隨著信息技術的快速發(fā)展以及多種異構(gòu)網(wǎng)絡的融合,各行各業(yè)對網(wǎng)絡的依賴性也越來越強。受政治經(jīng)濟利益等驅(qū)動,近年來借助僵尸網(wǎng)絡和木馬進行網(wǎng)絡攻擊和信息竊取事件數(shù)量快速增加,針對網(wǎng)絡基礎設施的探測、滲透和攻擊事件時有發(fā)生,受國家級支持的高級持續(xù)性威脅活動頻現(xiàn),隱蔽網(wǎng)絡攻擊和信息竊取對象已經(jīng)從個人蔓延到金融、通信、能源、航空、交通等領域,對公民、企業(yè)及國家信息安全都造成了嚴重威脅。結(jié)合學術界的相關研究,我們將網(wǎng)絡攻擊中這些高技術的、采用對抗性隱蔽逃逸技術、借助網(wǎng)絡控制、以竊取機密信息或長期控制及破壞的攻擊統(tǒng)稱為隱蔽式網(wǎng)絡攻擊(Evasive Network Attack)。隱蔽式網(wǎng)絡攻擊的檢測對于維護國家信息基礎設施安全與社會穩(wěn)定,打擊網(wǎng)絡犯罪,提升對攻擊的追蹤溯源能力等,無疑具有重要意義。在分析和總結(jié)已有研究工作不足和產(chǎn)業(yè)界的技術短板的基礎上,我們針對隱蔽式網(wǎng)絡攻擊檢測中的關鍵問題開展研究,主要工作及取得的成果包括：加密服務流量的準確識別方面,對本領域的最新研究進展進行了綜述,并提出了基于協(xié)議消息格式和狀態(tài)轉(zhuǎn)移深度驗證的SSL/TLS通信實時高準確度識別方法,可滿足高速網(wǎng)絡環(huán)境下對此類加密流及偽裝流的精準區(qū)分要求。加密服務中的惡意行為發(fā)現(xiàn)方面,通過對海量網(wǎng)絡行為測量結(jié)果的數(shù)據(jù)挖掘發(fā)現(xiàn)隱私泄露與惡意服務。首先,提出了一種基于被動NetFlow信息的主動測量方法,實現(xiàn)了高成功率高效率的面向X.509證書的SSL/TLS服務測量,可近似還原出大規(guī)模用戶網(wǎng)絡行為。在此基礎上,采用基于證書屬性的相似性度量對自簽名證書及海量日志挖掘關聯(lián)分析,揭示采用自簽名證書的HTTPS服務存在的應用服務類型泄露問題,可用于發(fā)現(xiàn)新型SSL/TLS應用服務以及潛在的惡意SSL/TLS加密通信。與目前主流的借助統(tǒng)計指紋對加密瀏覽等進行細粒度行為識別的研究相比,面向大規(guī)模數(shù)據(jù)集,注重實用性。SSL/TLS加密通道內(nèi)的隱蔽惡意行為發(fā)現(xiàn)方面,我們提出了基于證書屬性的信譽度與域名可信度的綜合度量來發(fā)現(xiàn)高可疑的隱蔽攻擊通道,借助于簡單規(guī)則、證書的安全屬性和部分域的匿名性,以及服務器的排名和反向解析結(jié)果等,給出服務器的綜合異常度。三個公開數(shù)據(jù)集的實驗結(jié)果表明,我們的方法能高效準確的識別偽裝和惡意的SSL/TLS加密通信。而且,我們在后續(xù)研究中借助于主動服務發(fā)現(xiàn)濾除無害服務,進一步降低了本工作在實用中的誤報率。此外,基于前述大范圍的SSL/TLS服務測量,提出了基于證書分類來改進SSL/TLS加密通道入侵檢測的方法,借助分而治之和反向排除的思想,首先根據(jù)用戶訪問統(tǒng)計將流行的合法服務和高可信度的正常服務也排除,然后對占據(jù)網(wǎng)絡數(shù)據(jù)流中很小比例的低可信度和非法的證書對應的網(wǎng)絡通信進行詳細檢測來發(fā)現(xiàn)可疑的惡意加密通道。協(xié)議偽裝行為檢測方面,面對隱蔽式網(wǎng)絡攻擊中惡意通信經(jīng)常偽裝成流行協(xié)議或常見應用來躲避入侵檢測系統(tǒng)的挑戰(zhàn),我們基于協(xié)議的一般性概念將真實世界中的常見網(wǎng)絡協(xié)議抽象為三方面屬性,即協(xié)議語法格式,協(xié)議狀態(tài)轉(zhuǎn)移和協(xié)議行為屬性,并提出了面向常見網(wǎng)絡協(xié)議的通用偽裝檢測框架,從上述三個方面分別對協(xié)議的合規(guī)性和異常度進行深度驗證。該方法可直接應用于實時被動檢測,避免了主動探測方法對網(wǎng)絡運行和性能的影響,彌補了單純基于統(tǒng)計、知識或機器學習的異常檢測檢測方法的不足,并在對抗場景下具備較強的魯棒性。此外,在深度惡意隱蔽網(wǎng)絡通信對抗檢測方面,引入知識庫實現(xiàn)從數(shù)據(jù)到知識再到能力的持久轉(zhuǎn)化,將主機、網(wǎng)絡和知識庫有機融合,結(jié)合上述加密服務分類、加密惡意通道檢測和協(xié)議偽裝行為檢測,形成面向?qū)嵱玫膼阂怆[蔽通信多維協(xié)同檢測框架,將故意逃避主機和網(wǎng)絡檢測的隱蔽惡意通信行為識別出來。綜上所述,本文從應對網(wǎng)絡空間面臨的突出性安全威脅出發(fā),針對隱蔽式網(wǎng)絡攻擊的檢測關鍵挑戰(zhàn)性問題開展研究,在加密服務分類、基于SSL/TLS服務大規(guī)模測量與挖掘的加密通道中惡意行為發(fā)現(xiàn)以及應用協(xié)議偽裝檢測等方面取得了一定研究成果。這些研究中的方法和技術對于提升對抗環(huán)境中惡意隱蔽網(wǎng)絡攻擊的發(fā)現(xiàn)能力,打擊網(wǎng)絡犯罪和信息竊取,保障國家信息基礎設施、公民隱私和財產(chǎn)安全等具有重要的應用價值和意義。
【學位單位】：北京郵電大學
【學位級別】：博士
【學位年份】：2015
【中圖分類】：TP393.08
【部分圖文】：

新版本的化Ｓ協(xié)議，即ＴＬＳ１．３正在討論和修改中，從２０１４年４月逡逑到２０１５年１月，己經(jīng)有５個不同版本的草案被陸續(xù)提交【７５１。逡逑ＳＳＬ／ＴＬＳ所處的位置及構(gòu)成如下圖２－１所示：逡逑＇Ｙ邐應瑞枎協(xié)議邐、勺逡逑ｆ邋ＨＴＴＰ邐ＦＴＰ邐）b8邋ＭＴＰ逆邋Ｗ‘平）（、其他）逡逑＼邐邐＾邐邐？／＇、＇、．邐＼邐ｙ邋ｊ逡逑邐邋邋邐邐邋邐一／＇逡逑＾邐}痹酪瑰危掊巍苠義希危�、，／；；∮z誨危В苠澹㈠蚊橛檬齜嘶椋赍義希駑危齲幔睿洌螅瑁幔耄邋齲蒎義希埽櫻浚皺澹櫻穡澹沐邋危剩赍澹皺危叔義希嫜稀弧危劐義希懾危椋瀆夾殄危╁義襄五五危掊義賢跡玻歟ィ桑裕蹋有櫚奈恢眉骯鉤墑疽饌煎義希櫻櫻蹋裕蹋渝灝鍬夾椋ǎ遙澹悖錚潁溴澹校潁錚簦錚悖錚歟┖臀帳中椋ǎ齲幔睿洌螅瑁幔耄椋睿玨澹校潁錚垮義希簦錚悖錚歟螅宥帳中橄旅嬋上阜治謀涿藶牘娣緞殄澹ǎ茫瑁幔睿紓邋澹茫椋穡瑁澹蟈澹櫻穡澹沐澹校潁錚義希玻跺義

本文編號：2810433