面向溯源取证的网络攻击工具痕迹分析技术与实现

作     者：何尾风 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：方滨兴

授予年度：2018年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：痕迹分析 APT 痕迹提取 痕迹消除 痕迹篡改 

摘      要：随着互联网的飞速发展,网络技术在社会的经济、教育、文化、科技等的各个方面应用越来越广泛,让生活变得越来越便利,但同时所带来的威胁也越来越大。其中APT(Advanced Persistent Threats,高级持续性威胁)攻击因其高级、长期、威胁三要素具有极强的隐蔽性和破坏性,使得对APT攻击的溯源成为研究热点。据统计,截至2016年12月,全球有41家安全机构发布近100篇APT攻击溯源研究报告,其中对APT攻击后收集到的网络工具(如EXE、docx和PDF文件)的痕迹进行分析成为溯源的支撑点。但到目前为止,还没有一个统一的模型与方法对APT攻击进行溯源。因此本文通过对攻击后可能收集到的网络攻击工具样本文件中可用来进行溯源的痕迹种类、网络攻击工具静态痕迹提取技术、网络攻击工具动态痕迹提取技术、网络攻击工具痕迹分析技术的研究,提出了动静态结合的面向溯源取证的网络攻击工具痕迹分析模型,旨在为改善这一现状做点努力。本文的主要工作如下:1)通过分析已经公开发布的APT攻击溯源研究报告中的思路与方法,归纳总结出其中的规律为5个W加一个H,分别为Who、Why、When、Where、How、What,表示为最终想知道是什么人以什么原因在什么时间什么地点以什么样的方式干了一件什么事;2)研究攻击者留下来的网络工具,如EXE、docx和PDF文件中可用来进行溯源的痕迹种类、静态痕迹提取技术,并完成了静态痕迹提取工具的开发;3)研究针对EXE可执行文件的动态痕迹提取技术,基于python开源取证框架Volatility,完成了动态痕迹提取工具的开发;4)综合各个模块,完成一套半自动化的针对网络攻击工具痕迹提取与分析系统。