基于匿名通信的恶意行为流量特征分析技术研究

作     者：彭子俊 

作者单位：广东工业大学 

学位级别：硕士

导师姓名：孙玉

授予年度：2019年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：匿名通信 恶意代码 流量特征 Tor网络 

摘      要：目前很多僵尸网络上的恶意代码通过匿名访问实施攻击,让广大网民面临着病毒侵扰、数据安全和日益复杂的恶意代码带来的威胁。僵尸网络上有着病毒、蠕虫、木马等多种恶意行为,俨然已成为了一种顽固化的攻击平台。恶意代码通过Tor匿名网络进行恶意行为。为了有效地区分Tor网络流量中的可疑恶意攻击行为,需要对Tor匿名通信流量进行特征库分析,才能开展针对性的网络安全防范,确保网络环境的稳定和数据安全。本文的主要工作如下所述:(1)综述了匿名通信中恶意行为流量特征分析技术的研究现状,分析了匿名通信恶意代码攻击原理和相关的Tor网络通信安全防御技术。(2)研究了Tor网络的恶意代码分析技术,并进行了Tor匿名网络的模拟攻击实验。实验结果表明虽然Tor网络目前基本上都封堵了所有的、可能受到恶意代码攻击的漏洞,但是恶意攻击人员通过分析、监视网络流量的变化,仍然可以实施非法入侵和恶意攻击。(3)研究了网络行为特征的恶意代码识别分析技术,对恶意代码的网络流量进行了分类对比,并归纳了恶意软件感染的主机网络行为特征。通过机器学习训练分类器,达到了有效地识别恶意代码流量的目的;搭建了基于匿名通信网络恶意行为的恶意代码识别系统框架,通过恶意代码流量采集实验部署,将Tor流量与正常加密数据流量区分开来,从而达到将匿名通信网络流量中的可疑数据进行准确地筛选的目的。本文创新点主要包括:(1)通过对基于匿名通信的恶意行为流量特征分析技术研究,设计了匿名网络Tor的模拟攻击场景,对整个Tor匿名攻击过程进行了细致的跟踪描述和恶意代码分析。(2)提出了一种匿名网络行为特征的恶意代码识别框架,实现了将Tor流量与正常加密数据流量分离。实验结果表明,可以对匿名通信网络流量中的可疑数据进行准确的筛选,从而达到有效识别恶意代码流量的目的。