發(fā)布時(shí)間：2020-07-10 23:24

【摘要】：隨著智能設(shè)備和終端的不斷發(fā)展,物聯(lián)網(wǎng)技術(shù)日趨成熟。由于物聯(lián)網(wǎng)設(shè)備多架設(shè)在公網(wǎng),缺乏有效的保護(hù)措施,并且難以升級(jí),其天然的安全隱患造成了物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的橫行。同時(shí),由于僵尸網(wǎng)絡(luò)的隱蔽性,給安全研究人員的檢測(cè)和評(píng)估帶來(lái)了較大的困難。本文從Mirai僵尸網(wǎng)絡(luò)的檢測(cè)和風(fēng)險(xiǎn)評(píng)估等多方面進(jìn)行了研究。(1)基于蜜罐技術(shù)的Mirai僵尸網(wǎng)絡(luò)節(jié)點(diǎn)識(shí)別基于流量的僵尸網(wǎng)絡(luò)識(shí)別方法存在數(shù)據(jù)處理量大、節(jié)點(diǎn)通信流量獲取困難等問(wèn)題,難以在未知網(wǎng)絡(luò)中進(jìn)行識(shí)別。針對(duì)這一問(wèn)題,論文分析Mirai代碼,研究Mirai病毒工作機(jī)制和原理,設(shè)計(jì)了Mirai病毒識(shí)別特征,結(jié)合蜜罐和漏掃技術(shù),提出了Mirai僵尸網(wǎng)絡(luò)節(jié)點(diǎn)識(shí)別方法。在此基礎(chǔ)上,論文設(shè)計(jì)并實(shí)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)節(jié)點(diǎn)的可視化檢測(cè)系統(tǒng)。論文在公共網(wǎng)絡(luò)中對(duì)系統(tǒng)進(jìn)行了驗(yàn)證,共捕獲272204次掃描行為,175923次感染行為。(2)基于函數(shù)調(diào)用圖的Mirai病毒文件識(shí)別為了提高僵尸網(wǎng)絡(luò)節(jié)點(diǎn)識(shí)別的可信度,減少漏檢、錯(cuò)檢,本文進(jìn)一步研究Mirai及其變種僵尸網(wǎng)絡(luò)病毒文件識(shí)別方法。無(wú)源碼條件下的病毒文件識(shí)別通常采用特征碼/關(guān)鍵字匹配技術(shù),然而由于受混淆和壓縮等技術(shù)影響,這一方法難以有效識(shí)別Mirai及變種病毒。針對(duì)這一問(wèn)題,論文提出了基于函數(shù)調(diào)用圖的相似性的識(shí)別方法。首先,論文選取函數(shù)調(diào)用圖作為特征來(lái)反映同源程序相似性,利用其對(duì)程序語(yǔ)義特性的表現(xiàn)能力來(lái)抵抗混淆等語(yǔ)義維持攻擊技術(shù)的干擾。然后,論文通過(guò)鄰接矩陣的特征值組合成為圖的特征向量來(lái)比較其相似性,從而回避了直接比較圖相似性的復(fù)雜計(jì)算開(kāi)銷。最后論文使用有監(jiān)督機(jī)器學(xué)習(xí)算法學(xué)習(xí)樣本生成分類模型,實(shí)現(xiàn)了對(duì)Mirai及其變種病毒的識(shí)別。仿真分析顯示,就受試者工作特征曲線、精確率和召回率等多項(xiàng)指標(biāo)而言,論文所提算法最終達(dá)到0.8239精確率,0.8310準(zhǔn)確率,0.8446召回率,且優(yōu)于基于譜圖特征的病毒識(shí)別算法。(3)基于節(jié)點(diǎn)重要性的Mirai僵尸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估Mirai及其變種是物聯(lián)網(wǎng)內(nèi)傳播最廣泛的僵尸病毒,評(píng)估Mirai僵尸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)制定網(wǎng)絡(luò)安全策略具有重要意義�；陔[馬爾科夫模型的技術(shù)是應(yīng)用得最廣的風(fēng)險(xiǎn)評(píng)估方法,但存在不能直接應(yīng)用于Mirai僵尸網(wǎng)絡(luò)的問(wèn)題。此外,該技術(shù)也缺乏對(duì)節(jié)點(diǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)關(guān)系及影響的評(píng)估,盡管在Mirai僵尸網(wǎng)絡(luò)環(huán)境下,該影響難以忽略。針對(duì)上述問(wèn)題,本文提出新的網(wǎng)絡(luò)風(fēng)險(xiǎn)值計(jì)算方法,改進(jìn)了基本隱馬爾科夫模型評(píng)估方法。引入了節(jié)點(diǎn)重要性的概念,通過(guò)節(jié)點(diǎn)關(guān)聯(lián)性計(jì)算網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的節(jié)點(diǎn)重要性,通過(guò)節(jié)點(diǎn)重要性和節(jié)點(diǎn)風(fēng)險(xiǎn)值加權(quán)的方式計(jì)算整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn),改變了原有風(fēng)險(xiǎn)計(jì)算中對(duì)所有節(jié)點(diǎn)均同等看待的方式。本文使用公開(kāi)的數(shù)據(jù)驗(yàn)證了模型,結(jié)果顯示,論文所提方法對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)變化的敏感度提升,有利于改進(jìn)物聯(lián)網(wǎng)環(huán)境下的安全事件的應(yīng)對(duì)能力。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08
【圖文】：

特征對(duì)函數(shù)塊進(jìn)行匹配識(shí)別惡意文件的方法［１５］，趙梓旭等人使用對(duì)字符串最大逡逑信息熵、字符串最大長(zhǎng)度等作為特征檢測(cè)惡意文件［１６］。逡逑基于語(yǔ)法的識(shí)別方法主要使用函數(shù)調(diào)用圖之間的相似度對(duì)病毒文件進(jìn)行識(shí)逡逑別，其中圖的相似度計(jì)算方法包括基于圖編輯距離的相似度算法［１７］，基于譜圖特逡逑征的識(shí)別算法［１８］，和基于頻繁子圖挖掘算法的識(shí)別方法［１９］等。逡逑惡意文件的識(shí)別還包括一些其他方法，王超等人通過(guò)系統(tǒng)ＡＰＩ調(diào)用的偏序逡逑關(guān)系作為病毒文件特征對(duì)病毒文件進(jìn)行識(shí)別［２（）］。ＧＰｌａｇ結(jié)合數(shù)據(jù)依賴性來(lái)比較惡逡逑意文件相似性，具有更高精度和抗混淆能力的相似性［２１］。逡逑以上分析方法對(duì)于差異性較大的同源病毒文件識(shí)別能力較高，但同時(shí)訓(xùn)練和逡逑識(shí)別的速度較慢，難以適應(yīng)于高速的網(wǎng)絡(luò)環(huán)境中。逡逑１．２．３風(fēng)險(xiǎn)評(píng)估方法逡逑目前風(fēng)險(xiǎn)評(píng)估的主要方法分為定量方法和定性方法，其中定性評(píng)估方法可以逡逑采用專家咨詢、人員訪談、問(wèn)卷調(diào)查等形式，常用的評(píng)估方法包括因素分析法、逡逑邏輯分析法、德?tīng)柗品ǖ龋郏玻玻�，定量方法主要包括基于博弈論的評(píng)估方法、基于攻逡逑擊圖的評(píng)估方法和基于隱馬爾科夫的評(píng)估方法，如下圖所示。逡逑風(fēng)險(xiǎn)評(píng)估技術(shù)逡逑

P臼衣緲刂棲翦危褪詰沐義賢跡玻插澹校玻形韉幕旌鮮澆┦繽仄隋義弦災(zāi)行氖轎韉幕旌鮮澆┦纈欣誚┦衿鞫說(shuō)畝黽�，窐�(lè)拱踩義先嗽憊乇掌渲械囊徊糠址衿鞫私詰愕賈陸┦凡豢捎謾６裕校玻惺轎韉膩義匣旌鮮澆┦緗桓齟笮徒┦綬殖啥喔鲆蔚男⌒徒┦紓欣誚┦義賢繚諛諭械拇�。辶x希峰義

本文編號(hào)：2749593