亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        從“軟件基因”視角看物聯(lián)網(wǎng)網(wǎng)絡(luò)威脅攻擊防御的基本面

        2018-09-11 05:59:30上海戎磐網(wǎng)絡(luò)科技有限公司劉旭
        網(wǎng)信軍民融合 2018年7期
        關(guān)鍵詞:家族聯(lián)網(wǎng)網(wǎng)絡(luò)安全

        ◎上海戎磐網(wǎng)絡(luò)科技有限公司 劉旭

        伴隨萬物互聯(lián)時代到來,物聯(lián)網(wǎng)安全也日益凸顯。美國最新公布的《2016—2045年新興科技趨勢報告》認為,到2045年,將有超過1千億的設(shè)備連接在互聯(lián)網(wǎng)上,隨著物聯(lián)網(wǎng)發(fā)展以及常用連接越來越多,網(wǎng)絡(luò)安全將成為網(wǎng)絡(luò)行業(yè)的首要話題。在眾多物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊威脅的樣式中,通過控制物聯(lián)網(wǎng)傳感器發(fā)起大規(guī)模DDoS攻擊的案例呈爆發(fā)趨勢,值得關(guān)注和警惕。

        需要說明的是,看似DDoS攻擊對普通個人似乎并沒有多大影響,而實際上卻可能嚴重影響人們的生活和工作,甚至威脅國家和互聯(lián)網(wǎng)的安全。當DDoS僵尸網(wǎng)絡(luò)執(zhí)行攻擊時,物聯(lián)網(wǎng)傳感器這些“肉雞”也都屬于受害者。2016年10月,美國域名服務(wù)商Dyn遭到大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)DDoS攻擊,導(dǎo)致美國東部大面積不能正常上網(wǎng)。同年11月底,造成德國90多萬臺路由器和固定電話的網(wǎng)絡(luò)癱瘓,就是因為相關(guān)物聯(lián)網(wǎng)設(shè)備被植入Mirai家族木馬并執(zhí)行DDoS攻擊造成的網(wǎng)絡(luò)堵塞。著名的Gafgyt僵尸網(wǎng)絡(luò)于2014年8月第一次被發(fā)現(xiàn),特別是2014年末在Lizard Squard(Xbox Live)與PlayStation Network的DDoS攻擊發(fā)生后變得更加有名。2015年1月Gafgyt的源代碼被公開,目前Gafgyt也是存在最多變型的惡性代碼。在全球控制物聯(lián)網(wǎng)節(jié)點超過10萬。而黑客的攻擊目標也從小范圍的網(wǎng)絡(luò)目標,升級到商業(yè)之間的競爭、國家金融服務(wù),甚至國家之間的政治、軍事行動等等。如今,DDoS僵尸網(wǎng)絡(luò)搭建的簡易性和廉價性,給互聯(lián)網(wǎng)安全和我們?nèi)粘I詈凸ぷ髟斐傻耐{日趨嚴峻,維護網(wǎng)絡(luò)安全發(fā)展仍然任重道遠。

        傳統(tǒng)網(wǎng)絡(luò)安全分析技術(shù)大都基于特征檢測,總體看,在經(jīng)過近10余年的發(fā)展,在識別、檢測、響應(yīng)、處置網(wǎng)絡(luò)安全威脅方面積累了大量規(guī)則數(shù)據(jù),誕生了大量新型安全技術(shù)。但也存在一些短板,比如個體識別向群體識別邁進不足,在提升防御精度的同時擴展廣度能力有限等等。因此,行業(yè)里已經(jīng)出現(xiàn)一些企業(yè)創(chuàng)新提出“軟件基因”的新型思路,以全新視角看待網(wǎng)絡(luò)空間。

        一、軟件基因視角

        “軟件基因”技術(shù)借鑒生物基因認識生命本源的思想,提出以“基因”視角認識網(wǎng)絡(luò)空間并解決多種網(wǎng)絡(luò)安全技術(shù)痛點,是和傳統(tǒng)基于“特征檢測”并行的技術(shù)路線,是我國自主首創(chuàng)全球領(lǐng)先的基礎(chǔ)性創(chuàng)新技術(shù)?!败浖颉奔夹g(shù)圍繞軟件本身“同源未必相似、相似未必同源”的安全屬性,從軟件代碼的“遺傳性”和“變異性”兩方面進行了系統(tǒng)技術(shù)驗證,打破了傳統(tǒng)安全主要基于“特征檢測”的技術(shù)路線,為新型網(wǎng)絡(luò)安全技術(shù)發(fā)展與應(yīng)用提出了新的研究方向。橫向看,2017年3月,維基解密曝光大量美國CIA網(wǎng)絡(luò)武器庫,其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術(shù)、泄露數(shù)據(jù)等信息,通過模仿、混淆等方法生成新工具,發(fā)起迷惑對手、嫁禍于人、隱藏自己網(wǎng)絡(luò)攻擊,有一定“基因混淆”的思想,但具體進展不詳。國外一些研究人員近年來提出針對軟件的胎記(Birth Mark)識別,本質(zhì)仍是基于特征的,主要用于對軟件的知識產(chǎn)權(quán)檢測,并不針對網(wǎng)絡(luò)空間。

        二、以軟件基因視角看待Mirai家族和Gafgyt家族的關(guān)系案例

        Mirai家族和Gafgyt家族都是著名的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)木馬家族,以其樣本為研究分析對象,利用上海戎磐網(wǎng)絡(luò)科技有限公司惡意代碼軟件基因分析引擎核心產(chǎn)品,繪制樣本基因圖譜,生成基因關(guān)聯(lián)分析熱力圖,可以得到以下結(jié)論:

        (一)分析樣本

        第一組是Gafgyt組:包含推測變種的Gafgyt和兩個對照樣本。

        第二組是Mirai組:包含與變種樣本相似度較高的三個Mirai樣本。

        (二)基因分析

        我們利用基因分析引擎將一組Gafgyt和Mirai樣本通過基因檢測的方式進行分析后得出了一張熱力圖(圖1)。圖中坐標軸數(shù)字是樣本的編號,顏色深淺表示樣本相似度,顏色越紅表示相似度越高,反之則越淺。

        我們除了看出1-4,5-22基本屬于同一類衍生樣本之外,發(fā)現(xiàn)了1號Gafgyt樣本與同組相似度一般,反而與5-22大部分Mirai樣本有很高的熱力值。借此,本文將對于疑似變異Gafgyt樣本與其他Mirai進行更進一步的分析。

        (三)逆向分析

        1、Gafgyt組分析結(jié)果

        圖1 樣本基因分析熱力圖

        1)全部都在.rodata前段找到大量存儲的linux系統(tǒng)指令,包括用戶登陸和調(diào)用網(wǎng)絡(luò)通信。

        2)在相同內(nèi)存段后段找到大量存儲的提示字符串。

        3)在三個樣本中都找到了不同的IP通訊地址,疑似是惡意代碼用來通訊和傳輸?shù)牡刂?,對所有地址利用信譽引擎進行惡意信譽查詢,可以判定:

        2、Mirai組分析結(jié)果

        1)在.rodata段后段存儲了許多加密過的數(shù)據(jù),與Gafgyt不同(圖 2)。

        尋找部分并解碼后發(fā)現(xiàn)名為Table_Killer_Safe的函數(shù),繼續(xù)搜索發(fā)現(xiàn)很多類似命名的函數(shù),執(zhí)行的功能推測是關(guān)閉telnet,http,ssh等接口防止被其他類似功能病毒感染。

        2)三個樣本都存儲了密碼數(shù)據(jù)(圖3)

        abcdefghijklmnopqrstuvw012345678類似密碼的數(shù)據(jù),也都調(diào)用了watchdog。

        3)在d9fe3d7436659fca1ddc54的Mirai樣本中發(fā)現(xiàn)了IP地址185.244.25.153,通過信譽引擎查詢,發(fā)現(xiàn)該IP提供下載了 8UsA.sh 等文件。

        與Gafgyt變異樣本所下載文件相同,如下圖所示:

        將上面代碼整理后得到:

        圖2.rodata段后段存儲的加密數(shù)據(jù)

        圖3 樣本存儲的密碼數(shù)據(jù)

        4)分析結(jié)果

        通過上面的分析,我們對比了在熱力圖中顯示疑似變異的Gafgyt樣本(簡稱變異樣本)與另一組中部分Mirai樣本。發(fā)現(xiàn)了變異樣本和自身同組其他Gafgyt樣本具有類似的文件內(nèi)容,確實符合Gafgyt的分組。同時,也發(fā)現(xiàn)了變異樣本與另一組Mirai樣本通過IP調(diào)用了同樣的.sh腳本文件,從運行方式上與Mirai樣本也有著相似度。

        所以我們可以得到這樣的結(jié)論,從特征檢測的角度出發(fā),我們可以把樣本按照預(yù)制的規(guī)則區(qū)別成Mirai和Gafgyt,但這種識別和區(qū)分事實上會給實際應(yīng)對和處置工作帶來困惑。因此,如果從基因視角看,則是面向群體的結(jié)論,即:mirai_4147e375f325878fe3c3962c3d4ac411c47ddbef同時擁有兩種不同類型樣本的基因,包括了Gafgyt,因此在應(yīng)對時應(yīng)增加更多的機制與算法。

        三、結(jié)論

        萬物互聯(lián)美好時代背后也隱藏著諸多風險,相較互聯(lián)網(wǎng)時代的威脅,物聯(lián)網(wǎng)信息安全問題更多元、更復(fù)雜、更疊加。如果從“軟件基因”的視角看物聯(lián)網(wǎng)網(wǎng)絡(luò)威脅攻擊防御的基本面的話,至少可以有以下一些結(jié)論:

        一是目前網(wǎng)絡(luò)空間安全威脅已經(jīng)出現(xiàn)由對抗黑客向?qū)购诋a(chǎn)的重大轉(zhuǎn)變?,F(xiàn)在炫耀自身技術(shù)的小黑客已經(jīng)越來越少了,取而代之的是越來越完整的黑產(chǎn)利益鏈,有組織、有目的的攻擊越來越多,應(yīng)對需要更多元的技術(shù)體系。

        二是各個著名物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)家族木馬直接的關(guān)聯(lián)性越來越強。由于部分開源武器曝光,降低了發(fā)起大規(guī)模物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的行動門檻,也加大了各個木馬家族的代碼關(guān)聯(lián)性。目前殺毒軟件在提高識別精準度的同時,一般不會給一個樣本多個名字,只會依據(jù)自己的特征庫及算法把病毒歸于某一類,但這種現(xiàn)狀事實上為用戶的響應(yīng)處置帶來了一些困惑,特別是對有家族和成規(guī)模的網(wǎng)絡(luò)攻擊威脅。

        三是網(wǎng)絡(luò)攻擊識別響應(yīng)應(yīng)當從面向個體的分析加速向面向群體的分析拓展。特征檢測本質(zhì)上是面向個體的分析,特征庫越來越大,大數(shù)據(jù)、AI等技術(shù)引入特征識別,將有效提升分析的精度。但同時也應(yīng)注意,在提升精度的同時,如何由點及面,擴展分析的廣度,有待業(yè)內(nèi)不斷進行思路和技術(shù)方法創(chuàng)新。

        猜你喜歡
        家族聯(lián)網(wǎng)網(wǎng)絡(luò)安全
        “身聯(lián)網(wǎng)”等五則
        HK家族崛起
        《小偷家族》
        電影(2019年3期)2019-04-04 11:57:18
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實戰(zhàn)化”
        搶占物聯(lián)網(wǎng)
        通信世界(2018年27期)2018-10-16 09:02:56
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        皿字家族
        家族中的十大至尊寶
        我國擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        丰满人妻一区二区三区视频| 国产成人精品人人做人人爽| 国产一区亚洲一区二区| 国产精品一区二区av不卡| 女女女女女裸体处开bbb| 亚洲国产无线乱码在线观看| 亚洲av中文无码乱人伦在线咪咕| 日本中文字幕乱码中文乱码| 亚洲av无码乱码在线观看牲色| 国产精品福利视频一区| 日韩不卡av高清中文字幕| 国产精品髙潮呻吟久久av| 国产99视频精品免视看7| 亚洲av无码专区国产乱码不卡 | 久久99热精品免费观看麻豆| 91精品国产一区国产二区久久| 人妻少妇不满足中文字幕| 亚洲区在线| 国产一区二区三区免费小视频| 国产精品一区二区三区在线免费| 国产成人无码免费视频在线| 欧美成人www免费全部网站| 久久精品亚洲熟女九色 | 被黑人猛烈30分钟视频| 欧美在线专区| 亚洲自偷自拍另类第一页 | 国产av无码专区亚洲av中文| 欧美在线播放一区二区| 日本一区不卡在线观看| 欧美激欧美啪啪片| 色悠久久久久综合欧美99| 涩涩国产在线不卡无码| 在线播放草猛免费视频| 国产精品美女久久久久久| 98色花堂国产精品首页| 亚洲成生人免费av毛片| www国产亚洲精品久久麻豆| 日日躁夜夜躁狠狠躁超碰97| 日韩肥熟妇无码一区二区三区| 日本一区二区视频在线| 97人妻碰碰视频免费上线|