论文部分内容阅读
随着互联网的持续演化,僵尸网络呈现出平台多样化、通信隐蔽化、控制智能化等特点,以5G、物联网、智能终端、云存储、社交平台为代表等公共服务资源渐成为了僵尸网络滋生的沃土。作为高级形态的恶意代码,与其他类型恶意软件间的主要区别在于其命令与控制信道。Botmaster可以通过控制服务器操控Bot发起各种复杂的网络攻击活动,包括分布式拒绝服务攻击、点击欺诈、网络钓鱼、恶意软件分发、垃圾邮件、身份盗用、加密货币挖掘以及信息泄露等,对互联网生态安全构成了严重威胁。僵尸网络检测是计算机和网络安全领域高度关注的问题,如何准确检测高度隐蔽型、且不断演化的僵尸网络,已成为学术界的难点和热点方向之一。真实僵尸网络大多都是时变的复杂网络,僵尸网络为完成命令控制、数据窃取等核心目标,通信内容相对聚焦、通信行为具有周期相似性。本文以复杂网络理论为支撑,围绕僵尸网络检测领域热点问题开展研究。主要工作和创新点如下:(1)针对当前僵尸网络综合性研究覆盖面单一、时效性不足与分类评价体系不完善等问题,梳理检测技术研究现状,并提出基于主客观赋权法的评估方法。近年来缺乏对新型僵尸网络的演化剖析,现有研究大多针对特定类型或功能,维度较为单一,未涵盖最前沿的技术,并且缺乏对检测技术的综合评估。从僵尸网络体系架构、生命周期、命令控制信道三个方面论述了僵尸网络构建机理,提出一种新的僵尸网络检测技术分类方法,涵盖了复杂网络、深度学习、群体智能、软件定义网络等前沿技术。从服务性、智能性、协同性、辅助性四个维度,构建了一种通用僵尸网络检测系统性能评价体系,并且采用主客观赋权法对典型的检测方法、以及本文提出的两种检测方法进行量化评估,给出了可视化表示。(2)针对非结构化P2P僵尸网络节点间通信随机性强、拓扑结构更为复杂、隐藏于合法流量难以区分等难题,研究不完全拓扑信息条件下,基于自回避随机游走的非结构化P2P僵尸社区检测模型。僵尸程序之间的通信构成一种覆盖网络,同一服务类型的P2P主机通常具有相似的群体行为模式,研究表明具有共享邻居的节点通常属于一类社团。基于网络流量数据,构建复杂网络共享邻居图,引入社区发现经典理论,在不完全拓扑信息条件下,提出了一种基于自回避随机游走的非结构化P2P僵尸网络检测模型Peertrap。首先,借助Apache Flink大数据平台抽取五元组簇,并提出一种P2P簇特征提取规则。然后,通过Jaccard系数计算P2P簇之间的置信度,构建共享邻居图。最后,采用自回避随机游走算法进行社区划分,并且通过平均分散度、平均紧密度两个社团属性区分良性社团、恶性社团。通过在Sality、Kelihos和Zero Access三种非结构化P2P僵尸网络数据集、以及CTU经典数据集上进行实验验证,在精确度、召回率、F1值、MCC值等评价指标上取得了良好的效果。该方法适用于C&C信道加密、主机上有重叠良性P2P与恶性P2P流量等场景下的僵尸网络检测。(3)针对时间演化型僵尸网络的检测问题,引入时间因素特征,融合节点拓扑结构特征和流量属性多维数据,研究基于动态图神经网络的僵尸网络检测模型。基于时间序列的方式描述复杂行为是复杂网络当前研究的热点之一,引入时间感知图注意力网络,提出了一种新颖的僵尸网络检测模型B-TGAT,从连续时间的角度融合拓扑结构、边属性信息、时间信息,可有效地对僵尸网络动态演化进行建模,能够同时表征复杂系统的结构和时序信息。首先,针对网络流量进行数据预处理生成节点的原始特征表示。然后,采用时间图注意力网络(Temporal Graph Attention Neural Networks,TGAT)来有效地聚合在传播过程中时间拓扑邻域特征。最后,将时间感知数据送到前馈神经网络(Feedforward Network,FFN)层和softmax层进行分类。在两个较新的公开数据集NF-TON-Io T和NF-Bo T-Io T上进行实验验证,并与流行的E-Graph SAGE、Extra Tree Classifier方法对比表明,节点的时间参与特征可以有效提高检测的准确性。同时,在僵尸网络经典流量数据集CTU-13上进行了测试,表明该方法具有较好的通用性。(4)针对僵尸网络关键节点活动更为复杂更加难以识别的问题,研究基于深度强化学习组合优化的僵尸网络关键节点智能化发现。关键节点承担了底层僵尸节点和上层控制服务器之间通信桥梁的角色,其识别问题是僵尸网络检测工作的进一步延伸。依托复杂网络节点重要度排序理论,对僵尸网络防御策略进行研究,将图嵌入和深度强化学习组合优化方法引入P2P僵尸网络关键节点识别问题,提出了一种智能化的关键节点识别模型Peer Remove。首先,采用Structure2vec图嵌入将网络结构信息表征为低维嵌入空间。然后,利用N-step Q-learning深度强化学习,训练智能体来学习复杂的拓扑模式寻找有效瓦解网络的关键节点。为了评估算法的有效性,运用节点移除过程中最大连通子图规模曲线下的面积(Area Under the Curve,AUC)作为指标,选取了Sality、Zero Access、NSIS、Mozi、Gnutella24和Peer sampling service六种不同类型的P2P僵尸网络真实或模拟数据集,将近年来较流行的HAD、Page Rank、CI、BPD和HPRA五种动静态节点攻击方法作为基准方法进行实验对比。最后,为了验证方法的通用性,在集中式拓扑数据集上进行了测试。结果表明,Peer Remove方法的AUC曲线整体优于基准方法,该方法能够以较小的代价最大程度降低僵尸网络弹性,具有较好的鲁棒性。