选题背景和意义
近年来,互联网上绝大部分的DDoS攻击(分布式拒绝服务攻击)都是通过僵尸网络来实施的。僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染僵尸程序病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令(Camp;C指令),组成一个僵尸网络。僵尸网络具有隐蔽性,分布性以及全球性等特点,已成为互联网网络安全的重大隐患。
在僵尸网络内部,僵尸主机控制器通过向僵尸主机发送Camp;C(Command amp; Control)流量,来控制僵尸主机发起攻击行为。通过分析Camp;C流量,才能掌握僵尸网络的具体信息,进而瓦解僵尸网络。而获取Camp;C流量需要经过两个阶段:第一个阶段是定位僵尸主机,第二个阶段则是从僵尸主机的接收流量中提取Camp;C流量。针对第一个阶段,江苏省网边界实际运行的NBOS驻地系统中进行DDoS攻击检测的部分,可以帮助检测出进行DDoS攻击的僵尸主机。而为了完成第二阶段工作,我们设计了一个依附于NBOS系统的DDoS追踪系统(DDoS Tracking System,以下简称DTS)。
DTS是一个基于僵尸流量的控制器定位系统和Camp;C流量采集系统。它根据NBOS系统定位有攻击行为的僵尸主机,通过IPTAS获取僵尸主机过滤掉攻击数据的交互流量。通过分析这些交互流量,定位僵尸控制器的IP以及相关的作为证据的Camp;C流量。DTS被设计出来,主要完成如下三个功能:1.DDoS攻击主机筛选功能,2.控制器定位功能,3.Camp;C样本提取功能。这些功能由分析参数支持子系统,Camp;C流量获取子系统以及流量采集子系统协同实现。其中分析参数支持子系统主要完成僵尸主机信息及攻击时间的传送工作,流量采集子系统主要完成相关流量的采集和过滤工作,而Camp;C流量获取子系统的主要工作则包括查找控制器、提取Camp;C样本。
工作目标和内容
工作目标
设计和实现DDoS追踪系统(DDoS Tracking System,以下简称DTS)的Camp;C流量获取子系统。
工作内容
- 熟悉DDoS攻击的基本原理和一般模型,了解与此相关的网络安全背景知识。
- 了解网络行为观测系统(Network Behavior Observation System,以下简称NBOS)的系统结构和运行机制,特别是流记录的概念、和DDoS攻击检测有关的部分,报文采集系统,以及DTS系统。
- 设计并实现DTS的Camp;C流量获取子系统,该系统根据NBOS提供的僵尸主机相关信息和报文采集系统提供的僵尸主机的报文信息,找出Camp;C网络报文,保存这些报文并及从中定位僵尸控制器、僵尸主机。
- 支持用浏览器对包括控制器及附属信息、僵尸主机及附属信息以及Camp;C流量在内的检测信息的查询。
技术路线
学习参考文献
通过学习参考文献,了解相关的网络安全背景知识,熟悉DDoS攻击的基本原理和一般模型,以及僵尸网络的工作原理和现有的检测方法。通过江苏省网边界实际运行的NBOS驻地系统,了解有关DDoS攻击检测的部分功能。熟悉报文采集系统结构与功能。通过《DTS概要设计》文档,熟悉DTS系统的结构与功能设计。完成工作内容中的第一、二项的工作。
在与本论文更为相关的《DTS概要设计》文档中,描述了整个系统的结构与子系统间信息的传递:
图1:DTS子系统通信图
本次毕业设计将完成的Camp;C流量获取子系统是该系统的核心部分。
子系统间接口的设计已经在《DTS概要设计》文档中详细说明,这里简单的介绍一下:
