CN104796416A - 一种僵尸网络的模拟方法及系统 - Google Patents
一种僵尸网络的模拟方法及系统 Download PDFInfo
- Publication number
- CN104796416A CN104796416A CN201510163256.9A CN201510163256A CN104796416A CN 104796416 A CN104796416 A CN 104796416A CN 201510163256 A CN201510163256 A CN 201510163256A CN 104796416 A CN104796416 A CN 104796416A
- Authority
- CN
- China
- Prior art keywords
- botnet
- simulation
- network
- node
- analog
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种僵尸网络的模拟方法及系统。本发明为:1)基于目标网络应用和僵尸网络,提取网络环境的统计数据、终端节点的统计数据和僵尸网络的统计数据;2)基于网络环境统计数据生成网络拓扑结构,确定节点通信路由并模拟底层网络应用协议,形成支持僵尸网络攻防对抗行为的模拟网络环境;3)基于终端节点统计数据,构建智能终端模型和用户行为模型,形成支持僵尸程序和防御软件运行的虚拟节点引擎;4)基于僵尸网络统计数据和虚拟节点引擎,构建僵尸程序模拟器,然后以不同角色与功能的僵尸程序为主体,模拟目标僵尸网络在模拟网络环境中的传播方式、通信过程和攻击行为,构建僵尸网络模拟场景。本发明使模拟场景更加接近真实情况。
Description
技术领域
本发明属于网络信息安全技术领域,涉及恶意代码模拟技术,特别涉及一种僵尸网络的模拟方法及系统。
背景技术
随着互联网的日趋完善,移动互联网、物联网等新的网络基础平台得到进一步发展,社交网络、在线游戏等新的网络服务应用也不断涌现。然而,对于网络基础平台与服务应用的安全威胁也随之而来,尤其是以僵尸网络(botnet)为代表的恶意代码给网络安全带来了巨大危害。Arbor Networks公司2014年发布的第9次《全球网络基础设施安全报告》显示:僵尸网络是全球网络服务运营商们(ISP)的最大安全威胁之一;赛门铁克(Symantec)公司2014年发布的第19次《互联网安全威胁报告》指出:中国是僵尸网络的最大受害国之一。僵尸网络可定义为可被攻击者操控的僵尸终端(bot)群,其组成部分包括僵尸程序(bot program)、命令控制信道(Command&Control channel,C&C)与控制者(bot master)。僵尸终端是被植入僵尸程序的计算终端;僵尸程序是一类能够通过命令控制信道接受控制者操纵的恶意代码;命令控制信道是一种僵尸网络所使用的自定义应用层协议;控制者是利用软硬件漏洞攻击、社会工程学攻击等多种入侵方法,非法传播僵尸程序,获取大量僵尸终端,匿名控制僵尸网络,进而从事恶意活动,以谋取利益或达到其他目的。
僵尸网络分析与防范是当前网络信息安全领域的研究热点之一,其中,如何深入分析僵尸网络的工作机理,如何评估其攻击能力、危害程度等属性,以及如何验证相关防御策略的有效性是安全研究人员面临的一个挑战。除了传统手段(如检测、度量等)之外,采用僵尸网络模拟技术是有效的方案,防御者可以通过模拟某个或者某类僵尸网络的行为与特征,在可控的模拟环境中运行,来分析其运行机理,研发有针对性的防御与抑制手段。僵尸网络模拟方法不仅能够帮助防御者验证所提出的僵尸网络模型,还可以在某种防御手段大力投入之前,能够帮助防御者用较小代价证明其可行性。
关于僵尸网络模拟技术,已经有一些有价值的工作与成果,这些工作主要分为两类:一是面向僵尸网络构建;二是面向防御手段验证。例如:美国佐治亚理工学院的Lee在其题为“Framework for Botnet Emulation and Analysis”的文章中提出了一种针对僵尸网络威胁的模拟平台(Rubot),该平台使用Ruby语言开发,基于事件级别进行模拟,具有较高的自动化模拟水平。然而,Rubot模拟器虽然自动化程度好,但是它基于事件级别,模拟颗粒度粗,准确性低。俄罗斯国家科学院的Kotenko等人在其题为“Agent-based Modeling and Simulation ofBotnets and Botnet Defense”的文章中提出了一种僵尸网络模拟器,采用了OMNeT++支撑平台,实现了包级别的模拟粒度。OMNeT++(Objective Modular Network Tested in C++)是一个具有很强扩展能力的开源模拟平台,能够模拟主流网络协议和自定义协议,并支持模块化的组件方式。然而,Kotenko等人的工作仅模拟了僵尸网络攻击技术(如分布式拒绝服务攻击)与部分防御策略,模拟范围不广泛。到目前为止,业界和学术界还没有发现一个较为实用、全面而有效的僵尸网络模拟方法及系统。
发明内容
针对现有的相关方法及系统无法细粒度、全面性地对僵尸网络进行模拟的问题,本发明公开了一种僵尸网络的模拟方法及系统(OMBotSim,a OMNeT++based Botnet Simulationplatform),本发明具有以下优点:
(1)能够引入真实网络与应用的相关数据,基于网络数据包级别,做到在终端层次上对僵尸程序的细粒度模拟,同时能够支持模拟终端的数量达到万级规模。
(2)能够模拟真实僵尸网络的多种网络环境,首先提取相应网络应用的真实数据,然后构建网络拓扑,终端行为模型等,即根据终端节点模拟+网络拓扑+真实网络数据确定参数取值,构建真实的网络环境。对于不同的网络环境,上述三个特征也不同,比如某特定社交网络、某特定P2P应用网络等,能够模拟多种易感终端,比如台式机、手机终端等,并且充分考虑终端用户行为的影响;易感是指能够被僵尸网络感染的含义,本发明在普通终端的特征之外加入了易感属性,也就是主机或主机用户的脆弱性。另外,本发明模拟了多种易感终端,所构建的僵尸网络攻击对象是异构的,同时,本发明易感终端考虑了终端用户行为,这些行为是与僵尸网络相关的,因此,我们提出的特定对象的模拟方法是有特色和提升的。
(3)能够模拟针对僵尸网络的某些防御策略与手段,从攻防对抗的角度验证其有效性,并且能够借助OMNeT++支撑平台实时采集攻防对抗模拟过程中的实时数据,进行图形化展示。
本发明公开的僵尸网络模拟方法主要是基于OMNeT++支撑平台,对僵尸网络这类恶意代码进行全方位、细粒度的攻防场景重现与分析,全方位是指,模拟技术能够对僵尸网络的全生命周期(创建、传播、对抗、控制、攻击和衰亡)进行模拟和观测,并且能够在其生命周期的任一阶段加入防御手段的模拟,并记录评估防御手段对僵尸网络的影响。具体内容如下:
(1)基于目标网络应用和僵尸网络的相关真实数据和已知信息,提取网络环境、终端节点和僵尸网络的模拟参数,并建立分类的模拟数据集合;
所述的“真实数据”包括三方面的数据,第一是网络环境的统计数据,包括:公网IP比例,主机连接度,带宽,链路时延等;第二是终端节点的统计数据,包括:与僵尸网络传播相关软件(比如新浪微博)的安装比例,节点带宽,计算能力分布,传播漏洞比例和分布情况,终端用户行为统计特征等;第三是僵尸网络的统计数据,包括:传播速率,控制比例,感染节点分布等。
(2)基于(1)中的网络环境模拟参数,利用OMNeT++支撑平台对象模拟模型库,生成网络拓扑结构,确定节点通信路由,并模拟相关联的底层网络应用协议,形成支持僵尸网络攻防对抗行为的模拟网络环境;
(3)基于(1)中的终端节点模拟参数,构建智能终端模型和用户行为模型,形成支持僵尸程序和防御软件运行的虚拟节点引擎;
所述的“智能终端”是指智能化的硬件设备,包括传统的服务器、个人计算机和新型的平板电脑、智能手机等;所述的“用户行为”是指正常智能终端用户产生的操作行为,在虚拟节点引擎上表现为点击、键盘输入、软件使用、流量变化等。
(4)基于(1)中的僵尸网络模拟参数,在(3)中的虚拟节点引擎之上,构建僵尸程序模拟器,以不同角色与功能的僵尸程序为主体,模拟目标僵尸网络的传播方式、通信过程和攻击行为;
(5)基于(4)中的僵尸网络模拟场景,根据配置,在过程中加入针对性防御策略,对僵尸程序检测率、阻断能力等防御技术进行有效性验证和评估。
结合上述僵尸网络模拟方法,本发明同时公开了一种基于OMNeT++支撑平台的僵尸网络模拟系统(OMBotSim)。本系统主要由配置与管控模块,网络环境模拟模块,智能终端模拟模块,模拟支撑模块四个部分构成。
(1)配置与管控模块。本模块负责获取和提取目标网络应用和僵尸网络的相关统计数据,配置僵尸网络攻防场景的相关参数,下达模拟过程中的相关指令,并对产生的数据进行实时收集。
(2)网络环境模拟模块。本模块用于构建模拟僵尸网络所需的网络环境,主要负责生成模拟网络拓扑,确定模拟节点的通信路由,模拟多种网络应用协议,以及生成相关的虚拟流量。
(3)虚拟节点模拟模块。本模块主要负责对智能终端属性和状态的模拟,包括构建智能终端模型,模拟相关应用的客户端,模拟僵尸程序的多种行为和特征,以及模拟智能终端用户的行为。首先基于多种智能终端(包括服务器、个人计算机、移动设备等)的实际参数,提取与僵尸网络活动相关的行为特征,利用OMNeT++支撑平台的模拟节点,构建智能终端模型,形成多种具有差异化特征的虚拟智能终端;然后基于实际互联网络与僵尸网络有关的网络应用客户端和实际用户行为,提取其相关行为特征,利用OMNeT++支撑平台的模拟节点,形成相关的虚拟应用客户端和智能终端用户行为,加载到虚拟智能终端上。最后基于上述虚拟智能终端,运行具体虚拟僵尸网络实例,模拟僵尸程序的多种行为和特征。
(4)模拟支撑模块。本模块基于OMNeT++支撑平台,提供技术实现方面的支撑,包括提供对象模拟模型库,可视化管控用户接口以及模拟平台核心支撑引擎。
与现有技术相比,本发明的积极效果为:
本发明公开的方法及系统旨在构建一个可控的僵尸网络攻防场景,能够在其中模拟某个或某类僵尸网络的特征与属性,进而掌握其机理,研制出针对性更好的防御和抑制方法。
本发明弥补了僵尸网络模拟技术在实用性和全面性方面的缺失,具有:
(1)本方法及系统的模拟粒度达到包级别,模拟过程可记录、可回溯、可展示,使僵尸网络的模拟更加细腻真实;
(2)本方法及系统引入了真实数据作为参数输入,并模拟了用户行为,使模拟场景更加接近真实情况;
(3)本方法及系统可模拟的僵尸网络种类多样,支持用户自定义,同时支持对防御策略的分析评估,使模拟更加实用、全面。
附图说明
图1:网络环境模拟流程图;
图2:虚拟僵尸程序模拟流程图;
图3:系统原理框图;
图4:系统测试实验环境部署图;
图5:僵尸网络传播模拟状态图;
(a)僵尸网络MRRbot传播感染量,(b)僵尸网络Wadedac传播感染量;
图6:僵尸网络攻击模拟状态图;
(a)僵尸网络MRRbot攻击网络流量,(b)僵尸网络Waledac攻击网络流量;
图7:防御策略效果图;
(a)僵尸网络MRRbot对抗防御的可控能力变化情况,
(b))僵尸网络Waledac对抗防御的可控能力变化情况。
具体实施方式
本发明公开的方法能够根据获取到的真实网络数据和僵尸网络数据提取参数,并利用OMNeT++支撑平台提供的强大模拟能力和交互能力,来实现对僵尸网络的模拟。本方法的主要思想是:在获取数据并进行预处理的情况下,基于相关参数,模拟僵尸网络活动的网络环境和终端节点,并利用不同角色的虚拟僵尸程序形成僵尸网络模拟场景,对其攻击行为和防御策略进行分析与评价。
OMNeT++支撑平台是一个基于离散事件模拟的、能够提供底层支持的开源系统平台,该平台分为六个部分:1)网络描述语言编译器,2)模拟内核库,3)模拟程序命令行的用户接口,4)图形化输出工具Scalar与Plove,5)图形化的网络编译器,6)模拟程序图形化的用户接口。OMNeT++支撑平台包括分层次的嵌入式模型,嵌入深度没有限制,同时底层模块对上层是透明的,各个模块有各自的参数集,可以根据不同的需求改变用户接口。
如发明内容相关部分所述,本发明将所公开的僵尸网络模拟方法分为五个步骤,接下来将具体阐述。
(1)模拟参数提取。
步骤(1)的具体实施方式如下:
a)获取真实互联网中的网络应用数据和僵尸网络数据,网络应用数据是指与真实僵尸网络活动相关的网络应用产生的数据,例如社交软件产生的通信流量数据,用户访问网站产生的网络流量数据等;僵尸网络数据是指僵尸网络本身在传播、通信、攻击过程中产生的网络数据。
b)解析网络环境、终端节点和僵尸网络的数据信息,计算其参数,并分类存储。网络环境参数主要包括:网络设备类型、网络协议标识、网络流量带宽、网络拓扑结构等;终端节点参数包括:节点数量、节点计算能力、节点活跃曲线、用户类型、应用标识等;僵尸网络参数主要是指更具历史数据可分析提取的参数,包括:感染率、寄生协议标识、加密算法、存活周期、攻击类型标识等。寄生协议是指被僵尸网络利用进行通信或攻击的网络协议载体。
(2)生成网络环境模拟模型。
图1给出了步骤(2)的流程图,具体实施方式如下:
a)获取步骤(1)所解析的网络环境参数,并通过用户对未定参数的赋值,对参数序列进行初始化处理;
b)根据参数设置,构建符合真实数据特点的异构网络拓扑结构,类型包括星型结构、总线型结构、随机网络结构、小世界模型结构等。OMBotSim模拟某种网络应用之前,需要具备生成相关网络拓扑的能力,能够用设定的参数,自动化地快速生成网络拓扑,或者能够可以根据给定的网络拓扑模板来生成;
c)根据参数设置,建立路由表和底层通信调度机制,部署适用于目标网络拓扑结构的网络路由,路由类型与网络拓扑结构高度相关;
d)调用OMNeT++支撑平台模拟内核库中的对应网络协议模板,并根据参数设置,修改并生成网络协议实例,主要包括互联网中继聊天协议(IRC)、超文本传送协议(HTTP)、点对点协议(P2P)、应用层自定义协议等;
e)根据参数设置,选取所模拟的网络协议对应的真实网络流量数据,进行抽象处理,进而模拟相对真实的多协议多层次网络流量环境。
(3)基于智能终端模型和用户行为模型,形成虚拟节点引擎。
步骤(3)的具体实施方式如下:
a)基于OMNeT++支撑平台的模拟节点,模拟传统的服务器、个人计算机和新型的平板电脑、智能手机等智能终端所对应的基本硬件和软件组件,包括:CPU计算能力,电源供电能力,显示屏大小,内存大小,硬盘空间,网卡通信带宽,操作系统信息等。同时,设计并加载僵尸网络攻防所需的特殊硬件模拟组件,例如模拟僵尸网络多媒体窃密攻击时,需要在模拟节点上添加音视频输入输出硬件模拟组件;
b)基于OMNeT++支撑平台的模拟节点和a)中的模拟硬件,加载僵尸网络攻防所需的模拟软件集合,例如僵尸网络传播过程中涉及到的社交类软件,同时,增加用户文件数据摘要信息。进而基于上述步骤,构建智能终端模型;
c)基于b)中的智能终端模型,模拟与僵尸网络活动相关的用户行为,包括:上下线行为,网络访问习惯,软件使用习惯等,进而形成支持僵尸程序模拟运行的虚拟节点引擎。我们可以利用协调手段(比如从服务提供者出获取数据),或网络爬虫手段获取与僵尸网络活动相关的上述用户行为相关数据。
(4)在虚拟节点引擎之上,构建僵尸程序模拟器。
僵尸程序模拟器主要是用于模拟虚拟僵尸程序各个功能模块的运行和僵尸程序本身的状态数据维护。图2给出了步骤(4)的流程图,具体实施方式如下:
a)设置虚拟节点引擎的感染状态,模拟虚拟僵尸程序的传播功能,主要包括基于漏洞的传播方式、基于网页挂马的传播方式和利用社会工程学的传播方式;
b)设置虚拟节点引擎的僵尸网络角色,模拟虚拟僵尸程序的通信过程,包括基于IRC、HTTP等中心结构的通信,基于多种P2P协议的非中心结构的通信,以及混合结构的通信模拟。
c)设置受攻击节点,模拟虚拟僵尸程序的攻击功能,包括DDoS攻击模拟,Spam的攻击模拟,以及敏感信息窃取的攻击模拟。有的攻击行为只在特定的环境中有效,而有的攻击行为在所有场景中都可能出现。例如:特定敏感信息窃取要求虚拟智能终端用户拥有此类信息,而DDoS攻击会在虚拟智能终端上加载相关攻击组件,不依赖于智能终端本身属性。
(5)验证评估针对性防御技术的有效性。
步骤(5)的具体实施方式如下:
a)在虚拟节点引擎之上,构建防御策略与手段的有效性验证调用接口,包括:僵尸程序的检测到的可能性,僵尸终端通信能力被抑制的程度等;
b)构建虚拟僵尸网络相关统计数据上报接口,在防御技术部署情况下,具备对于虚拟僵尸程序运行状态,攻击效果等数据采集能力;
c)构建支持僵尸网络评价体系度量的接口,在防御技术部署情况下,能够根据相关评价系统各个评价群的度量标准,给虚拟僵尸程序本身的相关能力进行实时评分,进而对给定防御技术的有效性进行评估。
本发明公开的僵尸网络模拟系统OMBotSim主要根据本方法的上述五个步骤部署实施,基于OMNeT++支撑平台的组件,使用类C/C++语言开发后台模拟程序,使用PHP、JavaScript语言开发前台交互和展示界面,使用MySQL数据库进行相关信息存储。图3给出了本系统的原理框图,本系统主要由配置与管控模块、网络环境模拟模块、虚拟节点模拟模块、OMNeT++支撑平台组成。各模块具体描述如下:
(1)配置与管控模块。
配置与管控模块是本系统上层模块,与用户发生交互,并且接收外部数据,本模块主要包括僵尸网络场景配置子模块和模拟数据实时采集子模块。僵尸网络场景配置子模块负责设定僵尸网络攻防场景的各项模拟参数,如模拟节点数量,使用网络协议标识列表,网络拓扑标识等;模拟数据实时采集子模块负责僵尸网络攻防场景模拟过程中相关数据的收集与展示,能够可视化、可调节、多位多角度地展示僵尸网络攻防场景的模拟过程与评估分析结果,如节点状态、流量信息、僵尸网络规模、命令控制信道通信状态等。具体来讲,该模块能够基于包级别记录模拟数据,并且能够根据分析员指定的时间粒度和模拟速度,实时调节模拟过程;还能够从宏观的网络结构到微观的节点变化,从终端节点的用户行为变化到僵尸程序通信数据的流转情况,实现多维多角度的展示。
(2)网络环境模拟模块。
网络环境模拟模块是本系统底层模块,本模块主要负责根据配置与管控模块下发的指令,构建支持僵尸网络攻防场景的模拟网络环境,包括构建网络拓扑模型、网络路由模型、网络协议模型和网络流量模型。在OMBotSim中,僵尸网络攻防场景如果依赖某种网络应用,那么首先需要具有生成相关网络拓扑的能力,本模块定义了一些参数用来自动化地快速生成网络拓扑,主要参数包括网络类型,节点连接度(即智能终端间的连接度),边权值等。网络类型包括随机型网络,层次型网络和幂律型网络。本模块能够基于用户提供的真实网络拓扑,确定其网络类型和节点连接度,并根据节点信任关系和僵尸网络传播行为确定模拟网络中边的权值,进而利用公开的网络拓扑生成算法(如小世界模型构造算法等),自动化生成能够反映真实网络特征的模拟网络拓扑。
(3)虚拟节点模拟模块。
虚拟节点模拟模块是本系统最为核心的模块,本模块建立智能终端模块、终端应用模型、用户行为模型和僵尸程序模块,对多类实际环境中的智能终端软硬件及用户活动进行了模拟,重现出受僵尸网络影响的真实智能终端。智能模块模型分为服务器型的智能终端、个人计算机型的智能终端、移动设备的智能终端以及其他智能终端,几乎涵盖了所有僵尸网络能够感染的终端模型;终端应用模型充分考虑到不同类型终端的不同应用,涵盖可能受僵尸网络影响的社交软件、杀毒软件等主要软件类型,同时包括模拟针对性防御软件;用户行为模型负责模拟终端用户的多种行为,使僵尸网络攻防过程体现用户活动因素;僵尸程序模型负责模拟僵尸程序的传播功能、通信功能和攻击功能等主要功能,同时提供信息回传接口。
(4)模拟支撑模块。
模拟支撑模块是本系统的调用模块,本模块由对象模拟模型库、核心支撑引擎和可视化管控界面组成。其中,对象模拟模型库是OMNeT++支撑平台提供的模拟协议、节点、应用等对象的模板库,支持对其参数的调整和源码的修改,以适应不同需要;核心支撑引擎是OMNeT++支撑平台提供的模拟引擎,在一台服务器上能够支持万级模拟节点同时运行;可视化管控界面是基于OMNeT++支撑平台提供的模拟事件信息和图形化结构数据,提供相关数据的实时展示接口和管控界面。
根据OMBotSim的设计方法,本发明实现了一个OMBotSim测试实验环境。图4给出了本系统测试实验环境的部署图。图中,爬虫服务器用于获取真实互联网中的相关数据信息,然后通过内部网络,由管理与配置计算机把解析数据存入数据库服务器。多台僵尸网络模拟服务器组成一个服务器集群由于模拟具有大规模虚拟节点的网络环境。其中,爬虫服务器和管理与配置计算机采用windows系统平台,数据库采用MySQL数据库,僵尸网络模拟服务器采用Linux系统。
本发明利用OMBotSim的测试环境,生成了一个万级节点规模的网络,分别模拟了两个代表性的僵尸网络(MRRbot,Waledac)在传播阶段和攻击阶段的发展变化情况,以及对抗基于关键节点封堵防御策略的能力。图5给出了两种僵尸网络通过垃圾邮件与网页挂马相结合的方式进行传播的节点感染情况。图6给出了MRRbot与Waledac控制者发动一次分布式拒绝服务攻击的流量变化情况,图7给出了关键节点封堵防御策略对两种僵尸网络的影响情况。实验结果表明,OMBotSim具有较好的通用性、层次性和扩展性,适用于多种僵尸网络运行机理与防御手段的模拟与研究。
Claims (10)
1.一种僵尸网络的模拟方法,其步骤为:
1)基于目标网络应用和僵尸网络,从网络中提取网络环境的统计数据、终端节点的统计数据和僵尸网络的统计数据;
2)基于网络环境统计数据生成网络拓扑结构,确定节点通信路由并模拟底层网络应用协议,形成支持僵尸网络攻防对抗行为的模拟网络环境;
3)基于终端节点统计数据,构建智能终端模型和用户行为模型,形成支持僵尸程序和防御软件运行的虚拟节点引擎;
4)基于僵尸网络统计数据和虚拟节点引擎,构建僵尸程序模拟器,然后以不同角色与功能的僵尸程序为主体,模拟目标僵尸网络在模拟网络环境中的传播方式、通信过程和攻击行为,构建僵尸网络模拟场景。
2.如权利要求1所述的方法,其特征在于,所述网络环境的统计数据包括:公网IP比例,主机连接度,带宽,链路时延,网络设备类型,网络协议标识;所述终端节点的统计数据包括:与僵尸网络传播相关软件的安装比例,节点带宽,计算能力分布,传播漏洞比例和分布情况,终端用户行为统计特征,节点数量,节点活跃曲线,用户类型,应用标识;所述僵尸网络的统计数据包括:传播速率,控制比例,感染节点分布,感染率,寄生协议标识,加密算法,存活周期,攻击类型标识。
3.如权利要求1或2所述的方法,其特征在于,利用OMNeT++支撑平台对象模拟模型库生成网络拓扑结构,确定节点通信路由并模拟底层网络应用协议,形成支持僵尸网络攻防对抗行为的所述模拟网络环境。
4.如权利要求3所述的方法,其特征在于,形成所述虚拟节点引擎的方法为:
a)基于OMNeT++支撑平台对象模拟模型库模拟各种异构终端节点,设计并加载僵尸网络攻防所需的硬件模拟组件,以及僵尸网络攻防所需的模拟软件集合和用户文件数据摘要信息,构建智能终端模型;
b)模拟智能终端模型与僵尸网络的用户行为,形成所述虚拟节点引擎。
5.如权利要求3所述的方法,其特征在于,构建所述僵尸程序模拟器的方法为:
a)设置虚拟节点引擎的感染状态,模拟虚拟僵尸程序的传播功能;
b)设置虚拟节点引擎的僵尸网络角色,模拟虚拟僵尸程序的通信过程;
c)设置受攻击节点,模拟虚拟僵尸程序的攻击功能。
6.如权利要求1所述的方法,其特征在于,所述用户行为模型是指智能终端用户产生的且在虚拟节点引擎上监测到的操作行为。
7.一种僵尸网络的模拟系统,其特征在于,包括配置与管控模块,网络环境模拟模块,虚拟节点模拟模块,模拟支撑模块;其中,
所述配置与管控模块,用于获取目标网络应用和僵尸网络的统计数据,配置僵尸网络攻防场景的参数,下达模拟过程中的指令,并对产生的数据进行实时收集;
所述网络环境模拟模块,用于所述统计数据生成模拟网络拓扑,确定模拟节点的通信路由,模拟多种网络应用协议,以及生成相关的虚拟流量,从而构建模拟僵尸网络所需的网络环境;
所述虚拟节点模拟模块,用于构建智能终端模型,模拟相关应用的客户端,模拟僵尸程序的多种行为和特征,以及模拟智能终端用户的行为;
所述模拟支撑模块,用于提供对象模拟模型库,可视化管控用户接口以及模拟平台核心支撑引擎。
8.如权利要求7所述的系统,其特征在于,所述虚拟节点模拟模块首先基于多种智能终端的实际参数,提取与僵尸网络活动相关的行为特征,然后利用OMNeT++支撑平台构建智能终端模型,形成多种具有差异化特征的虚拟智能终端;然后基于实际网络与僵尸网络有关的网络应用客户端和实际用户行为,提取其相关行为特征;然后利用OMNeT++支撑平台,形成相关的虚拟应用客户端和智能终端用户行为,加载到虚拟智能终端上;最后基于虚拟智能终端运行具体虚拟僵尸网络实例,模拟僵尸程序的多种行为和特征。
9.如权利要求7所述的系统,其特征在于,所述模拟支撑模块包括对象模拟模型库、核心支撑引擎和可视化管控界面;其中,对象模拟模型库包括由OMNeT++提供的模拟协议、节点、应用的模板库,并支持对其参数的调整和源码的修改;核心支撑引擎是OMNeT++提供的模拟引擎;可视化管控界面是基于OMNeT++提供的模拟事件信息和图形化结构数据,提供相关数据的实时展示接口和管控界面。
10.如权利要求7所述的系统,其特征在于,所述网络环境模拟模块中设置网络类型、智能终端间的连接度、边权值,用来自动化生成网络拓扑。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510163256.9A CN104796416A (zh) | 2015-04-08 | 2015-04-08 | 一种僵尸网络的模拟方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510163256.9A CN104796416A (zh) | 2015-04-08 | 2015-04-08 | 一种僵尸网络的模拟方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104796416A true CN104796416A (zh) | 2015-07-22 |
Family
ID=53560928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510163256.9A Pending CN104796416A (zh) | 2015-04-08 | 2015-04-08 | 一种僵尸网络的模拟方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796416A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209825A (zh) * | 2016-07-07 | 2016-12-07 | 中国电子科技集团公司第二十八研究所 | 一种可定制僵尸网络试验系统 |
| CN106302412A (zh) * | 2016-08-05 | 2017-01-04 | 江苏君立华域信息安全技术有限公司 | 一种针对信息系统抗压性测试的智能检测系统和检测方法 |
| CN106506218A (zh) * | 2016-11-15 | 2017-03-15 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
| CN106549808A (zh) * | 2016-11-17 | 2017-03-29 | 北京安天电子设备有限公司 | 一种网络环境模拟方法及系统 |
| CN107093076A (zh) * | 2016-02-18 | 2017-08-25 | 卡巴斯基实验室股份制公司 | 检测欺诈用户交易的系统和方法 |
| CN107908896A (zh) * | 2017-12-04 | 2018-04-13 | 上海君协光电科技发展有限公司 | 一种层次化的场景态势建模系统 |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN109167798A (zh) * | 2018-11-01 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于机器学习的家用物联网设备DDoS检测方法 |
| CN109639479A (zh) * | 2018-12-07 | 2019-04-16 | 北京邮电大学 | 基于生成对抗网络的网络流量数据增强方法及装置 |
| CN110505241A (zh) * | 2019-09-17 | 2019-11-26 | 武汉思普崚技术有限公司 | 一种网络攻击面检测方法及系统 |
| CN110545251A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种木马攻击场景的证据链构建方法 |
| CN111027062A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种靶场应用失陷状态的评估方法及装置 |
| CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
| CN111193689A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN112134732A (zh) * | 2020-09-10 | 2020-12-25 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
| RU202382U1 (ru) * | 2020-07-22 | 2021-02-15 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Устройство моделирования компьютерных атак типа "распределенный отказ в обслуживании" |
| CN113595749A (zh) * | 2021-09-26 | 2021-11-02 | 北京天维信通科技有限公司 | 基于irc平台实现多方网络节点互通的通信方法和装置 |
| CN114189354A (zh) * | 2021-11-10 | 2022-03-15 | 西安理工大学 | SYN Flooding网络攻击场景复现方法 |
| US20220138271A1 (en) * | 2019-02-19 | 2022-05-05 | S2W Lab Inc. | Method, Device and Computer Program for Collecting Data From Multi-Domain |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229149A1 (en) * | 2007-03-14 | 2008-09-18 | Clifford Penton | Remote testing of computer devices |
| CN101808084A (zh) * | 2010-02-12 | 2010-08-18 | 哈尔滨工业大学 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
-
2015
- 2015-04-08 CN CN201510163256.9A patent/CN104796416A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229149A1 (en) * | 2007-03-14 | 2008-09-18 | Clifford Penton | Remote testing of computer devices |
| CN101808084A (zh) * | 2010-02-12 | 2010-08-18 | 哈尔滨工业大学 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
Non-Patent Citations (6)
| Title |
|---|
| DAI YUMEI等: "A Hybrid Botnet Ecological Environment", 《21ST ACM CONFERENCE ON COMPUTER AND COMMUNICATIONS SECURITY》 * |
| JOAN CALVERT等: "The case for in-the-lab botnet experimentation:creating and taking down a 3000-node botnet", 《ROCEEDING ACSAC "10 PROCEEDINGS OF THE 26TH ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE》 * |
| VA. BEKENEVA等: "Modeling and simulation of DDoS attack using Omnet++", 《2014 INTERNATIONAL CONFERENCE ON SIGNAL PROCESSING AND INTEGRATED NETWORKS (SPIN)》 * |
| ZHANG MING-QING等: "Multi-agent based Model of DDoS Active Defense", 《PROCEEDINGS OF 2013 3RD INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND NETWORK TECHNOLOGY》 * |
| 李书豪等: "MRRbot:基于冗余机制的多角色P2P僵尸网络模型", 《计算机研究与发展》 * |
| 欧阳赔等: "《僵尸网络仿真系统设计与实现》", 《计算机应用与软件》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107093076A (zh) * | 2016-02-18 | 2017-08-25 | 卡巴斯基实验室股份制公司 | 检测欺诈用户交易的系统和方法 |
| CN106209825B (zh) * | 2016-07-07 | 2019-01-22 | 中国电子科技集团公司第二十八研究所 | 一种可定制僵尸网络试验系统 |
| CN106209825A (zh) * | 2016-07-07 | 2016-12-07 | 中国电子科技集团公司第二十八研究所 | 一种可定制僵尸网络试验系统 |
| CN106302412A (zh) * | 2016-08-05 | 2017-01-04 | 江苏君立华域信息安全技术有限公司 | 一种针对信息系统抗压性测试的智能检测系统和检测方法 |
| CN106506218A (zh) * | 2016-11-15 | 2017-03-15 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
| CN106506218B (zh) * | 2016-11-15 | 2019-12-10 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
| CN106549808A (zh) * | 2016-11-17 | 2017-03-29 | 北京安天电子设备有限公司 | 一种网络环境模拟方法及系统 |
| CN107908896A (zh) * | 2017-12-04 | 2018-04-13 | 上海君协光电科技发展有限公司 | 一种层次化的场景态势建模系统 |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN108183888B (zh) * | 2017-12-15 | 2020-09-15 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN110545251A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种木马攻击场景的证据链构建方法 |
| CN109167798A (zh) * | 2018-11-01 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于机器学习的家用物联网设备DDoS检测方法 |
| CN109167798B (zh) * | 2018-11-01 | 2020-03-17 | 四川长虹电器股份有限公司 | 一种基于机器学习的家用物联网设备DDoS检测方法 |
| CN111193689B (zh) * | 2018-11-15 | 2022-06-03 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN111193689A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 一种网络攻击处理方法、装置、电子设备及存储介质 |
| CN109639479B (zh) * | 2018-12-07 | 2020-10-20 | 北京邮电大学 | 基于生成对抗网络的网络流量数据增强方法及装置 |
| CN109639479A (zh) * | 2018-12-07 | 2019-04-16 | 北京邮电大学 | 基于生成对抗网络的网络流量数据增强方法及装置 |
| US20220138271A1 (en) * | 2019-02-19 | 2022-05-05 | S2W Lab Inc. | Method, Device and Computer Program for Collecting Data From Multi-Domain |
| US11790016B2 (en) * | 2019-02-19 | 2023-10-17 | S2W Inc. | Method, device and computer program for collecting data from multi-domain |
| CN111027062A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种靶场应用失陷状态的评估方法及装置 |
| CN110505241B (zh) * | 2019-09-17 | 2021-07-23 | 武汉思普崚技术有限公司 | 一种网络攻击面检测方法及系统 |
| CN110505241A (zh) * | 2019-09-17 | 2019-11-26 | 武汉思普崚技术有限公司 | 一种网络攻击面检测方法及系统 |
| CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
| RU202382U1 (ru) * | 2020-07-22 | 2021-02-15 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Устройство моделирования компьютерных атак типа "распределенный отказ в обслуживании" |
| CN112134732B (zh) * | 2020-09-10 | 2021-10-26 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
| CN112134732A (zh) * | 2020-09-10 | 2020-12-25 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
| CN113595749A (zh) * | 2021-09-26 | 2021-11-02 | 北京天维信通科技有限公司 | 基于irc平台实现多方网络节点互通的通信方法和装置 |
| CN113595749B (zh) * | 2021-09-26 | 2022-01-07 | 北京天维信通科技有限公司 | 基于irc平台实现多方网络节点互通的通信方法和装置 |
| CN114189354A (zh) * | 2021-11-10 | 2022-03-15 | 西安理工大学 | SYN Flooding网络攻击场景复现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104796416A (zh) | 一种僵尸网络的模拟方法及系统 | |
| Yang et al. | Heterogeneous virus propagation in networks: a theoretical study | |
| Antonenko et al. | Global network modelling based on mininet approach. | |
| Yao et al. | An epidemic model of computer worms with time delay and variable infection rate | |
| Han et al. | Paradefender: A scenario-driven parallel system for defending metaverses | |
| Zhang et al. | A survey on security and privacy threats to federated learning | |
| Neema et al. | Integrated simulation testbed for security and resilience of cps | |
| CN115412314B (zh) | 一种电力系统网络攻击预测系统及其预测方法 | |
| VijayaChandra et al. | Numerical formulation and simulation of social networks using graph theory on social cloud platform | |
| Yang et al. | A federated learning attack method based on edge collaboration via cloud | |
| Moskal et al. | Simulating attack behaviors in enterprise networks | |
| Rabelo et al. | Using delphi and system dynamics to study the cybersecurity of the IoT-based smart grids | |
| Peng et al. | Risk assessment of CPS composed of edge consumer electronics under intentional attack | |
| Vignau et al. | The botnet simulator: A simulation tool for understanding the interaction between botnets | |
| Xiao et al. | SAIDR: A new dynamic model for SMS-based worm propagation in mobile networks | |
| Yan et al. | Game theoretical dynamic cybersecurity defense strategy for electrical cyber physical systems | |
| Bharathi et al. | An extended trust management scheme for location based real-time service composition in secure cloud computing | |
| Shu et al. | Research on construction technology of network security shooting range for power monitoring system | |
| Alese et al. | A location privacy system in mobile network using game theory | |
| Li et al. | User behaviour authentication model based on stochastic petri net in cloud environment | |
| Meng et al. | Research on Active Defense Technology Based on Power System Network Security | |
| Yang et al. | Modeling the propagation of mobile phone virus under complex network | |
| Yun et al. | A scalable, ordered scenario-based network security simulator | |
| Han et al. | Influence of Removable Devices′ Heterouse on the Propagation of Malware | |
| Liu et al. | Research of the Cyber Attack and Defense Behavior Modeling Method Based on Object-oriented |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150722 |