UnitecDEAMP:介绍一种新的暗网中的流量分解方法

恶意软件带来的威胁日趋严重,它们似乎总是能够找到穿透网络的方式,进而破坏数据的完整性、机密性和可用性。网络取证是利用科学地、已被证明的策略识别、获取、融合、检查和分析数字证据,提前判断攻击者的活动企图或监测已经成功的、目的是感染、入侵和破坏系统的恶意活动,提供信息用以帮助预防和缓解各种恶意活动。

鉴于暗网的匿名性,因此被越来越多地网络犯罪份子利用来进行各种恶意软件的分发。因此,通过监测暗网中的网络流量的方式来检测受损的机器和恶意活动,需要大量的计算资源。对暗网中网络流量的监控包括捕捉和检测目的源是未经使用的IP地址的网络通信流量,暗网通常表现为一个部分分配的、没有活动服务器或服务驻留的路由空间。任何进入暗网都可以默认视为异常数据包,合法的、以暗网为目的地的数据包只占少数。这些数据包可能被错误地接收,也可能是由于错误的配置;然而,这种形式的数据包中很大一部分都是由恶意软件发送的。

最近看到了一篇研究报告,报告中提出了一种新的对暗网中的流量进行分解的方法,该方法被称为UnitecDEAMP,依赖于对大量恶意活动的特定集进行流特征分析,背景噪音来源于大量的历史留存的暗网流量。,特别之处在于,研究人员分割和提取从暗网中捕获到的网络流量,依据流量行为评估得出的标准对数据流进行特定的分类,这些标准通过随后的相关性分析进行验证,以确保过滤掉任何多余的标准。通过标准过滤评估重要事件,尤其是那些体积、变化和时间序列有显著意义的事件。为了展示UnitecDEAMP的有效性,研究人员针对暗网进行了为期12个月的实时流量数据分析的研究活动。结果证明,UnitecDEAMP可以有效地找出最严重的恶意事件。

研究还考虑了背景噪声的重要性。为了评估所使用的方法,研究人员选择了两个IPv4协议数据集(ICMP和UDP)。UDP协议是暗网中恶意活动最常使用的一种协议,例如通过UDP Flood技术发起DDoS攻击的恶意软件,由于UDP协议或多或少是“无连接”的,没有任何形式的握手会话机制。UDPflood攻击的主要目标是使链路的带宽饱和。目标主机将接收到海量的UDP数据包,这些数据包来源于伪造的源IP地址。虽然暗网中UDP的流量比例可能并不显著,但是任何基于UDP的成功的恶意攻击都会引发严重的后果,通过利用大容量服务器的带宽,恶意攻击者可以发送越来越多的包以不受欢迎的恶意流量压倒目标主机,使其不再对合法服务作出响应。

暗网中有的恶意活动与ICMP流量相关。最近的一项研究发现了31个疑似被恶意软件入侵的个人电脑,其中有4个被证明感染了多个恶意软件,名为Coinficker的恶意软件与目的端口为445的高峰的暗网流量有关,名为AutoIt的恶意软件与暗网中高峰的ICMP流量有关。这些发现表明暗网中大量的ICMP流量通常可以表示感染病毒。

ICMP回送请求主要用于网络连接故障排除。现在,大多数Internet网关阻塞入站回声请求以避免分布式拒绝服务(DDoS)攻击。一些恶意软件(如Nachi蠕虫)通过ICMP回送请求的手段进行传播。研究已经证明,每个受感染的主机为每个唯一的IP序列生成一个ping探针。这可以说是ping sweep(扫荡),而不是ping flood(洪水)。

对UnitecDEAMP感兴趣的同学,推荐阅读报告原文:

https://link.springer.com/chapter/10.1007/978-981-10-5421-1_13

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104500.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code