《基于網(wǎng)絡(luò)釣魚的密碼竊取技術(shù)研究》開題報(bào)告5000字

———基于網(wǎng)絡(luò)釣魚的密碼竊取技術(shù)研究開題報(bào)告一、課題名稱、來源、選題依據(jù)（一）課題名稱基于網(wǎng)絡(luò)釣魚的密碼竊取技術(shù)研究（二）來源隨著信息技術(shù)的廣泛應(yīng)用和不斷發(fā)展，互聯(lián)網(wǎng)己經(jīng)成為我們生活中不可缺少的一部分。其中，將現(xiàn)代化辦公與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合起來的一種新型辦公方式——辦公自動化在我國發(fā)展迅速，這使企業(yè)工作效率得到有效提升的同時(shí)，計(jì)算機(jī)也廣泛成為企業(yè)和個(gè)人存儲信息的主要載體。與此同時(shí)，其數(shù)據(jù)安全問題也逐漸成為人們關(guān)注的焦點(diǎn)。近年來，以獲取企事業(yè)單位及個(gè)人有價(jià)值信息為目標(biāo)的網(wǎng)絡(luò)竊密攻擊越演越烈。2020年4月，深信服發(fā)布《2020年網(wǎng)絡(luò)安全態(tài)勢洞察報(bào)告》指出全球各地深受數(shù)據(jù)泄露事件困擾，其中72%的數(shù)據(jù)泄露事件中包含商業(yè)客戶受害者，眾多受害者的用戶數(shù)據(jù)遭到侵害，且惡意攻擊是數(shù)據(jù)遭受泄露的主要原因之一，占比52%。同時(shí)，報(bào)告顯示2020年下半年惡意軟件攔截量比上半年增長超過30%其中，在惡意軟件攔截類型中木馬占比26.98%，位居第二。此外，2021年上半年，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布了(((2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》，報(bào)告顯示我國境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約446萬臺，同比增長46.8%。此外，2022年1月瑞星公司發(fā)布了《2021年中國網(wǎng)絡(luò)安全報(bào)告》，報(bào)告指出2021年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量1.19億個(gè)，病毒感染次數(shù)2.59億次，病毒類型以信息竊取、資費(fèi)消耗、遠(yuǎn)程控制、流氓行為等類型為主。如圖1.1所示，統(tǒng)計(jì)了我國在2021年的病毒樣本類型，其中新增木馬病毒8050萬個(gè)，為第一大種類病毒，占到總數(shù)量的67.49%。由此可見，木馬仍然還是互聯(lián)網(wǎng)所面臨的主要安全威脅之一。（三）選題依據(jù)本文研究的竊密木馬程序主要指以竊取用戶隱私數(shù)據(jù)為目的的網(wǎng)絡(luò)釣魚竊密木馬和釣魚網(wǎng)站竊密木馬。網(wǎng)絡(luò)釣魚竊密木馬主要收集和使用用戶的個(gè)人隱私數(shù)據(jù)或敏感信息;攻擊者將網(wǎng)絡(luò)釣魚竊密木馬植入到受害主機(jī)后，網(wǎng)絡(luò)釣魚竊密木馬收集主機(jī)信息后發(fā)送給特定目標(biāo)。釣魚網(wǎng)站竊密木馬通過獲取主機(jī)控制權(quán)控制目標(biāo)主機(jī)、監(jiān)控受害者的主機(jī)行為來竊取機(jī)密信息;攻擊者將釣魚網(wǎng)站竊密木馬植入到目標(biāo)主機(jī)后，木馬會進(jìn)行長期潛伏并在接收到控制指令后執(zhí)行指令并將執(zhí)行結(jié)果回傳給攻擊者。不論是網(wǎng)絡(luò)釣魚竊密木馬還是釣魚網(wǎng)站竊密木馬，都具有很強(qiáng)的隱蔽性和潛伏性，且都會對受害主機(jī)進(jìn)行信息竊取并發(fā)送給第三方。例如個(gè)人隱私數(shù)據(jù)、公司商業(yè)數(shù)據(jù)等，這對個(gè)人、企業(yè)甚至是國家安全造成了巨大威脅。然而為了更好地獲取敏感信息，竊密木馬的隱蔽性及潛伏性也越來越強(qiáng)，這給竊密木馬檢測技術(shù)帶來了很大的挑戰(zhàn)。竊密木馬程序的檢測不僅有利于發(fā)現(xiàn)異常流量，還有助于發(fā)現(xiàn)隱藏的APT攻擊行為，以便為大型攻擊事件提供預(yù)警，所以至今一直受到國內(nèi)外學(xué)者的廣泛關(guān)注。為應(yīng)對竊密木馬所引發(fā)的安全威肋、，近年來國內(nèi)外研究者提出了一系列檢測方法?，F(xiàn)今使用較多的是基于特征碼的檢測技術(shù)和基于行為的檢測技術(shù)，但基于特征碼的檢測技術(shù)不能檢測未知的竊密木。此外，竊密木馬為了竊取感染主機(jī)信息會使用多種隱藏技術(shù)隱藏自身，故其工作行為較為隱蔽且在其生命周期中大部分時(shí)間僅是潛伏在感染主機(jī)內(nèi)而且會盡量少地表現(xiàn)出異常行為，這導(dǎo)致在實(shí)際應(yīng)用中基于行為的檢測技術(shù)對竊密木馬的檢測效果不好。所以，加強(qiáng)對竊密木馬的檢測與防范仍然是一個(gè)重要的研究課題。二、本課題國內(nèi)外研究現(xiàn)狀及發(fā)展趨勢當(dāng)前含竊密功能的木馬數(shù)量眾多，大致可分為軟件木馬和硬件木馬兩種類型，本文主要研究軟件木馬。為了更好地對竊密木馬進(jìn)行研究，按竊密木馬對受害主機(jī)的控制方式可劃分為有控制功能和無控制功能兩種類型，即竊密木馬對受害主機(jī)不具有控制功能的網(wǎng)絡(luò)釣魚竊密木馬與竊密木馬對受害主機(jī)具有控制功能的釣魚網(wǎng)站竊密木馬。網(wǎng)絡(luò)釣魚竊密木馬感染主機(jī)后單獨(dú)作業(yè)，收集感染主機(jī)的敏感信息并通過網(wǎng)絡(luò)發(fā)送給特定目標(biāo);釣魚網(wǎng)站竊密木馬感染主機(jī)后通過獲取主機(jī)控制權(quán)控制主機(jī)，等待攻擊者發(fā)送控制指令，木馬在感染主機(jī)內(nèi)監(jiān)聽、執(zhí)行控制指令后將執(zhí)行結(jié)果通過網(wǎng)絡(luò)回傳給攻擊者。為便于研究，針對網(wǎng)絡(luò)釣魚竊密木馬和釣魚網(wǎng)站竊密木馬，本文將被植入竊密木馬的一端統(tǒng)稱為竊密端/被控端(類似正常軟件客戶端)，將接收竊密信息的一端統(tǒng)稱為接收端/控制端(類似正常軟件服務(wù)端)。竊密木馬與其他諸如勒索軟件等以損害系統(tǒng)為目的的惡意程序不同，當(dāng)竊密木馬被植入到竊密端/被控端后，竊密木馬會盡可能長期潛伏并秘密竊取其隱私信息，這給竊密木馬檢測帶來了很大的挑戰(zhàn)?，F(xiàn)階段針對竊密木馬的檢測方法大多使用基于特征碼的檢測技術(shù)和基于行為的檢測技術(shù)?；谔卣鞔a的檢測技術(shù)通過將待檢測程序的特征與特征庫進(jìn)行對比來判斷其是否為惡意程序，該技術(shù)能高準(zhǔn)確率地檢測包含在特征庫內(nèi)的竊密木馬，但無法檢測未在特征庫中的竊密木馬。而基于行為的檢測技術(shù)則通過分析待檢測程序的主機(jī)行為或網(wǎng)絡(luò)行為來判斷其是否為惡意程序。然而，竊密木馬為避免被檢測會在感染主機(jī)后僅在不連續(xù)的較短時(shí)間內(nèi)執(zhí)行其竊密行為，這導(dǎo)致基于行為的檢測方法針對竊密木馬檢測時(shí)漏報(bào)率較高。（1）基于特征碼的檢測方法基于特征碼的檢測方法是檢測惡意程序最為簡單和實(shí)用的方法，特征碼是一串或幾串用于唯一標(biāo)識一個(gè)木馬程序的二進(jìn)制信息。其通過對己知的竊密木馬進(jìn)行逆向分析，提取待檢測竊密木馬的特征并與特征庫進(jìn)行對比來判斷其是否為竊密木馬。David等人通過一種神經(jīng)網(wǎng)絡(luò)一深度信念網(wǎng)絡(luò)(DBN)生成特征碼，提出了一種基于深度學(xué)習(xí)的惡意軟件特征碼自動生成和分類方法。Sathyanarayan等人通過提取惡意軟件的關(guān)鍵API序列來作為特征碼對惡意軟件進(jìn)行識別。Lavesson等人通過將用戶許可協(xié)議看作一個(gè)特征碼，并在實(shí)驗(yàn)過程中驗(yàn)證了多種算法的檢測效果較好。(2)基于主機(jī)行為分析的檢測方法Salehi等人通過API調(diào)用或者程序參數(shù)來識別惡意軟件。Javaheri等人通過提取程序運(yùn)行中的API調(diào)用結(jié)合機(jī)器學(xué)習(xí)算法對木馬程序進(jìn)行檢測。Ahmadi等人瑪寄程序API調(diào)用轉(zhuǎn)換為灰度圖，并用圖像識別技術(shù)來檢測惡意軟件。Mimura等人環(huán)口Nissim等人在受控環(huán)境下監(jiān)測木馬執(zhí)行時(shí)所調(diào)用的API序列及其庫文件，通過這些對受害主機(jī)的敏感操作來構(gòu)建模型并進(jìn)行訓(xùn)練和檢測。Rezaeirad等人通過在蜜罐環(huán)境下重構(gòu)攻擊者執(zhí)行木馬的種種惡意行為，來分析木馬操控者的攻擊行為、攻擊信息及木馬操控者與被操控者之間的交互方式等。段曉云通過研究惡意軟件的運(yùn)行原理，提出通過監(jiān)測軟件在windows系統(tǒng)中的API調(diào)用行為，結(jié)合文本分類和數(shù)據(jù)挖掘技術(shù)來檢測惡意軟件。(3)基于網(wǎng)絡(luò)行為分析的檢測方法Jiang等使用數(shù)據(jù)包數(shù)量、上行數(shù)據(jù)包大小、下行數(shù)據(jù)包大小等七個(gè)特征，并采用隨機(jī)森林算法構(gòu)建模型對木馬類惡意流量進(jìn)行檢測。王偉等人提出了一種以原始流量數(shù)據(jù)為圖像的使用卷積神經(jīng)網(wǎng)絡(luò)應(yīng)用于惡意軟件流量分類的方法，該方法以原始流量數(shù)據(jù)作為分類模型的輸入，從而減少了人工設(shè)計(jì)特征步驟。Wazid等人提出了一種針對新型鍵盤記錄軟件攻擊檢測和防御的框架，旨在檢測到鍵盤記錄軟件后，根據(jù)鍵盤記錄軟件會定期將收集的日志文件通過電子郵件發(fā)送到指定的電子郵件地址，通過分析該日志文件進(jìn)行預(yù)防。但文中并未給出框架的實(shí)現(xiàn)細(xì)節(jié)，且只針對一個(gè)鍵盤記錄軟件進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)樣本數(shù)量較少。Pallaprolu等人通過使用集成學(xué)習(xí)對各個(gè)分類器的檢測結(jié)果進(jìn)行投票，以此獲取較高的檢測率。LI等人通過提取上下行字節(jié)比等特征并結(jié)合K-means聚類算法構(gòu)建了木馬檢測模型。Zhang等人通過分別提取木馬各個(gè)通信階段的特征結(jié)合集成學(xué)習(xí)方法來進(jìn)行木馬流量識別。綜上所述，針對網(wǎng)絡(luò)釣魚竊密木馬而言，當(dāng)前大多數(shù)檢測方法運(yùn)用基于主機(jī)行為特征分析的檢測方法，但網(wǎng)絡(luò)釣魚竊密木馬在感染主機(jī)后僅在不連續(xù)的較短時(shí)間段內(nèi)執(zhí)行其竊密行為，導(dǎo)致基于主機(jī)行為的檢測方法對網(wǎng)絡(luò)釣魚竊密木馬的漏報(bào)率較高。然而，網(wǎng)絡(luò)釣魚竊密木馬作為以竊取數(shù)據(jù)為主要意圖的惡意軟件，將受害主機(jī)上竊取的隱私信息遠(yuǎn)程傳送給攻擊者是其必要步驟。當(dāng)前，因特網(wǎng)是攻擊者與網(wǎng)絡(luò)釣魚竊密木馬通信的主要通道。因此，本文重點(diǎn)關(guān)注網(wǎng)絡(luò)釣魚竊密木馬的網(wǎng)絡(luò)通信行為，從待檢測主機(jī)的網(wǎng)絡(luò)流量中提取網(wǎng)絡(luò)釣魚竊密木馬的網(wǎng)絡(luò)通信行為特征，構(gòu)建一種基于網(wǎng)絡(luò)通信行為特征的網(wǎng)絡(luò)釣魚竊密木馬檢測方法。針對釣魚網(wǎng)站竊密木馬而言，從網(wǎng)絡(luò)通信行為角度分析，網(wǎng)絡(luò)流量承載了遠(yuǎn)控木馬控制端發(fā)送控制命令，被控端執(zhí)行命令并回傳其獲取到的受害主機(jī)敏感信息的通信過程。且在命令發(fā)送和執(zhí)行過程中，分析單向網(wǎng)絡(luò)通信行為特征相較于當(dāng)前主流的分析雙向網(wǎng)絡(luò)通信行為特征具有效果更為明顯，分析數(shù)據(jù)量較小、效率更高等特點(diǎn)。而從木馬被控端角度出發(fā)，其僅是被動執(zhí)行控制端所發(fā)出的命令而己。因此，本文重點(diǎn)分析釣魚網(wǎng)站竊密木馬的單向通信過程，從釣魚網(wǎng)站竊密木馬控制端角度出發(fā)，旨在通過分析木馬控制端所產(chǎn)生的單向網(wǎng)絡(luò)通信行為實(shí)現(xiàn)準(zhǔn)確、高效地檢測釣魚網(wǎng)站竊密木馬流量。三、課題在理論與實(shí)踐上的意義入侵檢測技術(shù)正是能夠涵蓋防御和檢測的一項(xiàng)防御手段，入侵檢測技術(shù)具有大量的、全面的分析，它能告訴用戶，什么地方存在什么樣的威脅，需要如何處理。目前還沒有一項(xiàng)技術(shù)能夠替代入侵檢測技術(shù)實(shí)現(xiàn)這樣的功能。因入侵檢測系統(tǒng)不可替代性的優(yōu)點(diǎn)，美國保護(hù)政府系統(tǒng)信息安全的愛因斯坦計(jì)劃也是大量應(yīng)用了入侵檢測技術(shù)。于是本文從入侵檢測技術(shù)針對網(wǎng)絡(luò)竊密的方面出發(fā)，明確網(wǎng)絡(luò)竊密的特點(diǎn)，相應(yīng)的改善入侵檢測技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)竊密的預(yù)防和發(fā)現(xiàn)，這對于保障網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)竊密具有重要意義。四、課題需要解決的關(guān)鍵理論問題和實(shí)際問題（1）通過對真實(shí)竊密木馬樣本的執(zhí)行過程進(jìn)行細(xì)致分析，并進(jìn)一步分析了自主型竊密木馬與釣魚網(wǎng)站竊密木馬的網(wǎng)絡(luò)通信行為特性，總結(jié)了可用于網(wǎng)絡(luò)釣魚竊密木馬和釣魚網(wǎng)站竊密木馬檢測的網(wǎng)絡(luò)特征。（2）針對當(dāng)前網(wǎng)絡(luò)釣魚竊密木馬檢測方法存在竊密木馬主機(jī)行為獲取難度大、漏報(bào)率較高等問題，本文通過抽取網(wǎng)絡(luò)釣魚竊密木馬網(wǎng)絡(luò)通信階段的行為特征，提出一種基于網(wǎng)絡(luò)通信行為特征的網(wǎng)絡(luò)釣魚竊密木馬檢測方法。并結(jié)合真實(shí)的網(wǎng)絡(luò)釣魚竊密木馬樣本，驗(yàn)證了該方法能夠在使用較少特征的前提下能以高準(zhǔn)確率檢測己知和未知網(wǎng)絡(luò)釣魚竊密木馬。（3）針對當(dāng)前釣魚網(wǎng)站竊密木馬檢測方法存在分析其單向網(wǎng)絡(luò)通信行為特征相較于分析雙向網(wǎng)絡(luò)通信行為特征具有效果更明顯，分析數(shù)據(jù)量較小、效率更高等特點(diǎn)。本文通過抽取釣魚網(wǎng)站竊密木馬控制端的網(wǎng)絡(luò)通信行為特征，提出一種基于控制端行為分析的釣魚網(wǎng)站竊密木馬檢測方法。并結(jié)合真實(shí)的釣魚網(wǎng)站竊密木馬樣本，驗(yàn)證了該方法能以高準(zhǔn)確率區(qū)分釣魚網(wǎng)站竊密木馬流量和正常軟件流量。五、課題研究的基本方法、實(shí)驗(yàn)方案及技術(shù)路線的可行性論證網(wǎng)絡(luò)釣魚竊密木馬在受害主機(jī)上僅在持續(xù)時(shí)間短的網(wǎng)絡(luò)通信階段進(jìn)行數(shù)據(jù)交互，這與正常網(wǎng)絡(luò)應(yīng)用軟件的通信行為存在明顯區(qū)別。因此，本文提出一種基于網(wǎng)絡(luò)通信行為特征的網(wǎng)絡(luò)釣魚竊密木馬檢測方法ADMNC，該方法以網(wǎng)絡(luò)釣魚竊密木馬網(wǎng)絡(luò)通信階段的流量特征來判別網(wǎng)絡(luò)釣魚竊密木馬流量和正常軟件流量。本文將檢測單元設(shè)為TCP會話，由{源IP地址、源端口、目的IP地址、目的端口、協(xié)議}五元組信息確定。如圖3.2所示，ADMNC首先對收集的網(wǎng)絡(luò)釣魚竊密木馬網(wǎng)絡(luò)流量進(jìn)行TCP會話抽取得到網(wǎng)絡(luò)釣魚竊密木馬TCP會話集。相應(yīng)的，ADMNC采集用戶正常使用主機(jī)時(shí)所產(chǎn)生的網(wǎng)絡(luò)通信流量并抽取其TCP會話，保留會話中由各內(nèi)部主機(jī)發(fā)起的會話得到正常軟件TCP會話集，將該會話集視為正常軟件的“通信流量”。在提取各網(wǎng)絡(luò)釣魚竊密木馬會話或正常軟件會話時(shí)，本文將內(nèi)部主機(jī)向外部服務(wù)器發(fā)送建立TCP連接請求的SYN包和發(fā)送釋放連接確認(rèn)的ACK包的行為分別視為網(wǎng)絡(luò)釣魚竊密木馬/正常軟件進(jìn)入和結(jié)束一次網(wǎng)絡(luò)通信行為的標(biāo)志。之后，從會話集中提取每個(gè)會話的流量特征并結(jié)合機(jī)器學(xué)習(xí)算法建立檢測模型，用以判別各待檢測TCP會話對應(yīng)正常軟件流量還是網(wǎng)絡(luò)釣魚竊密木馬流量。六、開展研究應(yīng)具備的條件及已具備的條件，并估計(jì)在進(jìn)行論文工作中可能遇到的困難與問題和解決措施在Vmware虛擬機(jī)中安裝Windows7操作系統(tǒng)作為自主型竊密木馬竊密端的運(yùn)行環(huán)境，并在其中安裝了WPS,360瀏覽器等常用正常軟件，其中Ftp接收端與Email接收端分別處于內(nèi)網(wǎng)和外網(wǎng)。檢測自主型竊密木馬的主機(jī)硬件配置為Interi7-8700處理器，16G內(nèi)存，使用Wireshark軟件