论文基于沙箱分析的僵尸控制端探测方法,该文是控制类论文怎么撰写跟沙箱和僵尸和探测类本科论文范文.
摘 要:经常采取高位端口或者经常变换端口躲避安全设备.利用僵尸木马通信协议主动探测木马控制端的方法可以主动发现互联网上的木马控制端,本文对僵尸样本进行沙箱分析,利用本文分布式系统快速完成全网流行端口探测和协议验证,建立僵尸控制端探索方法并实现和验证其有效性.
关键词:主动探测;僵尸网络;恶意代码分析;命令与控制端口
一、前言
僵尸网络通过入侵网络空间内大量非合作终端,形成分布式的控制网络.僵尸网络的控制者会通过命令与控制服务器(C&C)控制肉鸡进行DDoS 攻击、垃圾邮件分发、挖矿等攻击活动[1].当前也出现了大量利用物联网脆弱性进行传播并发动攻击的恶意代码.
僵尸家族控制端的端口具有默认性,可建立默认家族端口与家族通信协议的关联,提升扫描端口速度.僵尸网络的控制端具有局部相邻性,可利用已知僵尸控制IP 进行同网段局部性探测.僵尸网络木马生成器默认端口随着时间逐渐变化,人工指定默认端口无法及时跟进,选择探测的端口不正确,可能导致无法识别出木马控制端;另外当前僵尸木马家族种类较多,不同家族或变种的通信协议均不相同,探测过程需要遍历所有木马通信协议与僵尸网络控制端进行交互,这会使发现大量不合法协议与其进行交互,从而发现安全人员的探测意图.针对变化的家族端口需要自动跟踪方式,建立家族端口与家族协议的精准关联和交互,避免暴力探测验证.
二、相关研究
沙箱分析方面开源cuckoo 沙箱[2] 可以分析恶意代码提取僵尸样本的网络数据,通过恶意代码调用API 图方式[3] 在大量网络连接信息中获取准确的C&C.文献[4] 从僵尸网络流量中提取通信特征指令,提取IRC 信道的攻击指令.文献[5] 采用opcode 多特征向量进行聚类识别恶意代码家族.文献[6] 采用了更多的特征形式组成高纬向量进行海量持续聚类获取家族.文献[7] 利用系统调用缺陷动态传播特征,找出控制API 与数据之间的依赖关系,对恶意代码的相似性进行比较聚类.文献[8] 通过提取恶意代码函数控制流程图和函数调用作为相似性度量,利用聚类算法将恶意代码聚类成不同的恶意代码家族.
三、流程和协议
(一)主要流程
采用主动探测流程发现互联网中开放的C&C 端口如图1 所
1)通过僵尸样本沙箱分析获取C&C 的IP 和端口信息;2)建立木马控制端口和木马通信协议对应关系;3)实时统计家族关联的流行端口;4)分布式互联网端口扫描;5)针对开放端口开放选择对应木马协议验证.
(二)沙箱分析建立控制端口和木马协议直接关联
通过木马通信协议匹配建立协议与端口的直接关联.沙箱环境需要支持不同的CPU 架构和不同的操作系统,选择对应的环境进行执行样本.一是对僵尸样本进行格式识别,包括Windows 的PE 格式、DLL 格式、Linux 系统的ELF 格式,确认平台属性.二是确认不同的CPU 架构包括x86、ARM、MIPS 等不同架构平台[9].三是监控样本的系统调用和网络行为,主要监测包括CPU 信息、操作系统版本、硬盘信息、网卡信息、用户名信息等API 或SYSCALL 的数据作为跟踪数据的起点,跟踪这些数据到网络函数Send 或Sendto 等,获取相对准确的C&C信道,对异常端口、动态域名、白名单进行过滤.通信过程发送或接收的数据经过木马协议特征匹配可识别木马协议,建立C&C 端口和木马协议的关联.
(三)建立端口与协议的间接关联方法
直接关联需要分析木马控制端是活性的,在木马运行时可正常网络通信.但很多木马在分析时C&C 已经失去活性,需要借助木马协议和木马家族的对应关系,建立间接的关联.图2是间接关联流程.
常见的木马家族识别包括特征码方式、向量方式.当前很多僵尸网络具有跨平台特性,简单的二进制特征码方式需要每个平台提取不具备家族通用性,不同样本的内存和字符串具有通用性,家族通用的字符串关键字提取作为特征向量可以较好的通用性.
(四)端口协议探测
根据对流行端口进行网络扫描,对开放的端口进行识别,家族默认端口与互联网常规端口相同的情况优先选择常规协议判断, 如80、22、443、21、23、8080、4567、1900、49152、53、8089 等协议,需要尽量减少常规端口扫描,因为连续扫描可能导致安全设备屏蔽扫描IP.部分服务器探测会出现大部分端口都开放,这些设备可能是蜜罐等设备,应考虑干扰噪音需要排除.扫描到开放端口,依次选择概率大的木马协议进行探测,针对反馈数据包进行规则匹配识别出活性的木马控制端.
四、技术实现
(一)架构设计
僵尸网络控制端快速探测架构如图3 所示,控制中心接收来自网络提交的样本,生成沙箱任务队列.
分布式沙箱提取C&C 和端口关联信息提交回控制中心进行流行家族端口的统计,给出端口和木马协议的关联概率,分发给分布式扫描节点.扫描节点获取任务后对端口进行扫描并进行协议探测,得到协议验证后的活性木马控制端.
(二)控制中心节点
控制中心通过Web 接口获取人工或蜜罐捕获的样本,异步分发提交给沙箱,完成后提交分析结果.流行家族端口模块功能主要包括流行端口统计和端口协议关联概率.分析计算某个时间段内流行端口列表,关联分析计算出每个端口对应的木马协议的概率.根据IP 数量多少排行获取高频端口,统计的基础数据字段包括时间、C&CIP 或域名、端口家族协议变种.扫描任务分发模块主要分发端口和网段扫描任务,包括全网任意B 类网段、C 类网段、C&C 的IP 所在C 类网段,恶意URL 所在IP 的C 类网段等,持续分发给探测节点.
(三)沙箱节点
样本沙箱采用多台2U 服务器,操作系统为Linux 系统,单台设备可并行运行20 个KVM 虚拟机环境,沙箱会从控制中心的样本任务队列获取任务,进行样本格式识别,包括EXE、ELF,样本所需CPU 架构包括X86、ARM、MIPS、MIPSEL, 根据格式选择对应的架构和操作系统环境的虚拟机进行投放,虚拟机中通过HOOK 系统API 和SYSCALL 的方式监控样本的系统调用和网络数据.
端口与协议直接关联实现,在虚拟机中运行样本,获取网络数据形成PCAP 格式文件,解析PCAP,针对TCP、UDP 协议的Payload 数据利用人工提取的木马协议特征进行检测.木马协议特征主要形式为带偏移的二进制片段,或无偏移片段、多个字符串.另外一种检测方式是针对API 中的网络函数的数据进行检测,主要包括send、sendto 函数,通过这些函数的参数buf内容进行检测,在网络连接失败的情况下,通过数据包重定向可以重定向一个连接成功的目标机器,诱发出网络首包数据进行匹配识别木马协议,建立外连IP 端口和木马协议的直接关联.根据木马家族关键字算法提取家族关键字,构成家族特征向量建立木马协议和家族特征向量的关联.针对文件进行字符串向量提取,与家族向量取交集,如果交集大于60%,则识别出家族.另外部分木马有加壳,直接文件获取字符串会得到乱码,需要通过获取样本运行的内存数据,针对类似UPX 等压缩壳可以自动还原,再进行家族特征检测,可以较为容易识别样本的木马家族.
提取的数据记录包括时间、IP、端口、木马家族、木马协议、样本HASH 信息.数据库表中选择IP 端口和木马协议构成数据记录的主键,样本HASH 不能作为主键,因为相同HASH 在不同时间可能分析出不同的C&C,不同的HASH 也可能包括相同的C&C.比如僵尸样本采用DGA 方式变换域名,C&C 域名会随时间变化.另外采用恶意域名作为C&C 配置的木马,其域名关联IP 也会被更改产生变化.相同HASH 样本还包括多个C&C,僵尸网络大量存在隐藏的后门,一个样本有两个、甚至三个C&C.
(四)探测节点
全网流行端口探测采用TCP SYN 方法进行首次扫描,如果端口开放则再进行TCP connect、TCP ACK 或 TCP Fin 类型的端口扫描,根据木马协议与开放端口进行交互,反馈的信息可匹配识别协议.
使用扫描器自动化探测IP 网段列表中所有存活的IP 及开放指定的端口.通过masscan 进行批量IP 网段存活及端口开放探测,获取IP 网段列表中所有存活的IP 及开放指定的端口.根据开放的端口选择对应概率大的木马通讯协议与控制端进行网络数据通讯.在网络通讯过程中监测获取样本通信的协议数据包.通过判断控制端返回的数据进行通讯协议特征匹配鉴定,模拟的协议主要包括HTTP、TCP、UDP 协议.主要步骤如下:1)根据任务选择一个流行端口和IP 段扫描;2)针对开放流行端口的IP 进行其它随机端口扫描;3)当开放的端口数量过多判定为噪音IP,从备选IP 中移除;4)选择端口对应木马家族协议,匹配判断对应木马控制端;
五、试验与验证
实验采用真实的样本,运行提取21542 个C&C 数据,并对端口进行分析,图 4 C&C 端口分布中观察僵尸家族端口从0到65535 分布出现,并且端口值大于10000 的占据了40% 以上,因此高端口是僵尸网络经常使用的.另外其中阶梯垂直位置是一些家族默认端口.
僵尸家族流行端口,可以计算出该端口所属家族协议,目前大部分端口对应一个较大的木马协议,部分优先常规协议telnet,其次是Mirai,再次是gafgyt 家族.针对流行端口进行全网探测,当端口打开时候依据关联概率大的协议优先探测,比较大的概率在第一次协议交互即可验证.分发的探测任务IP 网段主要包括C&CIP 所在网段、URL 的IP 所在网段、任意选择一个B 类网段.
通过对比看出通过C&C 或URL 情报驱动探测探测的IP 产出新增活跃C&C 的数量比随机网络扫描在同等扫描数量级别上产生出高出两个数量级的C&C.
六、结语本文提出基于沙箱分析情报主动探测方法,通过自动化沙箱分析提取控制端IP 和端口,获取流行僵尸家族的默认端口,持续发现默认端口的变化,精准选择家族默认端口对应的协议进行主动探测.设计并实现了沙箱分析数据驱动的主动探测,依托情报持续发现隐蔽的家族默认端口和对应协议.并利用资产的局部性原理主动探测,快速发现互联网空间中僵尸网络的活性控制端.在真实环境中高效的获取了大量的新的僵尸控制端信息.
参考文献
[1] 方滨兴, 崔翔, 王威. 僵尸网络综述[J]. 计算机研究与发展,2011,48(8):1315-1331.
[2] 赵毅, 龚俭, 杨望, 等. 恶意代码自动分析系统的研究[J]. 通信学报, 2014(s1).
[3]Jacob G,Hund R, Kruegel C, et al. JACKSTRAWS: picking commandand control connections from bot traffic[C]// Usenix Conference on Security.USENIX Association, 2011:29-29.
[4] 王海龙, 唐勇, 龚正虎. 僵尸网络命令与控制信道的特征提取模型研究[J]. 计算机工程与科学,2013,35(2):62-67.
[5] 王毅, 唐勇, 卢泽新, 等. 恶意代码聚类中的特征选取研究[J]. 信息网络安全,2016(9):64-68.
[6] 徐小琳, 云晓春, 周勇林, 等. 基于特征聚类的海量恶意代码在线自动分析模型[J]. 通信学报,2013(8):146-153.
[7]Bayer U,Comparetti P M,Hlauschek C,et al.Scalable, behiorbasedmalware clustering[C]//Network and Distributed System SecuritySymposium,NDSS 2009,San Diego,California,USA,2009.
[8] 钱雨村, 彭国军, 王滢, 等. 恶意代码同源性分析及家族聚 类[J].计算机工程与应用,2015,51(18):76-81.
[9] 李柏松, 常安琪, 张家兴. 物联网僵尸网络严重威胁网络基础设施安全——对Dyn 公司遭僵尸网络攻击的分析[J]. 信息安全研究, 2016,2(11):1042-1048.
(作者单位:褚智广、王斌、于普漪,中国石油东方地球物理公司信息技术中心;赵廉斌,中国石油西气东输管道公司科技信息中心情报信息所;高毅夫,勘探开发研究院计算机应用技术研究所)
汇总:本文是适合沙箱和僵尸和探测论文写作的大学硕士及关于控制本科毕业论文,相关控制开题报告范文和学术职称论文参考文献.
参考文献:
1、 南京市励志学校篮球队运动员赛场不良情绪的成因与情绪控制的训练方法分析 【摘 要】为适应人才培养的需要,教育改革逐渐加强,而体育教育的改革也备受瞩目 篮球教学作为体育教育的最重要组成部分,在深受学生们喜爱的同时,不仅仅注重方法和技巧的教授,也更加注重学生身心健康的发展,所.
2、 地方中小型水利工程施工的质量控制与评价方法 文 张启梅 湖北省监利县水利局 湖北监利 433300湖北海河水利水电工程有限公司 湖北监利 433300【摘要】农业是我国的第一产业,而水利工程是保障农业正常生产和扩大生产规模的重要基础设施,水利工.
3、 西屋电气争夺燃气热水器高端市场 2017年热水器行业实现了两位数的高幅度增长 据奥维云网数据显示,2017年热水器行业市场零售额达到749亿,同比增长13 5 复盘2017年热水器产业,电、燃必然成为关键字 凭借着初装成本低、使用门.
4、 燕赵金管家:河北的高端家服名片 2015 年11 月,中国家庭服务业人力资源市场作为全国第一家国家级家庭服务业人力资源市场在河北省挂牌运营 近年来,中国华北家庭服务业人力资源市场充分发挥政策引导、行业扶持以及人力资源市场配置作用,以.
5、 前沿探测的效标关联效度:基于自然语言处理 研究前沿探测的效标关联效度研究基于自然语言处理周文杰(1 西北师范大学商学院甘肃兰州730070)摘要文章应用自然语言处理,以Sci2所识别的研究热点为效标,分别对基于题名、摘要、关键词和全文探测到的.
6、 电子书阅读客户端的用户意愿基于UTAUT和VAM理论视角 摘 要 随着电子图书的发展和数字设备的普及,电子书阅读客户端日益成为用户阅读图书的重要工具 文章整合UTAUT和VAM模型,引入感知价值变量,考察影响用户对电子书阅读客户端使用意愿的相关因素 问卷调查.