本发明专利技术提供的本申请提出一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。
【技术实现步骤摘要】
一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置
本专利技术涉及信息安全
,尤其涉及一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置。
技术介绍
物联网(InternetofThings,简称IoT)是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。随着5G时代的到来,越来越多的设备会连接网络,物联网设备数量将迎来井喷式增长,物联网设备的网络安全问题成为一个亟待解决的重大问题。当前,IoT蜜罐的研究主要集中于捕获IoT恶意样本;由于越来越多的IoT恶意样本将漏洞利用到样本传播过程中,因此安全研究者也着手将模拟漏洞服务集成到IoT蜜罐中,用于吸引骇客的攻击。据数据统计,目前针对IoT设备可利用的RCE型漏洞已达100多个,在可预见的未来,将会有越来越多的漏洞被披露.因此,仅靠模拟漏洞的方法是无法捕获到使用0-day进行攻击的高级IoT恶意样本。IoT沙箱主要应用于动态运行所捕获到恶意IoT恶意样本;当前,学术界的研究点主要在于如何将IoT沙箱适配具有多种CPU架构的IoT恶意样本,其中的一种解决方法是使用qemu虚拟化技术来模拟运行IoT恶意样本所需要的硬件环境,然后在该沙箱中运行所对应架构的IoT恶意样本,但该方法最大的缺点是消耗了较多的硬件资源,获得的收益相对较少;此外,这些IoT沙箱并未重点关注IoT恶意样本的网络行为。现有针对P2P网络的主动扫描方法主要是通过向周围P2P节点发送查询infohash来展开;首先,安全研究者需要掌握待查询的infohash信息,然后通过使用getpeers通信操作,不停地向周围节点发送待查询的infohash,并等待周围节点返回相应的节点结果信息,若返回的节点信息没有infohash所对应的节点信息,则会继续对返回的节点使用getpeers通信操作,直到获取相应的节点信息;该方法存在如下几个问题:(1)仅考虑到了节点ip所对应的infohash值,但该方法并未考虑到节点的有效性,即节点可能已经不在线;(2)获取infohash存在难度,尤其是针对IoTP2P型的恶意样本,攻击者一般不会提供相应的infohash;(3)该方法无法做到实时监控P2P僵尸网络的网络状况。
技术实现思路
本专利技术的主要目的在于提出一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置,旨在解决如何提高物联网设备管理的安全性,实现对物联网僵尸网络的准确追踪。为实现上述目的,本专利技术提供的一种基于蜜罐和沙箱的物联网僵尸网络追踪方法,该方法主要步骤包括:步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱。步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类。步骤3,根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。其中,所述步骤2具体包括:步骤2.1,收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;步骤2.2,提取所述流量数据的数据特征;步骤2.3,基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;步骤2.4,利用DoS攻击追踪算法,将DoS攻击与其所对应的C&C指令进行关联;步骤2.5,对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。其中,所述步骤3具体包括:创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的,它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。其中,步骤3还包括:从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致;若一致,则该节点的即为mozi节点。本专利技术提供的一种基于蜜罐和沙箱的物联网僵尸网络追踪装置,该装置主要包括:IoT蜜罐模块,用于捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱模块。IoT沙箱模块,用于接收IoT蜜罐模块捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类。P2P扫描模块,用于根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取并存储所述P2P僵尸网络的属性信息。其中,所述IoT沙箱模块具体包括:用于收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;提取所述流量数据的数据特征;基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;利用DoS攻击追踪算法,将DoS攻击与其所对应的C&C指令进行关联;对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。其中,所述P2P扫描模块具体包括:用于创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的,它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。其中,所述IoT沙箱模块还包括:用于从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致;若一致,则该节点的即为mozi节点。本专利技术的有益效果包括:(1)提出一种基于IoT设备漏洞利用的IoT恶意样本捕获本文档来自技高网...
【技术保护点】
1.一种基于蜜罐和沙箱的物联网僵尸网络追踪方法,其特征在于:该方法步骤包括:/n步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;/n步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;/n步骤3,根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。/n
【技术特征摘要】
1.一种基于蜜罐和沙箱的物联网僵尸网络追踪方法,其特征在于:该方法步骤包括:
步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;
步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;
步骤3,根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。
2.如权利要求1所述的方法,其特征在于:所述步骤2具体包括:步骤2.1,收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;步骤2.2,提取所述流量数据的数据特征;步骤2.3,基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;步骤2.4,利用DoS攻击追踪算法,将DoS攻击与其所对应的C&C指令进行关联;步骤2.5,对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。
3.如权利要求1所述的方法,其特征在于:所述步骤3具体包括:创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的,它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。
4.如权利要求3所述的方法,其特征在于:所述步骤3还包括:从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。
5.如权利要求3所述的方法,其特征在于:所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致;若一致,则该节点的即为mozi节点。
【专利技术属性】
技术研发人员:王大浩,姜栋,杜雄杰,王炳来,
申请(专利权)人:苏州知微安全科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。