面向取证的网络攻击者溯源分析技术研究综述.pdf
《面向取证的网络攻击者溯源分析技术研究综述.pdf》由会员分享,可在线阅读,更多相关《面向取证的网络攻击者溯源分析技术研究综述.pdf(9页珍藏版)》请在咨信网上搜索。
1、信息安全研究第10 卷第4期2 0 2 4年4月Journalot information Security ResearchVol.10No.4Apr.2024DOl:10.12379/j.issn.2096-1057.2024.04.03面向取证的网络攻击者溯源分析技术研究综述王子晨汤艳君潘奕扬(中国刑事警察学院公安信息技术与情报学院沈阳110 0 31)()A Survey of Forensic Network Attack Source TracebackWang Zichen,Tang Yanjun,and Pan Yiyang(Criminal Investigation Pol
2、ice University of China,Shenyang 110031)Abstract The concealment and anonymity of cyber attackers pose significant challenges to thefield of network attack traceback.This study provides a comprehensive overview of the currentstate of research on network attack traceback analysis techniques,focusing
3、on three aspects:traffic,scenarios,and samples.Firstly,with respect to traffic traceback,the paper outlinesmethods and applications based on log records,packet marking,ICMP tracing,and link testing.Secondly,it categorizes traceback techniques for different scenarios,encompassinganonymousnetworks,zom
4、bie networks,springboards,local area networks,and advanced persistent threatattacks,as well as their applications and limitations in real-world environments.Finally,concerning sample analysis,the paper discusses the progress and application scenarios of static anddynamic traceback analysis in the co
5、ntext of malicious code analysis and attack tracing.Key words cybersecurity;attribution;network deception;malicious sample traceability;anonymousnetwork traceability摘要网络攻击者的隐藏性和匿名性使得网络攻击溯源技术充满挑战.研究综述了基于流量、场景和样本3个方面的网络攻击溯源分析技术的研究现状.首先,针对流量溯源,总结出基于日志记录、流量包标记、ICMP回溯和链路测试等方法和应用;其次,根据不同场景归纳出匿名网络攻击、僵尸网络攻击
6、、跳板攻击、局域网攻击和高级可持续威胁攻击的溯源技术以及在实际环境中的应用和限制;最后,对于样本分析探讨了静态和动态溯源分析在恶意代码分析及攻击溯源方面的研究进展和应用场景。关键词网络安全;追踪溯源;网络欺骗;恶意样本溯源;匿名网络溯源中图法分类号TP393收稿日期:2 0 2 3-0 7-18基金项目:辽宁网络安全执法协同创新中心项目(WXZX201912002);中国刑事警察学院研究生创新能力提升项目重点项目(2 0 2 3YCZD06)通信作者:汤艳君()引用格式:王子晨,汤艳君,潘奕扬.面向取证的网络攻击者溯源分析技术研究综述J.信息安全研究,2 0 2 4,10(4):30 2-31
7、0302学术论文.ResearchPapers在互联网技术飞速进步和广泛应用的背景下,网络安全已经成为所有社会参与者必须高度重视的议题.随着频发的网络安全事件对国家、社会和个体造成深重影响,作为网络攻击最频繁受害的国家,中国正面临前所未有的网络空间安全挑战.因此,网络攻击溯源技术的研究与应用显得尤为重要.如果能定位到实际的网络攻击者则能制定更有针对性的防护措施,并进一步通过法律手段对其进行惩戒.网络攻击的溯源分析已然成为保护网络安全的关键研究课题.然而,网络协议设计存在一定的问题,例如,TCP/IP协议没有包含数据包来源的验证功能,再加上攻击者经常利用虚假IP地址或者使用其他主机作为跳板进行攻
8、击等方式来隐藏自身,导致仅通过源IP地址难以定位到真实的攻击者,使得在当前的互联网架构下追踪攻击源充满了挑战.本文旨在综述现有的网络攻击者溯源分析技术,包括基于流量、场景以及样本的溯源分析技术.探讨它们的优缺点以及在实际应用中可能遇到的挑战,为维护网络安全提供借鉴。1基于流量的溯源分析技术基于流量的溯源分析是一种拓扑数据分析技术,可用于识别网络流量数据中的网络模式,跟踪网络攻击的来源.对于IP地址追踪问题,Gao 等人1将流量溯源技术分为日志记录、流量包标记、ICMP回溯和链路测试等方法.1.1基基于日志记录的溯源技术日志记录方法主要是利用路由器记录一些遍历信息,以验证可疑数据包是否由已知路由
9、器转发,从而得到攻击路径.该方法的优点是可以利用存储的信息进行追踪溯源.其缺点是流量包信息的全文日志会给转发设备带来巨大存储开销。为减少存储开销,可以将全文日志进行哈希处理.Snoeren等人3 提出并改进SPIE(s o u r c epath isolation engine)追踪系统,利用布隆过滤器(Bloomfilter)存储记录数据包的摘要.这种方法支持基于单个数据包的IP溯源.尽管使用哈希技术减少了日志的存储容量,但在大规模高速网络环境下流量包日志的存储开销仍然不少。1.2基于流量包标记的溯源技术流量包标记方法将存储开销转移到数据包上,它通过控制攻击路径上的部分或全部路由器,在数据
10、包中写入这些路由器的特定识别信息,从而恢复攻击路径.但此类方法存在的问题是,若系统或转发设备被攻击者控制,删除或篡改包标记信息,从而误导攻击路径的重构.流量包标记方法可分为概率包标记法和确定包标记法.1.2.1概率包标记法可以通过互联网提供商访问控制骨干网络的多数路由器,并且修改路由器的标准IP协议,给多数骨干网络路由器增加新的功能.Savage等人4提出概率包标记法(probabilistic packet marking,PPM).它在网络数据包中插人特殊标记.当攻击流量经过网络节点时,这些节点会根据一定的概率选择是否将标记注人数据包。概率包标记法较为简单,适合解决大流量的攻击场景.但该方
11、法只适用于单个攻击源的情况,且攻击路径重建的计算开销较大.1.2.2石确定包标记法确定包标记法(deterministic packet mark-ing,D PM)是在溯源过程中,针对整个攻击流量路径的完全重构并不是必要的情况下提出的.Belenky等人5 提出并改进了DPM算法,仅要求边缘网络节点在转发时根据规则添加特定的标记,而中间网络节点无需进行标记.Sun等人6 1在应对DDoS攻击时将该方法拓展到IPv6协议上,简化了重溯路径的复杂度.Suresh等人7 提出了按需标记的DDoS攻击处理方法,利用多个数据包检测攻击,并通过编码在有限的空间内存储更多容量的信息.Vijayalaksh
12、mi等人8 在DPM算法中提出了一种编码方法,使用三位标记码记录每个路由器预先创建的邻居度表信息.但是大部分基于流量包标记的方法需要对部分网络节点进行掌控,而标记的流量包也可能会暴露有关网络拓扑结构或路由器身份的敏感信息.因此,基于流量包标记的溯源方法需要安全分析者和互联网服务提供商之间加强合作。1.3基于ICMP回溯的溯源技术基于ICMP回溯的溯源技术是利用网络拥塞等原因导致路由器自发产生目标不可达的ICMP报文,来追踪攻击路径。网址http:/1303信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10N
13、o.4Apr.2024Bellovin等人9提出了ICMP标记算法,因网络拥塞等原因发送的ICMP报文包含该节点及前后一跳节点的IP地址.收集足够多的ICMP报文,可以重构整个网络攻击的路径.Thing等人1o修改了这一方法,将标记的内容积累写入数据包中。Cheng等人liil在报文中嵌入管理信息库信息,提高了在溯源多个攻击流量时的路径重构准确性.Lee 等人12 研究了整个攻击路径信息的编码方式,以提高重构路径的性能.Yao等人13 提出一种被动追踪的方法,在网络终端部署监控器可以在一定程度上构造出攻击流量路径.但这种方法需要较多的攻击流量,并且需要部署多个监控器。使用单个ICMP数据包回溯
14、地址信息较为简单.但问题是部分网络设备可能会过滤或限制ICMP报文的传递,并且报文容易被伪造发送.1.4基于链路测试的溯源技术基于链路测试的溯源技术对骨干网络的拓扑结构和路由控制没有过多要求.Burch等人14 利用UDP泛洪的思想,依次对被攻击的上游路由发送洪泛流量.若洪泛的某条链路上也存在攻击流量,则该攻击流量可能出现丢包现象,并据此推断攻击路径.但该方法无法区分不同的攻击来源,也会影响正常的数据传递.Lai等人15 使用蚁群优化思想,选择网络负载更重的路径,并逐层推进,但同样无法区分不同的攻击来源.姜建国等人16 提出了一种改进方法,在了解骨干网络拓扑结构的前提下,每次都从受害者位置进行
15、洪泛测试。由于真正的DDoS攻击往往来自成百上千台受感染主机,若对上游网络中的路由器拓扑结构图不了解,可以尝试通过基于路由探测的工具软件(如traceroute等)获取信息17.并由此转化为已知网络拓扑结构的情况进行分析.链路测试的溯源技术仍存在一些限制,例如它无法区分不同的攻击源,且可能影响正常数据的传输。2基于场景的攻击溯源技术当前,我国网络空间安全形势日益复杂,网络攻击者的攻击手段也层出不穷.安全防御能力的提升需要根据不同的网络攻击场景,研究并实施不同的攻击溯源技术,做到精准化应对.结合威胁情报提出的主要攻击场景18 ,将攻击溯源技术的应3041用场景分为5类:匿名网络攻击、僵尸网络攻击
16、、跳板攻击、局域网攻击和高级可持续威胁攻击.2.1名网络攻击溯源技术匿名网络如Tor网络19 为用户提供了一种保护层,不暴露自已的真实身份和位置.然而这种匿名性也被攻击者利用,从而避开溯源分析.由于Tor网络的消息经过多层加密及其自组织管理模式,使得常规的IP流量溯源分析方法难以使用.因此,需要研究特定的溯源技术.陈周国等人2 0 将匿名网络攻击溯源方法分为调制追踪和渗透追踪.2.1.1调制追踪调制追踪在数据包中加入水印等标识特征,关联分析数据流量以识别攻击流量的来源。Yu等人2 1 利用直接序列扩频(DSSS)技术扩频水印信息干扰发件人的流量,并微调其速率,仅接收方可识别通信关系.通过在包终
17、止时间字段中写入IP地址hash值标记数据包,从而推算攻击流量的来源.Ling等人2 2 利用数据包的发送频率作为特征.卓中流2 3 提出流量识别方法和网站指纹识别算法追踪接收方.何高峰等人2 41通过观察数据包处理速度变慢的节点来追踪溯源.但这些方法仅适用于低延时匿名网络,高延时网络可能导致流水印信息丢失。2.1.2渗透追踪渗透追踪利用网络渗透技术控制匿名网络节点,破坏通信或利用协议漏洞,通过观察网络通信变化确定相关性Pries等人2 5 借助重放攻击破坏Tor网络的匿名性.但可供于关联的信息太少,方法的准确性较低.Qin等人2 6 分析了Tor项目团队发现的关联攻击2 7 ,修改从客户端派
18、生的单元格序列的命令字段以嵌人信号序列,检测出口Tor路由器上与嵌人信号序列一致的信号序列.若能获取攻击者的人口Tor路由器日志文件,Pei等人2 8 提出一种数据包检测方法.该方法使用数据包传输和中继时间的统计数据,通过分析人口Tor路由器的日志文件来确定与受害服务器上观察到的请求和响应配对相对应的数据包2.2僵尸网络攻击溯源技术僵尸网络(Botnet)是由一组受攻击者控制的被僵户程序感染的计算机组成的网络.从流量特征来看,攻击数据包来自受感染的主机,而无法识别学术论文.ResearchPapers真正的攻击源.本文在方滨兴等人2 9 和郭晓军等人30 研究的基础上,将僵尸网络攻击溯源技术总
19、结为2 类:流量特征追踪和渗透控制追踪.2.2.1流量特征追踪流量特征追踪主要通过分析网络流量数据中的特征来追踪僵尸主机.于晓聪等人31分析不同类型僵户网络的网络流量特征,快速检测出可疑的僵尸主机.Takemori等人32 提出了基于主机的追踪系统,在每台主机和服务器上安装网络监控服务,追溯从受害主机到Bot主机再到C&C服务器的路径.Ramsbrock等人33 针对基于IRC的僵尸网络提出了一种流量水印技术,通过改变数据包长度或发送间隔时间溯源.夏秦等人34 通过收集域名服务器的查询流量以及域名反查的方式来发现更多的僵尸户主机.2.2.2渗透控制追踪僵尸程序与其他程序一样也会存在各种漏洞.虽
20、然僵尸网络中通信通常是加密的,但Lin等人35 设计获取到Bot主机内存中存储的通信加密密钥,并分析攻击程序的漏洞,进一步在攻击者主机上执行命令,发送给攻击者主机信息给安全人员.蜜罐技术是通过设计诱饵诱导攻击者,从而捕获和分析攻击行为的方法.Yi等人36 提出使用蜜罐技术主动感染僵尸程序,成为僵尸网络的一部分,从而转化为通过流量特征追踪的方式。2.3跳板攻击溯源技术跳板攻击(bastion host attack)是指攻击者人侵并控制位于目标网络边界的跳板主机,进一步攻击目标网络内部的其他主机或系统.对于被攻击主机而言,其只能观察到攻击数据包的跳板主机地址,而不能识别到真正的攻击源头。识别真正
21、的攻击源首先需要检测本地网络环境中是否存在跳板主机.Chen等人37 通过对比数据包中的明文信息确定不同数据包中是否包含相同的文本.如果数据进行了加密,Zhang等人38 通过分析流量的时序特征,关联数据传输的时间间隔周期,将流人和流出流量以一定方式关联起来。孙奕等人39 根据直接访问相邻主机的处理时延远小于将相邻主机当作跳板访问的处理时延这一特性,通过比较同一连接运输层的RTT往返时间间隔,从而检测目标是否为跳板主机.该方法需要保证网络环境相对稳定.如果已发现本地网络中存在跳板主机,Wang等人40 在回传给攻击者的数据包添加水印特征,并在回传路径上部署传感器.殷树刚等人41根据发现的各级跳
22、板主机,利用域名和SSL证书信息进行反查,综合已知威胁情报获得攻击者组织信息。若无法在网络上部署传感器,可以借助僵尸网络攻击的溯源思想,在跳板主机回传的消息中插人可执行代码,但这种方法的难度同样较大.2.4局域网攻击溯源技术攻击者可能使用NAT技术潜伏在复杂的私有网络中.但NAT技术仅仅对IP地址和端口进行转换,不修改数据包的内容和大部分头部信息。在有线网络中,根据存储在IP数据包头部的序列号信息就可以关联公私网数据流量,进一步得知攻击者的私网IP及MAC地址.CohenL42利用Http协议报头中的时间戳或 Cookie辅助判断攻击主机的同一性.在2 层网络中,Hazeyama等人43 在数
23、据包中加人跟踪信息,标识攻击数据包所经过的叶子路由器的接口和所经过的2 层交换机的人口端.在无线网络中,IP数据包的头部会被加密.Chen等人44 利用数据包的长度控制外网的数据流,向数据流中添加特征水印,并在内网中检测数据流的特征水印.在大型公共场合的无线网络环境中,若已知攻击主机MAC地址,Wang等人45 提出的3维定位方法使用定向天线识别源MAC地址发送的数据帧,并通过多点测量数据信号强度确定其物理地址。2.5高级可持续攻击溯源技术高级可持续威胁(advanced persistentthreat)攻击活动通常利用多种手段来实施,有的APT攻击甚至可能潜伏长达数年46 .溯源目标不再是
24、将个人而是将整个群体与网络攻击进行联系47 .关于攻击组织的溯源更多依赖综合情报进行推理验证48 .基于不同的溯源思路,主流的溯源模型可以分为分层溯源模型、钻石模型和Q模型。2.5.1分层溯源模型分层溯源模型由Cohen等人49 首次提出,陈周国等人48 进一步明确了每个层次的目标和溯源问题.模型包括4个层次:归属直接发起网络攻击的主机、确定控制网络攻击的主机、追踪真正的攻击者以及追踪策划网络攻击的组织.刘潮歌等网址http:/1305信息安全研究第10 卷第4期2 0 2 4年4月Journalotinformatien Security ResearchVol.10No.4Apr.2024
25、人50 构建了网络服务、主机终端、文件数据、控制信道、行为特征和挖掘分析6 个层次的溯源模型,2.5.2钻石模型钻石模型由Caltagirone等人511提出,将情报实时集成到分析平台中,自动关联、分类和预测事件,同时规划和实施缓解策略,有4个核心特征:对手、能力、基础设施和受害者.Pahi等人52 针对证据可信度和模型普适性的问题,拆分组合攻击和攻击者的分析,改进为网络溯源模型(CAM).2.5.3Q模型Rid等人531研究了溯源的复杂性,引人战略、作战、战术、技术和沟通层面,认为溯源是双向的:战略层和操作层可以为随后的技术分析提供信息,反之亦然.模型分析了溯源过程中不考虑事件响应和溯源的战
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 取证 网络 攻击者 溯源 分析 技术研究 综述
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。