅｓ逡逑ＷＯＲＫＤＩＲ邋／ｔｍｐ／ａｒｅｓ逡逑圖２－５僵尸網(wǎng)絡(luò)Ａｒｅｓ的ＤｏｃｋｅｒＦｉｌｅ逡逑Ｆｉｇｕｒｅ邋２－５邋Ｔｈｅ邋Ｄｏｃｋｅｒｆｉｌｅ邋ｏｆ邋ｂｏｔｎｅｔ邋ｎａｍｅｄ邋Ａｒｅｓ逡逑此ＤｏｃｋｅｒＦｉｌｅ的目的是將Ａｒｅｓ的客戶端代碼放入鏡像中。接著需要運行生成逡逑鏡像的命令：“ｄｏｃｋｅｒ邋ｂｕｉｌｄ－ｔａｒｅｓ－ｆＤｏｃｋｅｒＦｉｌｅ．’’。其中“－ｔ”指定生成的鏡像名為逡逑“ａｒｅｓ”邋，“－ｆ’指定ＤｏｃｋｅｒＦｉｌｅ的位置。為了使模擬的宿主機擁有相同的ＩＰ網(wǎng)段，接逡逑下來需要利用Ｄｏｃｋｅｒ來新建一個虛擬網(wǎng)關(guān)職／ｅ”，命令為“ｄｏｃｋｅｒ邋ｎｅｔｗｏｒｋ邋ｃｒｅａｔｅ逡逑－ｄ邋ｂｒｉｄｇｅ邋—ｇａｔｅｗａｙ＝ｌ７２．１９．１９．１邋ａｒｅｓｇａｔｅ”，從命令中看出該網(wǎng)關(guān)的廣播地址為逡逑１７２．１９．１９．２５５，網(wǎng)關(guān)為１７２．１９．１９．１，接下來每個新接入到此網(wǎng)關(guān)的容器ＩＰ地址會逡逑依次往后分配，如１７２．１９．１９．２。逡逑然后

【參考文獻】

相關(guān)期刊論文 前3條

1 郭曉軍;程光;朱琛剛;TRUONG Dinh-Tu;周愛平;;主動網(wǎng)絡(luò)流水印技術(shù)研究進展[J];通信學(xué)報;2014年07期

2 張連成;王振興;劉慧生;;網(wǎng)絡(luò)流水印技術(shù)研究進展[J];計算機科學(xué);2011年11期

3 趙佐;蔡皖東;田廣利;;基于異常行為監(jiān)控的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)研究[J];信息安全與通信保密;2007年09期

本文編號：2748835