亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        從“軟件基因”視角看物聯(lián)網(wǎng)網(wǎng)絡威脅攻擊防御的基本面

        2018-09-11 05:59:30上海戎磐網(wǎng)絡科技有限公司劉旭
        網(wǎng)信軍民融合 2018年7期
        關鍵詞:家族聯(lián)網(wǎng)網(wǎng)絡安全

        ◎上海戎磐網(wǎng)絡科技有限公司 劉旭

        伴隨萬物互聯(lián)時代到來,物聯(lián)網(wǎng)安全也日益凸顯。美國最新公布的《2016—2045年新興科技趨勢報告》認為,到2045年,將有超過1千億的設備連接在互聯(lián)網(wǎng)上,隨著物聯(lián)網(wǎng)發(fā)展以及常用連接越來越多,網(wǎng)絡安全將成為網(wǎng)絡行業(yè)的首要話題。在眾多物聯(lián)網(wǎng)網(wǎng)絡攻擊威脅的樣式中,通過控制物聯(lián)網(wǎng)傳感器發(fā)起大規(guī)模DDoS攻擊的案例呈爆發(fā)趨勢,值得關注和警惕。

        需要說明的是,看似DDoS攻擊對普通個人似乎并沒有多大影響,而實際上卻可能嚴重影響人們的生活和工作,甚至威脅國家和互聯(lián)網(wǎng)的安全。當DDoS僵尸網(wǎng)絡執(zhí)行攻擊時,物聯(lián)網(wǎng)傳感器這些“肉雞”也都屬于受害者。2016年10月,美國域名服務商Dyn遭到大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡DDoS攻擊,導致美國東部大面積不能正常上網(wǎng)。同年11月底,造成德國90多萬臺路由器和固定電話的網(wǎng)絡癱瘓,就是因為相關物聯(lián)網(wǎng)設備被植入Mirai家族木馬并執(zhí)行DDoS攻擊造成的網(wǎng)絡堵塞。著名的Gafgyt僵尸網(wǎng)絡于2014年8月第一次被發(fā)現(xiàn),特別是2014年末在Lizard Squard(Xbox Live)與PlayStation Network的DDoS攻擊發(fā)生后變得更加有名。2015年1月Gafgyt的源代碼被公開,目前Gafgyt也是存在最多變型的惡性代碼。在全球控制物聯(lián)網(wǎng)節(jié)點超過10萬。而黑客的攻擊目標也從小范圍的網(wǎng)絡目標,升級到商業(yè)之間的競爭、國家金融服務,甚至國家之間的政治、軍事行動等等。如今,DDoS僵尸網(wǎng)絡搭建的簡易性和廉價性,給互聯(lián)網(wǎng)安全和我們日常生活和工作造成的威脅日趨嚴峻,維護網(wǎng)絡安全發(fā)展仍然任重道遠。

        傳統(tǒng)網(wǎng)絡安全分析技術大都基于特征檢測,總體看,在經過近10余年的發(fā)展,在識別、檢測、響應、處置網(wǎng)絡安全威脅方面積累了大量規(guī)則數(shù)據(jù),誕生了大量新型安全技術。但也存在一些短板,比如個體識別向群體識別邁進不足,在提升防御精度的同時擴展廣度能力有限等等。因此,行業(yè)里已經出現(xiàn)一些企業(yè)創(chuàng)新提出“軟件基因”的新型思路,以全新視角看待網(wǎng)絡空間。

        一、軟件基因視角

        “軟件基因”技術借鑒生物基因認識生命本源的思想,提出以“基因”視角認識網(wǎng)絡空間并解決多種網(wǎng)絡安全技術痛點,是和傳統(tǒng)基于“特征檢測”并行的技術路線,是我國自主首創(chuàng)全球領先的基礎性創(chuàng)新技術。“軟件基因”技術圍繞軟件本身“同源未必相似、相似未必同源”的安全屬性,從軟件代碼的“遺傳性”和“變異性”兩方面進行了系統(tǒng)技術驗證,打破了傳統(tǒng)安全主要基于“特征檢測”的技術路線,為新型網(wǎng)絡安全技術發(fā)展與應用提出了新的研究方向。橫向看,2017年3月,維基解密曝光大量美國CIA網(wǎng)絡武器庫,其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術、泄露數(shù)據(jù)等信息,通過模仿、混淆等方法生成新工具,發(fā)起迷惑對手、嫁禍于人、隱藏自己網(wǎng)絡攻擊,有一定“基因混淆”的思想,但具體進展不詳。國外一些研究人員近年來提出針對軟件的胎記(Birth Mark)識別,本質仍是基于特征的,主要用于對軟件的知識產權檢測,并不針對網(wǎng)絡空間。

        二、以軟件基因視角看待Mirai家族和Gafgyt家族的關系案例

        Mirai家族和Gafgyt家族都是著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡木馬家族,以其樣本為研究分析對象,利用上海戎磐網(wǎng)絡科技有限公司惡意代碼軟件基因分析引擎核心產品,繪制樣本基因圖譜,生成基因關聯(lián)分析熱力圖,可以得到以下結論:

        (一)分析樣本

        第一組是Gafgyt組:包含推測變種的Gafgyt和兩個對照樣本。

        第二組是Mirai組:包含與變種樣本相似度較高的三個Mirai樣本。

        (二)基因分析

        我們利用基因分析引擎將一組Gafgyt和Mirai樣本通過基因檢測的方式進行分析后得出了一張熱力圖(圖1)。圖中坐標軸數(shù)字是樣本的編號,顏色深淺表示樣本相似度,顏色越紅表示相似度越高,反之則越淺。

        我們除了看出1-4,5-22基本屬于同一類衍生樣本之外,發(fā)現(xiàn)了1號Gafgyt樣本與同組相似度一般,反而與5-22大部分Mirai樣本有很高的熱力值。借此,本文將對于疑似變異Gafgyt樣本與其他Mirai進行更進一步的分析。

        (三)逆向分析

        1、Gafgyt組分析結果

        圖1 樣本基因分析熱力圖

        1)全部都在.rodata前段找到大量存儲的linux系統(tǒng)指令,包括用戶登陸和調用網(wǎng)絡通信。

        2)在相同內存段后段找到大量存儲的提示字符串。

        3)在三個樣本中都找到了不同的IP通訊地址,疑似是惡意代碼用來通訊和傳輸?shù)牡刂?,對所有地址利用信譽引擎進行惡意信譽查詢,可以判定:

        2、Mirai組分析結果

        1)在.rodata段后段存儲了許多加密過的數(shù)據(jù),與Gafgyt不同(圖 2)。

        尋找部分并解碼后發(fā)現(xiàn)名為Table_Killer_Safe的函數(shù),繼續(xù)搜索發(fā)現(xiàn)很多類似命名的函數(shù),執(zhí)行的功能推測是關閉telnet,http,ssh等接口防止被其他類似功能病毒感染。

        2)三個樣本都存儲了密碼數(shù)據(jù)(圖3)

        abcdefghijklmnopqrstuvw012345678類似密碼的數(shù)據(jù),也都調用了watchdog。

        3)在d9fe3d7436659fca1ddc54的Mirai樣本中發(fā)現(xiàn)了IP地址185.244.25.153,通過信譽引擎查詢,發(fā)現(xiàn)該IP提供下載了 8UsA.sh 等文件。

        與Gafgyt變異樣本所下載文件相同,如下圖所示:

        將上面代碼整理后得到:

        圖2.rodata段后段存儲的加密數(shù)據(jù)

        圖3 樣本存儲的密碼數(shù)據(jù)

        4)分析結果

        通過上面的分析,我們對比了在熱力圖中顯示疑似變異的Gafgyt樣本(簡稱變異樣本)與另一組中部分Mirai樣本。發(fā)現(xiàn)了變異樣本和自身同組其他Gafgyt樣本具有類似的文件內容,確實符合Gafgyt的分組。同時,也發(fā)現(xiàn)了變異樣本與另一組Mirai樣本通過IP調用了同樣的.sh腳本文件,從運行方式上與Mirai樣本也有著相似度。

        所以我們可以得到這樣的結論,從特征檢測的角度出發(fā),我們可以把樣本按照預制的規(guī)則區(qū)別成Mirai和Gafgyt,但這種識別和區(qū)分事實上會給實際應對和處置工作帶來困惑。因此,如果從基因視角看,則是面向群體的結論,即:mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同時擁有兩種不同類型樣本的基因,包括了Gafgyt,因此在應對時應增加更多的機制與算法。

        三、結論

        萬物互聯(lián)美好時代背后也隱藏著諸多風險,相較互聯(lián)網(wǎng)時代的威脅,物聯(lián)網(wǎng)信息安全問題更多元、更復雜、更疊加。如果從“軟件基因”的視角看物聯(lián)網(wǎng)網(wǎng)絡威脅攻擊防御的基本面的話,至少可以有以下一些結論:

        一是目前網(wǎng)絡空間安全威脅已經出現(xiàn)由對抗黑客向對抗黑產的重大轉變?,F(xiàn)在炫耀自身技術的小黑客已經越來越少了,取而代之的是越來越完整的黑產利益鏈,有組織、有目的的攻擊越來越多,應對需要更多元的技術體系。

        二是各個著名物聯(lián)網(wǎng)僵尸網(wǎng)絡家族木馬直接的關聯(lián)性越來越強。由于部分開源武器曝光,降低了發(fā)起大規(guī)模物聯(lián)網(wǎng)網(wǎng)絡攻擊的行動門檻,也加大了各個木馬家族的代碼關聯(lián)性。目前殺毒軟件在提高識別精準度的同時,一般不會給一個樣本多個名字,只會依據(jù)自己的特征庫及算法把病毒歸于某一類,但這種現(xiàn)狀事實上為用戶的響應處置帶來了一些困惑,特別是對有家族和成規(guī)模的網(wǎng)絡攻擊威脅。

        三是網(wǎng)絡攻擊識別響應應當從面向個體的分析加速向面向群體的分析拓展。特征檢測本質上是面向個體的分析,特征庫越來越大,大數(shù)據(jù)、AI等技術引入特征識別,將有效提升分析的精度。但同時也應注意,在提升精度的同時,如何由點及面,擴展分析的廣度,有待業(yè)內不斷進行思路和技術方法創(chuàng)新。

        猜你喜歡
        家族聯(lián)網(wǎng)網(wǎng)絡安全
        “身聯(lián)網(wǎng)”等五則
        HK家族崛起
        《小偷家族》
        電影(2019年3期)2019-04-04 11:57:18
        網(wǎng)絡安全
        網(wǎng)絡安全人才培養(yǎng)應“實戰(zhàn)化”
        搶占物聯(lián)網(wǎng)
        通信世界(2018年27期)2018-10-16 09:02:56
        上網(wǎng)時如何注意網(wǎng)絡安全?
        皿字家族
        家族中的十大至尊寶
        我國擬制定網(wǎng)絡安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        国产日产在线视频一区| 精品黄色国产一区二区| 无遮挡十八禁在线视频国产制服网站 | 亚洲羞羞视频| 国产亚洲精品日韩综合网| 国产精品无套粉嫩白浆在线| 国产一区二区三区不卡在线播放| 人妻一区二区三区在线看| 激情综合婷婷色五月蜜桃| 久久久久久国产精品免费免费| 99精品热这里只有精品| 麻豆国产高清精品国在线| 亚洲AV无码国产精品久久l| 日本精品一区二区三区在线播放| 午夜免费观看一区二区三区| 色翁荡熄又大又硬又粗又动态图| 亚洲国产精品无码久久98| 无码手机线免费观看| 最新国产午夜福利| 亚洲日韩国产精品不卡一区在线| 亚洲av第一区国产精品| 欲香欲色天天天综合和网| 亚洲国产av玩弄放荡人妇系列| 国产亚洲av手机在线观看| 亚洲黄色尤物视频| 精品人妻中文字幕一区二区三区| 美利坚合众国亚洲视频 | 国产成人av一区二区三区在线 | 无码a级毛片免费视频内谢5j| 亚洲精品久久久久中文字幕| 在线播放亚洲第一字幕| 国产亚洲精品国产福利在线观看| 白白在线免费观看视频| 一本大道道久久综合av| 玩弄丰满奶水的女邻居| 欧美性xxxx狂欢老少配| 一区二区韩国福利网站| 一本久道视频无线视频试看 | 在线观看中文字幕一区二区三区 | 国产乡下妇女做爰| 亚洲精品午睡沙发系列|