CN106209825B - 一种可定制僵尸网络试验系统 - Google Patents

Abstract

本发明公开了一种可定制僵尸网络试验系统，所述系统包括试验管控平台、虚拟部件、仿真部件和数据支撑部件，系统实现了一种高逼真度、安全可控的僵尸网络运行和试验环境。该技术通过一体化试验管控平台下的虚拟构建、仿真模拟和数据加载技术，实现了对僵尸网络节点、拓扑、通信、行为，以及传播的定制化复现，可支撑网络空间安全研究人员对新型僵尸网络检测和反制技术的研究。

Description

一种可定制僵尸网络试验系统

技术领域

本发明属于网络空间安全研究领域，特别是一种可定制僵尸网络试验系统。

背景技术

僵尸网络依靠一对多的C&C控制信道可迅速形成分布式攻击网络，日益成为一种持续性的赛博威胁。随着通信技术、社交网络、云计算技术、信息加密等技术的发展，僵尸网络在形态、协议、攻击原理等方面已发生了出现了如P2P僵尸网络、移动僵尸网络、云计算僵尸网络、工业控制僵尸网络等形态更多样、协议更隐蔽、攻击手段更专业的新型僵尸网络，加大了僵尸网络检测和反制的难度。

僵尸网络试验系统可在实验室条件下模拟大规模僵尸网络传播、控制、攻击过程，通过灵活的试验任务设计和参数设置，在可控环境下再现僵尸网络的产生、发展、升级、防御等要素，支撑僵尸网络特征建模、对比、识别、跟踪、瓦解和反制等新手段研究、以及新工具的试验验证。

目前该领域已有相关研究成果。专利“一种僵尸网络的模拟方法及系统(申请号：201510163256.9)”公开了一种僵尸网络的模拟方法及系统，该系统基于僵尸网络统计数据，生成网络环境、虚拟节点引擎和程序模拟器，达到较接近真实的僵尸网络模拟。其不足之处是较多依赖对目标僵尸网络的统计数据，对场景的定制化程度较低。论文僵尸网络仿真系统设计与实现(欧阳赔等，计算机应用与软件，2013年第30卷第1期)提出了一种基于测试床的僵尸网络仿真方案。该方案利用可扩展语言对仿真场景进行定制描述，以此为基础，仿真系统通过仿真场景的封装、仿真场景的自动化配置、数据的采集与展示等关键技术和模块，实现了仿真场景可定制、仿真环境可自动部署、仿真过程可控制等仿真实验功能。其不足之处在于，该研究重点研究僵尸网络运行环境的仿真，忽略了僵尸网络控制者和传播行为的仿真。

发明内容

发明目的：本发明针对现有技术的不足，提供了一种可定制僵尸网络试验系统，

所述系统包括试验管控平台、虚拟部件、仿真部件和数据支撑部件，

所述试验管控平台用于管理虚拟部件、仿真部件和数据支撑部件，试验管控平台通过试验分析定制接口界面接收试验过程控制、数据采集和分析模型定制请求，实现试验过程启动和停止控制，驱动僵尸网络流量、节点规模数据采集探针和相应分析模型(包括僵尸网络检测识别算法、僵尸网络度量模型、以及第三方分析模型)，支撑试验数据分析，

所述所述虚拟部件提供虚拟计算资源和虚拟网络资源，形成僵尸网络运行所需的节点和网络环境，虚拟部件通过虚拟节点定制接口界面，通过将操作系统级和容器级两种粒度虚拟化实现的虚拟机进行按需集成，实现僵尸网络受控节点、网络拓扑和僵尸网络依赖的DNS、P2P公共服务的虚拟化构建，其中，虚拟化构建的节点可安装部署僵尸网络逆向代码，并支持封装好的虚拟机镜像加载，虚拟化构建的网络用于进行拓扑设计、参数配置和自动化部署，

所述仿真部件通过仿真定制接口界面和可编程接口，调用并配置业务流量仿真算法、僵尸控制者行为仿真模型、僵尸网络传播模型等相关仿真算法和模型，实现僵尸控制者行为、C&C通信信道、僵尸网络传播模型的仿真，

所述数据支撑部件通过流量数据定制接口界面，将公网数据集中IP地址转换为试验环境中配置的IP，过滤或修正未响应的请求，调用数据重放工具进行流量加载，称为I类流量，记为，Flow-I，同时，利用通用业务流量产生器生成有针对性的业务流量，，称为II类流量，记为Flow-II，两类流量在在同一网络空间中进行叠加和合成，形成试验背景流量。

所述系统根据目标僵尸网络(因为试验系统可支持不同类型、不同版本的僵尸网络样本程序运行，目标僵尸网络或被试僵尸网络指特定试验场景下运行的僵尸网络代码)特征进行试验环境定制，定制内容包括僵尸网络拓扑、僵尸网络节点、公共服务、僵尸网络行为四类。

所述试验管控平台具有试验设计、试验控制和数据分析功能，试验前，试验管控平台根据试验需求，形成一致性语义描述的试验配置文件；试验中，试验管控平台进行资源监控、负载均衡和进程控制；试验后，试验管控平台调用数据分析工具对试验结果进行分析。

所述僵尸网络运行所需的节点分为全虚拟化节点和轻量级虚拟化节点两类，全虚拟化节点部署受控僵尸主机、公共服务器和未感染用户终端，通过逆向工程代码运行和僵尸网络节点镜像加载的方法实现僵尸网络中受控节点的定制化部署；轻量级虚拟化节点实现承载僵尸网络的通信网络的模拟，实现对网络拓扑的配置和部署。

所述虚拟部件执行如下步骤：

步骤1-1，通过虚拟节点定制节点界面，形成对僵尸网络基础运行环境的描述文件，描述文件包括虚拟节点(包括试验要求的所有节点，如服务器、终端、僵尸节点等，其表现形式全部为虚拟机)数量、虚拟节点类型、拓扑关系、僵尸网络逆向工程代码存放位置、虚拟机镜像存储位置五类信息；

步骤1-2，实现虚拟化运行环境部署，包括构建节点和构建网络，

其中，构建节点包括：根据描述文件，对僵尸网络终端节点进行全虚拟化构建：对于受控僵尸主机节点，将逆向工程代码部署于满足条件的虚拟机上；对于公共服务器，采用虚拟机模板镜像加载的方式构建；对于未感染用户终端节点，采用直接克隆虚拟机的方式部署；

构建网络包括：根据描述文件进行拓扑设计，确定核心层、汇聚层和接入层网络节点，并对链路带宽、时延抖动参数进行设置，采用轻量级虚拟化的方法形成符合条件的网络部署脚本并部署。

步骤1-2中形成的僵尸网络终端节点和网络通信节点(指专门做通信的网络节点，例如交换机、路由器等，包含核心层、汇聚层、接入层)通过桥接的方式进行互联。

所述仿真部件执行如下步骤：

步骤2-1，为仿真接口定制界面，通过对目标僵尸网络统计特征的分析，确定仿真目标；

步骤2-2，实现对僵尸网络仿真模型库的增加、删除、修改、查询和更新操作、可部署标准接口模型和自定义模型；

步骤2-3，通过对僵尸网络统计信息，实现对僵尸网络控制者的行为的仿真；

步骤2-4，建立僵尸网络传播行为仿真模型，通过建立传播规律的系统动力学模型并求解(参考文献：冯丽萍,宋礼鹏,王洪斌等.P2P僵尸网络的传播建模与分析[J].计算机应用,2015,35(1):68-71)，得到僵尸网络随时间变化的传播规律，形成虚拟机动态控制指令，模拟僵尸网络传播感染过程；

步骤2-5，对僵尸网络C&C通信信道进行仿真，模拟僵尸网络控制指令下发的信道，模拟内容包括信道带宽、加密算法、定向路由三类特征；

步骤2-6，借助仿真部件的可编程接口，通过规范化编程语言，实现步骤2-2～步骤2-5中仿真模型参数设置、定制和集成。

所述数据支撑部件执行如下步骤：

步骤3-1，通过流量数据定制接口界面设置僵尸网络运行环境的背景流量需求，提交给数据支撑部件；

步骤3-2，数据支撑部件实现公网数据重放、业务数据生成以及流量合成。

步骤3-2包括如下步骤：

步骤3-2-1，数据支撑部件实现对公网节点上抓包生成的数据集进行处理和重放，其中对公网节点上抓包生成的数据集的处理包括IP地址转换和噪点数据过滤两级处理；

步骤3-2-2，数据支撑部件实现对网站点击、邮件收发、FTP下载业务的仿真生成；

步骤3-2-3，数据支撑部件将公网数据集中数据流量和业务数据进行合成和重放，形成符合试验需求的背景流量。

有益效果：本发明与现有技术相比有如下优点：

1.本发明提出了新的预训练算法框架，综合利用了不同预训练模型的特性，使得预训练的结果具有不同模型的特性，从而具有更好的性能。在本方法中，神经网络被多种模型进行多重预训练，从而使得神经网络的参数初始值具有不同模型的特性，从而达到更好的训练效果。

2.支持收缩自编码器等其他逐层预训练模型的综合运用。

3.测试结果表明，选择合适的预训练策略可以提高模型的性能。

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明，本发明的上述和/或其他方面的优点将会变得更加清楚。

图1是一种可定制僵尸网络试验系统组成架构图。

图2是本发明中虚拟部件实现原理图。

图3是本发明中仿真部件实现原理图。

图4是本发明中数据支撑部件实现原理图。

具体实施方式

下面结合附图，对本发明实施的技术方案进行描述。

图1是一种可定制僵尸网络试验系统组成架构图，如图1所示，本发明中所述的系统，由试验管控平台管理下的虚拟部件、仿真部件和数据支撑部件组成。

试验管控平台通过试验分析定制接口界面接收试验过程控制、数据采集和分析模型定制请求，实现试验过程启停控制，驱动僵尸网络流量、节点规模等数据采集探针和相应分析模型，支撑试验数据分析。

虚拟部件通过虚拟节点定制接口界面，通过将不同粒度虚拟化实现的虚拟机进行按需集成，实现僵尸网络受控节点、网络拓扑和僵尸网络依赖的DNS、P2P等公共服务的虚拟化构建，支持僵尸网络高逼真度运行。其中，虚拟化构建的节点可安装部署僵尸网络逆向代码，也可支持封装好的虚拟机镜像加载。虚拟化构建的网络可进行拓扑设计、参数配置，自动化部署等功能。

仿真部件通过仿真定制接口界面，通过可编程接口，调用并配置相关仿真算法和模型，实现僵尸控制者行为、C&C信道、僵尸网络传播模型的仿真。

数据支撑部件通过流量数据定制接口界面，通过将公网数据集中IP地址转换为试验环境中配置的IP，过滤或修正未响应的请求等噪声信息，调用数据重放工具进行流量加载。同时，利用通用业务流量产生器(发包工具)生成有针对性的业务流量(如用户登陆、点击链接、文件下载等)，二种流量在同一网络空间中进行叠加和合成，形成试验背景流量。

图2是本发明中虚拟部件实现原理图，具体如下：

步骤20，通过虚拟节点定制节点界面，形成对僵尸网络基础运行环境的描述文件，包括节点数量、节点类型、拓扑关系、僵尸网络逆向工程代码存放位置、虚拟机镜像存储位置五类信息。

步骤21，实现虚拟化运行环境部署。具体包含如下两个过程：

步骤211，根据环境描述文件，对僵尸网络节点进行全虚拟化构建。节点包含三类：对于受控僵尸主机节点，将逆向工程代码部署于满足条件的虚拟机上；对于公共服务器，采用虚拟机模板镜像加载的方式构建；对于为感染用户终端节点，采用直接克隆虚拟机的方式部署。

步骤212，根据环境描述文件，首先进行拓扑设计，确定核心层、汇聚层和接入层网络节点，并对链路带宽、时延抖动参数进行设置，最后采用轻量级虚拟化的方法形成符合条件的网络部署脚本并部署。

步骤211和步骤212形成的僵尸网络终端节点和网络节点通过桥接的方式进行互联。通过虚拟机控制接口、仿真网关和以太网接口三种形式为被试僵尸网络运行场景提供僵尸网络基础运行环境支撑。

图3是本发明中仿真部件实现原理图，具体实现过程如下：

步骤30为仿真接口定制界面，通过对被试僵尸网络统计特征的分析，确定仿真目标。

步骤31，实现僵尸网络试验系统和装置的仿真部件。具体步骤如下：

步骤311，实现对僵尸网络仿真模型库的增删改查询和更新操作，可部署标准接口模型和自定义模型。

步骤312，通过对僵尸网络统计信息，实现对僵尸网络控制者的行为的仿真。

步骤313，建立僵尸网络传播行为仿真模型，通过建立传播规律的系统动力学模型并求解，得到僵尸网络随时间变化的传播规律，据此形成虚拟机动态控制指令，模拟僵尸网络传播感染过程。

步骤314，对僵尸网络C&C控制信道进行仿真，模拟僵尸网络控制指令下发的信道，包括信道带宽、加密算法、定向路由三类特征。

步骤315为仿真部件的可编程接口，通过规范化编程语言，实现步骤311-314中仿真模型参数设置、定制和集成。

图4为本发明中数据支撑部件实现原理图，具体实现过程如下：

步骤40，通过流量数据定制接口界面设置僵尸网络运行环境的背景流量需求，提交数据支撑部件。

步骤41为数据支撑部件，实现公网数据重放、业务数据生成、流量合成三类功能，具体如下：

步骤411，支持对公网节点上抓包生成的数据集进行处理和重放，其中数据处理包括IP地址转换和噪点数据过滤两级处理。

步骤412，实现对网站点击、邮件收发、FTP下载业务的仿真生成，也可通过编程接口加载其它业务数据。

步骤413，将公网数据集中数据流量和业务数据进行合成和重放，形成符合试验需求的背景流量。

本发明提供了一种可定制僵尸网络试验系统，具体实现该技术方案的方法和途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (7)

1.一种可定制僵尸网络试验系统，其特征在于，所述系统包括试验管控平台、虚拟部件、仿真部件和数据支撑部件，

所述试验管控平台用于管理虚拟部件、仿真部件和数据支撑部件，试验管控平台通过试验分析定制接口界面接收试验过程控制、数据采集和分析模型定制请求，实现试验过程启动和停止控制，驱动僵尸网络流量、节点规模数据采集探针和相应分析模型，支撑试验数据分析，

所述虚拟部件提供虚拟计算资源和虚拟网络资源，形成僵尸网络运行所需的节点和网络环境，虚拟部件通过虚拟节点定制接口界面，通过将操作系统级和容器级两种粒度虚拟化实现的虚拟机进行按需集成，实现僵尸网络受控节点、网络拓扑和僵尸网络依赖的DNS、P2P公共服务的虚拟化构建，其中，虚拟化构建的节点可安装部署僵尸网络逆向代码，并支持封装好的虚拟机镜像加载，虚拟化构建的网络用于进行拓扑设计、参数配置和自动化部署，

所述仿真部件通过仿真定制接口界面和可编程接口，调用并配置相关仿真算法和模型，实现僵尸控制者行为、C&C通信信道、僵尸网络传播模型的仿真，

所述数据支撑部件通过流量数据定制接口界面，将公网数据集中IP地址转换为试验环境中配置的IP，过滤或修正未响应的请求，调用数据重放工具进行流量加载，称为I类流量，记为Flow-I，同时，利用通用业务流量产生器生成有针对性的业务流量，称为II类流量，记为Flow-II，两类流量在同一网络空间中进行叠加和合成，形成试验背景流量；

所述系统根据目标僵尸网络特征进行试验环境定制，定制内容包括僵尸网络拓扑、僵尸网络节点、公共服务、僵尸网络行为四类；

所述试验管控平台具有试验设计、试验控制和数据分析功能，试验前，试验管控平台根据试验需求，形成一致性语义描述的试验配置文件；试验中，试验管控平台进行资源监控、负载均衡和进程控制；试验后，试验管控平台调用数据分析工具对试验结果进行分析。

2.根据权利要求1中所述的系统，其特征在于，所述僵尸网络运行所需的节点分为全虚拟化节点和轻量级虚拟化节点两类，全虚拟化节点部署受控僵尸主机、公共服务器和未感染用户终端，通过逆向工程代码运行和僵尸网络节点镜像加载的方法实现僵尸网络中受控节点的定制化部署；轻量级虚拟化节点实现承载僵尸网络的通信网络的模拟，实现对网络拓扑的配置和部署。

3.根据权利要求2中所述的系统，其特征在于，所述虚拟部件执行如下步骤：

步骤1-1，通过虚拟节点定制节点界面，形成对僵尸网络基础运行环境的描述文件，描述文件包括虚拟节点数量、虚拟节点类型、拓扑关系、僵尸网络逆向工程代码存放位置、虚拟机镜像存储位置五类信息；

步骤1-2，实现虚拟化运行环境部署，包括构建节点和构建网络，

其中，构建节点包括：根据描述文件，对僵尸网络终端节点进行全虚拟化构建：对于受控僵尸主机节点，将逆向工程代码部署于满足条件的虚拟机上；对于公共服务器，采用虚拟机模板镜像加载的方式构建；对于未感染用户终端节点，采用直接克隆虚拟机的方式部署；

构建网络包括：根据描述文件进行拓扑设计，确定核心层、汇聚层和接入层网络节点，并对链路带宽、时延抖动参数进行设置，采用轻量级虚拟化的方法形成符合条件的网络部署脚本并部署。

4.根据权利要求3中所述的系统，其特征在于，步骤1-2中形成的僵尸网络终端节点和网络通信节点通过桥接的方式进行互联。

5.根据权利要求4中所述的系统，其特征在于，所述仿真部件执行如下步骤：

步骤2-1，为仿真接口定制界面，通过对目标僵尸网络统计特征的分析，确定仿真目标；

步骤2-2，实现对僵尸网络仿真模型库的增加、删除、修改、查询和更新操作、可部署标准接口模型和自定义模型；

步骤2-3，通过对僵尸网络统计信息，实现对僵尸网络控制者的行为的仿真；

步骤2-4，建立僵尸网络传播行为仿真模型，通过建立传播规律的系统动力学模型并求解，得到僵尸网络随时间变化的传播规律，形成虚拟机动态控制指令，模拟僵尸网络传播感染过程；

步骤2-5，对僵尸网络C&C通信信道进行仿真，模拟僵尸网络控制指令下发的信道，模拟内容包括信道带宽、加密算法、定向路由三类特征；

步骤2-6，借助仿真部件的可编程接口，通过规范化编程语言，实现步骤2-2～步骤2-5中仿真模型参数设置、定制和集成。

6.根据权利要求5中所述的系统，其特征在于，所述数据支撑部件执行如下步骤：

步骤3-1，通过流量数据定制接口界面设置僵尸网络运行环境的背景流量需求，提交给数据支撑部件；

步骤3-2，数据支撑部件实现公网数据重放、业务数据生成以及流量合成。

7.根据权利要求6中所述的系统，其特征在于，步骤3-1包括如下步骤：

步骤3-2-1，数据支撑部件实现对公网节点上抓包生成的数据集进行处理和重放，其中对公网节点上抓包生成的数据集的处理包括IP地址转换和噪点数据过滤两级处理；

步骤3-2-2，数据支撑部件实现对网站点击、邮件收发、FTP下载业务的仿真生成；

步骤3-2-3，数据支撑部件将公网数据集中数据流量和业务数据进行合成和重放，形成符合试验需求的背景流量。