论文部分内容阅读
僵尸网络,一种大规模协同攻击网络,具有演变迅速,隐蔽性强,难以清除、危害巨大的特点,已经成为当今互联网最大威胁之一。如何有效对抗僵尸网络是学术界一直研究的热点和难点。本文首先概述了僵尸网络的定义、演化、分类、危害、工作机制、新动向等要素,介绍了当前检测和反制僵尸网络的主流技术、方法和发展趋势,其次重点从僵尸网络的检测、反制和抑制三个方面研究了僵尸网络的对抗技术。在僵尸网络检测方面:针对僵尸网络命令控制体系特点,分析了国内外僵尸网络主流检测方法的优缺点,提出了基于多维特征向量的僵尸网络检测方法。该方法首先利用马尔科夫链为僵尸网络的通联状态迁移建立了检测模型、利用多元统计与聚类分析方法为僵尸网络节点自相似性建立了检测模型、利用熵估计理论为僵尸网络加密数据流特性建立了检测模型,并根据以上僵尸网络特异性特征设计了多维特征向量提取算法;其次借鉴协同检测的思想,研究了朴素贝叶斯、支持向量机、J48、Rotation Forest、PART和后向传播神经网络六种基础分类器的性能,并利用最小二乘估计算法在基础分类器上建立了僵尸网络决策判决组合分类器;最后依托ISOT数据集进行了检测实验,验证了组合分类器相比单一分类器可以获得更高的正确检测率。在僵尸网络反制方面:一是建立了扩展有限状态机的僵尸网络命令控制体系通信模型,研究了针对僵尸网络服务程序的黑盒Fuzzing测试方法,提出了基于状态转移驱动的测试用例生成模型。该模型首先研究了网络状态有效测试路径遍历算法,获得了可触发漏洞的状态转移过程,再利用动静结合的方法生成了原始测试向量的变异因子,其次给出了测试向量生成和变异模型及算法,获得了优质的测试向量。为了提高测试效率和覆盖率,设计了基于风险状态转移流的适应度函数及实现算法,利用遗传算法的思想指导测试向量逐步进化为优质的测试用例,达到了增加漏洞发现概率的目的。二是重点研究了僵尸网络拓扑结构脆弱性问题,发现了半分布式僵尸网络组网方式存在相继故障的缺陷,提出了一种基于僵尸网络桥梁节点的相继故障反制策略,并以复杂网络负荷容量模型为基础,建立了桥梁节点的相继故障模型,完成了相应的理论分析与数值模拟,仿真验证了反制策略的有效性。三是以案例分析的形式介绍了针对僵尸网络Bagle-CB FTP服务器漏洞挖掘、Eggdrop僵尸变种命令控制服务器对等组网相继故障和Zuesbot域名抢注的反制技术。在僵尸网络抑制方面:一是在网络蠕虫双因素传播模型的基础上,结合复杂网络无尺度特性以及APT攻击方式,提出了SAPM僵尸网络传播模型,完成了复杂网络环境下基于APT攻击的僵尸网络传播动力学分析,从理论上给出了最佳抑制策略。二是分析了基于APT攻击的僵尸网络传播特性,提出了传播抑制策略,指出了创新Linux/Unix环境下文档格式处理软件脆弱性测试算法、研制相应的安全测试工具是抑制此类僵尸网络传播的核心环节。三是针对Linux/Unix系统中不同文件格式软件大多开放源码的特点,深入研究了二进制程序脆弱性动态测试理论和技术的不足,设计了程序路径约束条件符号模型的构建方法和PWA覆盖测试算法并实现了基于白盒的EWFT原型工具。经实验验证,PWA算法相比国际流行的SAGE测试算法表现更优,EWFT够更加有效的检测出多种类型的漏洞,启到了对基于APT攻击的僵尸网络实施积极防御的作用。在工程实现方面。概述了基于云计算的僵尸网络监测与缓解原型系统的设计理念、体系架构、功能模块和关键技术,充分利用了Apache Spark云平台运算能力强、节点分布广的特点,实现了僵尸网络检测、监测、反制和抑制等功能,在实际应用中,取得了较好的社会效益。论文主要的创新工作归纳如下:1)针对现有基于内容、网络流特征的检测方法受协议限制,难以对抗加密、扰乱等技术的不足,建立了僵尸网络通联状态迁移检测模型、节点命名相似性检测模型和加密数据通信熵估计检测模型,提取了状态转移、身份识别和加密会话等反映僵尸网络典型特征的多维特征向量,构建了基于最小二乘估计算法的组合分类器,获得了较为满意的检测效果。2)针对基于扩展有限状态机的僵尸网络命令控制体系通信模型,提出了基于状态转移驱动的测试用例生成模型,研究了针对僵尸网络服务程序的黑盒Fuzzing测试方法,提高了基于协议分析的僵尸网络服务程序的漏洞挖掘能力。3)发现了半分布式僵尸网络组网方式存在相继故障的缺陷,提出了一种基于僵尸网络桥梁节点的相继故障反制策略,并以复杂网络负荷容量模型为基础,建立了桥梁节点的相继故障模型,完成了相应的理论分析与数值模拟,仿真验证了反制策略的有效性,开辟了僵尸网络反制技术研究的新方向。4)针对基于APT攻击的僵尸网络传播特性,建立了SAPM僵尸网络传播模型,完成了复杂网络环境下模型动力学分析,明确了创新Linux/Unix环境下开源文档格式处理软件脆弱性测试算法、研制相应的白盒Fuzzing工具是抑制此类僵尸网络传播的核心环节。最后设计了PWA覆盖测试算法,实现了EWFT原型工具。经实验验证,PWA算法相比国际流行的SAGE测试算法表现更优,有效提高了程序执行路径空间的测试覆盖率和路径测试深度。