一種僵尸網(wǎng)絡的模擬方法及系統(tǒng)的制作方法
【技術(shù)領域】
[0001]本發(fā)明屬于網(wǎng)絡信息安全技術(shù)領域�����,涉及惡意代碼模擬技術(shù)����,特別涉及一種僵尸網(wǎng)絡的模擬方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的日趨完善�����,移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新的網(wǎng)絡基礎平臺得到進一步發(fā)展����,社交網(wǎng)絡、在線游戲等新的網(wǎng)絡服務應用也不斷涌現(xiàn)����。然而,對于網(wǎng)絡基礎平臺與服務應用的安全威脅也隨之而來�����,尤其是以僵尸網(wǎng)絡(botnet)為代表的惡意代碼給網(wǎng)絡安全帶來了巨大危害�����。Arbor Networks公司2014年發(fā)布的第9次《全球網(wǎng)絡基礎設施安全報告》顯示:僵尸網(wǎng)絡是全球網(wǎng)絡服務運營商們(ISP)的最大安全威脅之一���;賽門鐵克(Symantec)公司2014年發(fā)布的第19次《互聯(lián)網(wǎng)安全威脅報告》指出:中國是僵尸網(wǎng)絡的最大受害國之一。僵尸網(wǎng)絡可定義為可被攻擊者操控的僵尸終端(bot)群���,其組成部分包括僵尸程序(bot program)�����、命令控制信道(Command&ControI channel����,C&C)與控制者(botmaster)。僵尸終端是被植入僵尸程序的計算終端�����;僵尸程序是一類能夠通過命令控制信道接受控制者操縱的惡意代碼�;命令控制信道是一種僵尸網(wǎng)絡所使用的自定義應用層協(xié)議;控制者是利用軟硬件漏洞攻擊���、社會工程學攻擊等多種入侵方法�,非法傳播僵尸程序����,獲取大量僵尸終端,匿名控制僵尸網(wǎng)絡�����,進而從事惡意活動����,以謀取利益或達到其他目的��。
[0003]僵尸網(wǎng)絡分析與防范是當前網(wǎng)絡信息安全領域的研宄熱點之一���,其中,如何深入分析僵尸網(wǎng)絡的工作機理���,如何評估其攻擊能力����、危害程度等屬性�,以及如何驗證相關(guān)防御策略的有效性是安全研宄人員面臨的一個挑戰(zhàn)。除了傳統(tǒng)手段(如檢測����、度量等)之外,采用僵尸網(wǎng)絡模擬技術(shù)是有效的方案����,防御者可以通過模擬某個或者某類僵尸網(wǎng)絡的行為與特征��,在可控的模擬環(huán)境中運行��,來分析其運行機理,研發(fā)有針對性的防御與抑制手段��。僵尸網(wǎng)絡模擬方法不僅能夠幫助防御者驗證所提出的僵尸網(wǎng)絡模型��,還可以在某種防御手段大力投入之前��,能夠幫助防御者用較小代價證明其可行性�����。
[0004]關(guān)于僵尸網(wǎng)絡模擬技術(shù)����,已經(jīng)有一些有價值的工作與成果,這些工作主要分為兩類:一是面向僵尸網(wǎng)絡構(gòu)建��;二是面向防御手段驗證���。例如:美國佐治亞理工學院的Lee在其題為“Framework for Botnet Emulat1n and Analysis”的文章中提出了一種針對僵尸網(wǎng)絡威脅的模擬平臺(Rubot)����,該平臺使用Ruby語言開發(fā)�����,基于事件級別進行模擬,具有較高的自動化模擬水平�。然而,Rubot模擬器雖然自動化程度好�,但是它基于事件級別,模擬顆粒度粗�����,準確性低��。俄羅斯國家科學院的Kotenko等人在其題為“Agent-based Modelingand Simulat1n of Botnets and Botnet Defense” 的文章中提出了一種僵尸網(wǎng)絡模擬器�����,采用了 OMNeT++支撐平臺���,實現(xiàn)了包級別的模擬粒度�。OMNeT++(Objective ModularNetwork Tested in C++)是一個具有很強擴展能力的開源模擬平臺����,能夠模擬主流網(wǎng)絡協(xié)議和自定義協(xié)議,并支持模塊化的組件方式�����。然而����,Kotenko等人的工作僅模擬了僵尸網(wǎng)絡攻擊技術(shù)(如分布式拒絕服務攻擊)與部分防御策略,模擬范圍不廣泛�。到目前為止,業(yè)界和學術(shù)界還沒有發(fā)現(xiàn)一個較為實用�����、全面而有效的僵尸網(wǎng)絡模擬方法及系統(tǒng)����。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有的相關(guān)方法及系統(tǒng)無法細粒度、全面性地對僵尸網(wǎng)絡進行模擬的問題����,本發(fā)明公開了一種僵尸網(wǎng)絡的模擬方法及系統(tǒng)(OMBotSim, a OMNeT++based BotnetSimulat1n platform),本發(fā)明具有以下優(yōu)點:
[0006](I)能夠引入真實網(wǎng)絡與應用的相關(guān)數(shù)據(jù)�����,基于網(wǎng)絡數(shù)據(jù)包級別�,做到在終端層次上對僵尸程序的細粒度模擬,同時能夠支持模擬終端的數(shù)量達到萬級規(guī)模。
[0007](2)能夠模擬真實僵尸網(wǎng)絡的多種網(wǎng)絡環(huán)境����,首先提取相應網(wǎng)絡應用的真實數(shù)據(jù),然后構(gòu)建網(wǎng)絡拓撲���,終端行為模型等���,即根據(jù)終端節(jié)點模擬+網(wǎng)絡拓撲+真實網(wǎng)絡數(shù)據(jù)確定參數(shù)取值,構(gòu)建真實的網(wǎng)絡環(huán)境��。對于不同的網(wǎng)絡環(huán)境�����,上述三個特征也不同����,比如某特定社交網(wǎng)絡、某特定P2P應用網(wǎng)絡等����,能夠模擬多種易感終端,比如臺式機�、手機終端等����,并且充分考慮終端用戶行為的影響����;易感是指能夠被僵尸網(wǎng)絡感染的含義��,本發(fā)明在普通終端的特征之外加入了易感屬性���,也就是主機或主機用戶的脆弱性�。另外�����,本發(fā)明模擬了多種易感終端�,所構(gòu)建的僵尸網(wǎng)絡攻擊對象是異構(gòu)的,同時���,本發(fā)明易感終端考慮了終端用戶行為�����,這些行為是與僵尸網(wǎng)絡相關(guān)的��,因此�����,我們提出的特定對象的模擬方法是有特色和提升的��。
[0008](3)能夠模擬針對僵尸網(wǎng)絡的某些防御策略與手段����,從攻防對抗的角度驗證其有效性,并且能夠借助OMNeT++支撐平臺實時采集攻防對抗模擬過程中的實時數(shù)據(jù)�,進行圖形化展示。
[0009]本發(fā)明公開的僵尸網(wǎng)絡模擬方法主要是基于OMNeT++支撐平臺��,對僵尸網(wǎng)絡這類惡意代碼進行全方位��、細粒度的攻防場景重現(xiàn)與分析����,全方位是指,模擬技術(shù)能夠?qū)┦W(wǎng)絡的全生命周期(創(chuàng)建����、傳播、對抗����、控制���、攻擊和衰亡)進行模擬和觀測,并且能夠在其生命周期的任一階段加入防御手段的模擬��,并記錄評估防御手段對僵尸網(wǎng)絡的影響��。具體內(nèi)容如下:
[0010](I)基于目標網(wǎng)絡應用和僵尸網(wǎng)絡的相關(guān)真實數(shù)據(jù)和已知信息����,提取網(wǎng)絡環(huán)境����、終端節(jié)點和僵尸網(wǎng)絡的模擬參數(shù),并建立分類的模擬數(shù)據(jù)集合���;
[0011]所述的“真實數(shù)據(jù)”包括三方面的數(shù)據(jù)���,第一是網(wǎng)絡環(huán)境的統(tǒng)計數(shù)據(jù),包括:公網(wǎng)IP比例���,主機連接度����,帶寬,鏈路時延等����;第二是終端節(jié)點的統(tǒng)計數(shù)據(jù),包括:與僵尸網(wǎng)絡傳播相關(guān)軟件(比如新浪微博)的安裝比例�,節(jié)點帶寬,計算能力分布��,傳播漏洞比例和分布情況����,終端用戶行為統(tǒng)計特征等;第三是僵尸網(wǎng)絡的統(tǒng)計數(shù)據(jù)����,包括:傳播速率,控制比例����,感染節(jié)點分布等。
[0012](2)基于(I)中的網(wǎng)絡環(huán)境模擬參數(shù)�,利用OMNeT++支撐平臺對象模擬模型庫,生成網(wǎng)絡拓撲結(jié)構(gòu)����,確定節(jié)點通信路由�����,并模擬相關(guān)聯(lián)的底層網(wǎng)絡應用協(xié)議��,形成支持僵尸網(wǎng)絡攻防對抗行為的模擬網(wǎng)絡環(huán)境�����;
[0013](3)基于(I)中的終端節(jié)點模擬參數(shù),構(gòu)建智能終端模型和用戶行為模型�,形成支持僵尸程序和防御軟件運行的虛擬節(jié)點引擎;
[0014]所述的“智能終端”是指智能化的硬件設備�����,包括傳統(tǒng)的服務器�、個人計算機和新型的平板電腦、智能手機等�����;所述的“用戶行為”是指正常智能終端用戶產(chǎn)生的操作行為����,在虛擬節(jié)點引擎上表現(xiàn)為點擊�����、鍵盤輸入�、軟件使用���、流量變化等���。
[0015](4)基于⑴中的僵尸網(wǎng)絡模擬參數(shù),在(3)中的虛擬節(jié)點引擎之上��,構(gòu)建僵尸程序模擬器���,以不同角色與功能的僵尸程序為主體���,模擬目標僵尸網(wǎng)絡的傳播方式、通信過程和攻擊行為���;
[0016](5)基于(4)中的僵尸網(wǎng)絡模擬場景�,根據(jù)配置,在過程中加入針對性防御策略�,對僵尸程序檢測率、阻斷能力等防御技術(shù)進行有效性驗證和評估�����。
[0017]結(jié)合上述僵尸網(wǎng)絡模擬方法��,本發(fā)明同時公開了一種基于OMNeT++支撐平臺的僵尸網(wǎng)絡模擬系統(tǒng)(OMBotSim)��。本系統(tǒng)主要由配置與管控模塊�����,網(wǎng)絡環(huán)境模擬模塊��,智能終端模擬模塊���,模擬支撐模塊四個部分構(gòu)成。
[0018](I)配置與管控模塊����。本模塊負責獲取和提取目標網(wǎng)絡應用和僵尸網(wǎng)絡的相關(guān)統(tǒng)計數(shù)據(jù),配置僵尸網(wǎng)絡攻防場景的相關(guān)參數(shù)�,下達模擬過程中的相關(guān)指令,并對產(chǎn)生的數(shù)據(jù)進行實時收集���。
[0019](2)網(wǎng)絡環(huán)境模擬模塊����。本模塊用于構(gòu)建模擬僵尸網(wǎng)絡所需的網(wǎng)絡環(huán)境,主要負責生成模擬網(wǎng)絡拓撲���,確定模擬節(jié)點的通信路由���,模擬多種網(wǎng)絡應用協(xié)議,以及生成相關(guān)的虛擬流量��。
[0020](3)虛擬節(jié)點模擬模塊����。本模塊主要負責對智能終端屬性和狀態(tài)的模擬,包括構(gòu)建智能終端模型��,模擬相關(guān)應用的客戶端��,模擬僵尸程序的多種行為和特征����,以及模擬智能終端用戶的行為。首先基于多種智能終端(包括服務器、個人計算機�、移動設備等)的實際參數(shù),提取與僵尸網(wǎng)絡活動相關(guān)的行為特征����,利用OMNeT++支撐平臺的模擬節(jié)點,構(gòu)建智能終端模型�,形成多種具有差異化特征的虛擬智能終端;然后基于實際互聯(lián)網(wǎng)絡與僵尸網(wǎng)絡有關(guān)的網(wǎng)絡應用客戶端和實際用戶行為�����,提取其相關(guān)行為特征���,利用OMNeT++支撐平臺的模擬節(jié)點����,形成相關(guān)的虛擬應用客戶端和智能終端用戶行為����,加載到虛擬智能終端上。最后基于上述虛擬智能終端���,運行具體虛擬僵尸網(wǎng)絡實例���,模擬僵尸程序的多種行為和特征���。
[0021](4)模擬支撐模塊。本模塊基于OMNeT++支撐平臺���,提供技術(shù)實現(xiàn)方面的支撐��,包括提供對象模擬模型庫�,可視化管控用戶接口以及模擬平臺核心支撐引擎�。
[0022]與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果為:
[0023]本發(fā)明公開的方法及系統(tǒng)旨在構(gòu)建一個可控的僵尸網(wǎng)絡攻防場景��,能夠在其中模擬某個或某類僵尸網(wǎng)絡的特征與屬性�,進而掌握其機理,研制出針對性更好的防御和抑制方法���。<