英语原文共 12 页,剩余内容已隐藏,支付完成后下载完整资料
针对HTTP规避行为的网络攻击取证平台
- 作者
- 李珍,潘海清,刘文浩,徐飞,曹子刚,刚熊
摘要
随着数据流量的增加和攻击的复杂性,需要存储和检查大量网络流量数据的网络取证系统。HTTP作为互联网上最流行的协议,除了普通服务之外,通常被利用来携带恶意软件和规避攻击。通过分析HTTP回避行为,网络取证系统可以发现恶意软件攻击并追溯其来源。在本文中,我们研究了现实世界中的恶意软件和网络攻击如何利用HTTP来隐藏其恶意活动并提供一个Evasive网络攻击取证系统(ENAFS),它可以有效地发现对HTTP的规避网络攻击并整合绘制攻击样本和他们的元数据进一步分析。我们在CSTNET的ISP上进行了七天的流量运行ENAFS,它已经检测并存储了超过1.1亿个HTTP不匹配实例,涵盖了1607种不同类型的不匹配类型。在进一步扫描和分析这些实例后,发现了两种典型类型的规避攻击。ENAFS还可以追溯回避攻击的起源,本文的案例研究证明了这一点。
关键词
网络取证 HTTP Evasive攻击 异常行为
1简介
网络取证是一种专门的调查技术,可以捕获,记录和分析网络数据包和事件,以用于调查目的。它涉及到监测的网络流量并确定是否有在交通中的异常并确定其是否指示攻击[ 1,2 ]。HTTP负责互联网总流量的一半以上,已成为许多互联网服务的首选协议,互联网用户通过HTTP交换大部分内容[ 3 ]。与此同时,由于其受欢迎程度和灵活性,许多恶意软件利用HTTP来隐藏其恶意活动并通过互联网进行传输。分析HTTP流量正成为网络取证的新焦点。
对大型HTTP跟踪的先前分析已经显示出许多不一致,并且在HTTP分组中可能发生错误。可以通过依赖HTTP的Content-Type标头来识别传输文件的mime类型,从而产生一个潜在的错误。一个典型的例子是在HTTP头中声明了一个Content-Type,而实际上实际数据是另一种不同的类型以逃避安全检查。在一些着名的恶意软件中已经观察到这种行为,例如Zeus,Torpig,Bredolab [ 4 ]。一些高级持续威胁(APT)攻击,如APT30 [ 5 ]和APT Operation Poisoned Helmand [ 6]],也用这个技巧绕过检测。因此,设计一个取证系统来记录和分析回避行为背后的恶意软件和APT攻击对于发现潜在的网络威胁和增强网络安全性非常有价值。
但是,HTTP中的Content-Type不匹配占总HTTP卷的35%[ 3 ],其中大部分是由无辜的配置错误引起的。因此,通过一般规则简单地检测不匹配不是一种明智的方法,因为必须存在大量的误报。同时,传统的基于规则的入侵检测系统(IDS),如Snort的[ 7,8 ],只能检测基于其在日志几个提示这是无奈的调查和追踪这些攻击的规则的限制知内容类型不匹配的攻击。
为了缓解这个问题,我们设计了Evasive Network Attack Forensic System(ENAFS)来记录HTTP Content-Type不匹配数据并自动分析潜在的逃避行为。我们的系统不仅可以检测伪装成图像或文本文件的规避攻击以分发恶意软件,还可以跟踪攻击并分析活动。我们已经在现实世界的网络中部署了所提出的系统,即CSTNET(中国科技网)的ISP。该系统每天处理12亿个HTTP请求,发现1.66亿个不匹配数据并记录了数千个潜在的规避攻击样本。
本文的主要贡献如下:
- 提出并实现了一种新颖的网络攻击流量取证系统,用于记录流量样本并检测规避网络攻击。
- 拟议的系统部署在CSTNET的ISP中。从系统记录的1607种不匹配类型中,发现了网络攻击倾向于用来隐藏其活动的几种特定的不匹配类型。
- 在CSTNET网络流量的ISP中检测到一些以前未知的恶意软件。系统保留了这些恶意软件活动和样本以供进一步分析。
2相关工作
我们的论文的第一个重点,网络取证,正在研究数十年,并且已经完成了许多关于网络取证框架,过程模型和分析工具的工作。调查报告[ 9 ] 中提供了一个很好的概述,包括大部分文献的指示。它明确说明了网络取证的定义,分类和动机,并对提出的各种网络取证框架进行了详尽的调查,并为法医审查员提供了各种网络取证分析工具和网络安全监测工具的功能。Hviz [ 10建议以可视化的方式呈现工作站的HTTP和HTTPS活动的事件时间线。它采用聚合,频繁项集挖掘和主机之间的互相关,以减少向调查人员显示的用户浏览事件的数量。Mukkamala和Sung [ 11 ]使用两种人工智能技术(人工神经网络(ANN)和支持向量机(SVM))来识别离线网络入侵分析的重要特征,并使用1999年DARPA入侵数据对其进行测试.Amine Boukhtouta [ 12]通过使用深度包检测和IP包头分类,在流量级别指纹恶意。Amine Boukhtouta指出,这两种方法相互补充,因为深度包检测相对较快,而IP包头方法显示出极好的准确性,误报率和否定率较低。然而,这些技术在这两篇论文[提议11,12 ]不适合于实时网络流量检测。提出了一种网络取证准备和安全意识框架[ 13 ],用于从连接的网络设备收集可用的日志,并通过应用支持向量机过滤掉异常入侵。网络取证工具[ 14用于通过为专用网络接口卡开发新颖的用户界面和后端软件来捕获和重放监控和数据采集系统中的数据流量。Kaushik和Joshi [ 15 ]提出了一个用于ICMP攻击的网络取证系统,并专注于对ICMP协议的一些特定攻击。该系统只能检测已知的攻击,因为它基于规则。Cohen [ 16 ]提出了一个网络取证框架来重组流,解析HTTP协议并直观地列出流量内容。NETSTORE [ 17 ]是用于网络取证有效的存储基础设施和监测提出Giura和梅蒙,而此Vallentin和帕克森设计VAST [ 18,19],一个用于高性能网络取证和事件响应的分布式平台,可提供连续摄取大量事件流和交互式查询性能。
我们论文的第二个重点,即HTTP流量测量和分析,也是近年来许多研究的重点。HTTP流量测量和分析[ 3 ]中的缺陷量化了三个HTTP流量分析问题的潜在错误:不考虑持久性或流水线式HTTP请求,Content-Type头部字段与实际内容之间的不匹配,以及内容之间的不匹配 -长度标题和实际传输量基于20,000个欧洲住宅宽带用户的被动流量测量。AMICO [ 20]是一种用于测量和检测实时网络流量中恶意软件下载的新颖系统。它学会区分恶意软件和良性文件下载与网络用户自己的下载行为,但是,它需要标记的过去良性和恶意软件文件下载数据集。Nazca [ 21 ]监控网络流量并区分合法和恶意程序的下载。他们甚至在恶意软件生命周期的开发和安装阶段发现,绝大多数的协议都是HTTP。
我们的工作基于实时流量分析,并专注于HTTP流量分析以检测异常。但我们进一步研究了不匹配情景,并将其应用于提议的ENAFS中,以检测和追踪潜在的逃避攻击。
3系统模型的设计
我们提出了一种网络攻击取证模型,包括可疑流量预过滤,样本检测和攻击跟踪。该ENAFS模型如图1所示,并在下面说
图1
网络攻击取证系统模型
3.1可疑流量预过滤
模块可疑流量预过滤过程网络流量并过滤掉那些流量,其现象是MINE类型的HTTP有效载荷与声明的内容类型头部不匹配。过滤后,我们的系统会将可疑样本和元数据记录到样本属性数据库中以进行攻击跟踪。
流量预过滤的过程如图2所示。该系统仅分析POST和GET方法的数据包并过滤掉其他数据包,原因之一是其他请求方法很难看到携带消息。另一个是POST和GET在我们之前的一个月测量中覆盖了97%的HTTP数据包,结果如图3所示。。使用gzip协议压缩的HTTP有效负载覆盖了一个显而易见的部分,因为Web服务器的一个重要部分是压缩其HTTP负载以减少带宽。然后解压缩用gzip协议压缩的有效负载,并通过我们的系统从网络流重新组装HTTP有效负载。在HTTP有效负载MINE类型和在Content-type头字段中声明的MINE类型之间进行比较之
全文共10453字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[605]
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。