高级持续性威胁中的典型隐蔽通信技术研究

摘要

随着互联网技术在各领域的广泛应用，信息安全问题也随之而来，且越来越受到关注。以高级渗透和传播技术为手段，具有极强隐蔽性以及持久性特点的APT（高级持续性威胁）攻击已成为目前威胁网络安全的极大隐患。针对APT这一信息安全领域的热点问题，本文以APT攻击中各阶段所使用的典型隐蔽通信为研究对象，设计实现若干种隐蔽通信方法，并进行试验验证和分析，所研究方法可为APT数据流建模与分析提供技术支持。论文开展的主要研究工作如下：
　　（1）根据APT攻击的特点，借鉴已有的攻击链模型，对APT攻击各阶段潜在的隐蔽通信方法进行深入分析；
　　（2）C&C（控制和命令服务器）地址获取是潜入网络的恶意节点实施隐蔽通信所需要解决的首要问题。本文首先对传统地址获取方法进行了详细的介绍，接着介绍了常用的DGA（域名生成算法）方法原理及现有检测方法。在此基础上，指出 DGA安全性上的不足，设计实现了一种基于网页信息隐藏的C&C地址获取方法；
　　（3）数据搬运主要依靠伪装通信技术，伪装分为基于行为的伪装以及基于协议的伪装。针对基于行为的伪装，本文提出了一种基于门限密码的多网盘分存数据搬运方法，该方法包括了数据分块算法的设计和数据分存协议的设计，分块算法主要采用的基于门限秘密共享的方法，分存协议实现了攻击节点与网盘的交互，最后基于网盘的开源API设计搭建系统，验证了本文所提出方法的可行性和有效性。
　　（4）针对协议伪装隐蔽通信，本文设计实现了一种基于 SSL协议的伪装通信。该方法在原有SSL协议基础上，针对典型应用从数据包的行为序列、长度序列、时间序列进行分析和建模，使得所构建伪装通信与正常通信具有较高的相似度。
　　论文最后对全文进行了总结，并对未来进一步值得研究的问题进行了展望。