進階搜尋


   電子論文尚未授權公開,紙本請查館藏目錄
(※如查詢不到或館藏狀況顯示「閉架不公開」,表示該本論文不在書庫,無法取用。)
系統識別號 U0026-1508201412350800
論文名稱(中文) 基於網路安全測試平台重現殭屍網路行為之研究
論文名稱(英文) The Study of Botnet Behavior Replay on Network Testbed Platform
校院名稱 成功大學
系所名稱(中) 電腦與通信工程研究所
系所名稱(英) Institute of Computer & Communication
學年度 102
學期 2
出版年 103
研究生(中文) 李魚濬
研究生(英文) Yu-Chun Lee
學號 Q36001305
學位類別 碩士
語文別 中文
論文頁數 45頁
口試委員 指導教授-楊竹星
口試委員-林輝堂
口試委員-席家年
口試委員-侯廷偉
口試委員-盧育群
中文關鍵字 殭屍網路  Testbed@TWISC  Wireshark  OSSEC 
英文關鍵字 Botnet  Testbed@TWISC  Wireshark  Open Source Security 
學科別分類
中文摘要 網路世界的蓬勃發展,讓人們的生活變得更為便利,但這也使得網路攻擊事件越來越多,嚴重地影響了網路世界與現實社會,較為常見的像是殭屍網路攻擊,攻擊者會對受感染的主機進行私密資料竊取或鍵盤側錄,也會利用此台主機來散佈許多垃圾郵件、釣魚郵件等,當然也可以透過下指令的方式,發動分散式阻斷服務攻擊。

較早期的殭屍網路利用IRC協定來做為溝通的橋樑,利用通訊軟體散播惡意程式,接著有了防火牆後,殭屍網路控制者改成以HTTP協定進行聯繫,由中控端的Web server對感染主機做控制,由於IRC協定與HTTP協定整體架構較為薄弱,為了使其更加穩固,最後發展出P2P型態的殭屍網路。

針對網路攻擊事件的發生,洞悉殭屍網路的行為極為重要。本研究將在Testbed@TWISC平台上重現殭屍網路的環境,透過封包擷取軟體(Wireshark)以及OSSEC比對正常主機與Bot主機間,封包內容以及系統登錄檔的差異性,探討出殭屍網路在進行感染時,會出現哪些行為與特徵,藉此分析此台主機如何被感染,以及告知使用者為何會遭到入侵,讓網路安全管理人員便於管理主機之安全。
英文摘要 The Internet network grows rapidly. It makes people’s lives more convenient. But it also makes a lot of attacks, such as Botnet. Botnet attacks effect the world and Internet very much. The Botmaster can make bots launch many type attacks, such as key logger, private information stealing, spam mail, phishing and DDoS attack.
In earlier, bots use IRC protocol to contact each other. But when the firewall appeared, it changed to use HTTP protocol. There is a web server at the middle of HTTP protocol, the Botmaster can use it to control and contact the bots. For now, the Botmaster form a robust P2P Botnet to make stronger and fix the weakness.
If we want to detect the Botnet attack, we must have to find out the Botnet behavior. This paper rebuilds a scenario on Testbed@TWISC that the Botmaster controls the bots by the C&C Server. We use Wireshark and Open Source Security to collect the packet contents and system logs from the normal computers and the bots. When the Botnet start to attack, we can know what the Botnet behavior will appear. Than the network security manager can manage the Internet easier.
論文目次 摘要 III
ENGLISH ABSTRACT IV
誌謝 XI
目錄 XII
表目錄 XV
圖目錄 XVI
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機與目的 1
1.3 論文架構 2
第二章 文獻探討與背景介紹 3
2.1 殭屍網路介紹 3
2.2 殭屍網路常用協定 4
2.2.1 Internet Relay Chat(IRC) 4
2.2.2 Hypertext Transfer Protocol(HTTP) 5
2.2.3 Peer to Peer(P2P) 8
2.3 殭屍網路種類與架構 11
2.3.1 IRC Botnet 12
2.3.2 HTTP Botnet 12
2.3.3 P2P Botnet 12
2.3.4 殭屍網路架構 13
2.4 殭屍網路感染週期 16
2.4.1 主動感染階段 16
2.4.2 加入殭屍網路階段 17
2.4.3 控制及更新階段 17
2.5 資訊安全實驗平台 18
2.5.1 Testbed@TWISC 18
2.5.2 資訊安全實驗平台介紹 18
2.6 殭屍網路相關偵測方法與文獻 20
2.6.1 Detecting HTTP Botnet with Clustering Network Traffic 20
2.6.2 C&C Tracer: Botnet Command and ControlBehavior Tracing 21
2.6.3 Botnet Behavior Analysis using IP Flows 22
第三章 實驗設計與實作 23
3.1 實驗架構設計 23
3.2 實驗實作 24
3.2.1 系統環境 24
3.2.2 弱點掃描與漏洞攻擊 25
3.2.3 控制介面安裝與Bot建置 25
3.2.4 個人機密資料竊取 29
3.2.5 散播惡意程式 30
第四章 實驗結果呈現 32
4.1 實驗情境及拓樸 32
4.2 實驗結果呈現 35
4.2.1 正常節點之封包流量與登錄檔分析 35
4.2.2 惡意節點上之封包流量與登錄檔分析 36
4.2.3 呈現Bot與C&C Server間之溝通過程 39
4.2.4 OSSEC安全等級 40
4.2.5 OSSEC監控之等級範例 41
第五章 結論與未來發展 42
5.1 結論 42
5.2 未來發展 43
參考文獻 44
參考文獻 [1] Appserv, http://www.appservnetwork.com/
[2] BitTorrent, http://en.wikipedia.org/wiki/BitTorrent_(disambiguation)
[3] Botnet, http://en.wikipedia.org/wiki/Botnet
[4] Haddadi,F.; Morgan,J.; Filho, E.G.; Zincir-Heywood, A.N.“Botnet Behavior Analysis Using IP Flows: With HTTP Filters Using Classifiers”, Advanced Information Networking and Applications Workshops (WAINA), 2014 28th International Conference on page(s): 7 – 12.
[5] Meng-Han Tsai; Kai-Chi Chang; Chang-Cheng Lin; Ching-Hao Mao; Huey-Ming Lee, “C&C Tracer: Botnet Command and Control Behavior Tracing”, Systems, Man, and Cybernetics (SMC), 2011 IEEE International Conference onpage(s): 1859 - 1864.
[6] Tai Cai and FutaiZou,“Detecting HTTP Botnet with Clustering Network Traffic”, Wireless Communications, Networking and Mobile Computing (WiCOM), 2012 8th International Conference on page(s): 1 - 7.
[7] Distributrd Hash Table, http://en.wikipedia.org/wiki/Distributed_hash_table
[8] Gnutella, http://en.wikipedia.org/wiki/Gnutella
[9] Hypertext Transfer Protocol, http://www.ietf.org/rfc/rfc2616.txt
[10] Internet Relay Chat Protocol, http://www.faqs.org/rfcs/rfc1459.html
[11] mIRC, http://www.mirc.com/
[12] OSSEC, http://www.ossec.net/
[13] Testbed@TWISC, http://testbed.ncku.edu.tw/
[14] WASTE, http://en.wikipedia.org/wiki/WASTE
[15] XAMPP, http://www.apachefriends.org/zh_tw/xampp.html
[16] 殭屍網路攻擊 智慧冰箱淪媒介, http://www.cna.com.tw/news/ait/201401180034-1.aspx
[17] 殭屍網路感染週期, 楊竹星、李俊皜、廖明沂、羅孟彥,"基於感染週期之IRC Bot偵測研究",電子通訊與應用研討會,2011。
[18] 微軟偕FBI遏網路金融犯罪, http://tw.news.yahoo.com/%E5%BE%AE%E8%BB%9F%E5%81%95fbi-%E9%81%8F%E7%B6%B2%E8%B7%AF%E9%87%91%E8%9E%8D%E7%8A%AF%E7%BD%AA-053504845.html
[19] 資訊安全的測試平台, 陳培德,"網路安全測試平台簡介",http://tnrc.ncku.edu.tw/course/93/930401.pdf
論文全文使用權限
  • 同意授權校內瀏覽/列印電子全文服務,於2019-08-27起公開。


  • 如您有疑問,請聯絡圖書館
    聯絡電話:(06)2757575#65773
    聯絡E-mail:etds@email.ncku.edu.tw