通过基于推送内容的隐写方法,将需要传输的控制指令隐藏于推送文本中,设计运用文本隐写术,再选取经常作为推送内容的新闻和广告题材制作范本,设计可变单词仓模型和三重替换规则,生成拟自然语言的句子,来隐写僵尸网络的控制命令。
第一章 绪论
1.1 研究背景
随着移动互联网的发展和智能手机终端的普及,移动互联网因其广泛性和便捷性已成为网络犯罪新的温床,传统的僵尸网络也发展成为了新型的移动僵尸网络,逐渐引起了广大研究者的重视。
1.1.1 移动互联网
近些年来,移动互联网迅速发展,CNNIC 第 40 次中国互联网发展统计报告[1]显示,到2017 年 6 月为止,中国通过手机上网的用户已经达到了 7.24 亿,占总网民人数的 96.3%,手机上网的网民数量逐年提高,网民中仅使用手机上网的用户占比为 24.5%,而使用台式电脑和笔记本电脑接入互联网的用户占比分别为 64.6%和 38.5%,比去年各下降了 9.6%和 2%;平板电脑上网使用率为 28.7%;电视上网使用率为 26.7%。台式电脑和笔记本电脑用网网民的减少更说明越来越多的网民选择便捷的移动设备上网,尤其是智能手机。与此同时,全方位提供服务的移动互联网应用满足着用户的各类需求。在上半年,智能手机应用的用户量不断上升,业务场景比起过去更加丰富。其中,手机外卖应用的用户量增长是最快速的,用户规模较 2016 年年底增加了 41.4%,现在是 2.74 亿,移动支付用户规模达 5.02 亿,是提升移动互联网使用率的主力军,有超过 6 亿人使用移动互联网访问网络。
.........................
1.2 论文主要工作
为了提高对新型移动僵尸网络的分析和防范能力,本文研究了将僵尸网络的 C&C(Command&Control)信道隐藏于推送服务中的新型 C&C 机制,使推送文本拟自然语言化,躲避互联网服务提供商的异常检测。
本文基于推送型僵尸网络的实际推送环境,设计运用文本隐写术,再选取经常作为推送内容的新闻和广告题材制作范本,设计可变长单词仓模型和三重替换规则,生成拟自然语言的句子,来隐写僵尸网络的控制命令。主要有以下的研究内容:
(1)基于新闻的语料范本
一般的推送服务器多以推送新闻和广告为主要业务,而其中大部分信息是以文本的形式进行传输。本文通过构建基于新闻的语料范本来隐含推送信息,设计不易破解的范本语料库,依次来进行 C&C 文本隐写。
(2)拟自然语言 C&C 文本隐写术的设计
通过构建可变的单词仓和设计替换规则,使得 C&C 指令能够被隐含在一则或多则推送消息之中,并能保证隐写的隐匿性、高效性和保密性。 (3)进行隐写系统实现
本文通过程序将系统进行初步地实现,并通过实验调整了模型参数,通过一次完整的仿真实验过程,本文提出的理论方法具有现实意义。
(4)性能分析
本文通过 SVM(Support Vector Machine)分类方法对提出的移动僵尸网络 C&C 文本隐写方法进行检测,验证本文的隐写方法的不可感知性,再通过对比实验说明了其在隐写容量方面有良好的表现,并论证了其鲁棒性。
1.2.1 研究内容
本文将隐写术用于僵尸网络的命令与控制机制设计中,提出了一种基于推送服务器的新型移动僵尸网络 C&C 文本隐写术,将移动僵尸网络的 C&C 信道隐藏于推送服务中,采用隐写术将 C&C 信息更好的藏匿起来,使其难以被发现和破解。这种 C&C 机制模仿了正常推送服务器推送新闻和广告的行为,将看似无害的基于英文的文本消息推送给僵尸机,命令它们完成僵尸控制者下达的任务,并通过检测算法和对比实验证明了这种隐写方法具有不错的隐蔽性和效率,非常适用于 C&C 命令的传输。
............................
第二章 相关背景知识介绍
2.1 移动僵尸网络
移动僵尸网络[4]与传统僵尸网络[5]的主要区别在于被控制的主机属于移动终端,具有更多的消息传输方式。参阅传统僵尸网络的描述和定义[6-7],这里给出移动僵尸网络的定义:移动僵尸网络是指攻击者采用网络蠕虫、后门技术、蓝牙技术、SMS、MMS 和 WiFi 等技术中的一种或多种作为传播手段,将大量移动终端感染 Bot 程序(僵尸程序)病毒,并从而控制大量智能终端设备,在控制者和被感染主机之间所形成的一个可一对多控制的网络。进行移动僵尸网络的传播的攻击者主要存在的目的有隐私数据窃取,DDoS 攻击网络部署,伪造网站流量数据,进行舆论造谣等等。随着移动互联网的普及,在这之上的网络犯罪行为也在增多,尤其在 Android 和 iOS 平台上,各种恶意攻击行为逐渐涌现了出来。2009 年出现了首个针对Symbian 系统并携带基于 HTTP 协议的 C&C 机制的移动恶意代码 SymbOS Yxes[8],而后针对越狱 Iphone 手机的僵尸网络 Ikee B[9]也活跃起来。于 2012 年首个 Android 移动僵尸网络Geinimi[10]出现。2013 年,安全公司 FireEye 发现了一个在韩国流行但指令控制中心位于中国的 Android 僵尸网络 MisoSMS,称它是至今发现的最大移动僵尸网络。
与传统的计算机环境下的僵尸网络类似,移动僵尸网络也包含三个主要元素: 移动僵尸主控机、僵尸机和命令与控制机制。移动僵尸主控机通过命令与控制机制在移动僵尸机上通过控制系统或应用来执行主控机发出的命令,以达到攻击者的目的。另一方面,攻击者也可以通过受感染的僵尸机去感染其他的移动设备,并将其转化为新的移动 Bot[11]。与其他类型的恶意软件的主要区别在于被感染的设备相互连接,形成了移动僵尸网络。移动僵尸主控机主要通过 C&C 机制给移动僵尸机发送命令和进行增量更新[12]。类似于僵尸网络的生命周期[13-14],移动僵尸网络进行攻击的整个过程可以分为三个阶段:移动僵尸网络的传播和感染、信息传递和系统更新、接收指令和攻击。
移动智能终端和传统计算机相比,虽然有必然的联系和相似点,却在具体的软硬件使用场景、系统详细设计上存在很多差别。移动僵尸网络和传统僵尸网络也是一样,两者存在很多相似之处,然而移动僵尸网络也有自己的特点。
(1)传染性
攻击者面对不同的操作系统,须根据不同操作系统的安全策略,设计不同的僵尸程序来传播移动僵尸网络。不同操作系统对于第三方应用的监管是不同的,攻击者须躲避过平台的安全监测机制才能将僵尸程序投放到应用市场,获得人们的下载。
(2)破坏性
移动僵尸网络除了像传统僵尸网络一样能破坏计算机软硬件设备,还可以窃取个人隐私和数据,恶意扣费等。
.................................
2.2 隐写术
隐写术是一种利用看似无害的信息或与隐藏信息毫无关联的载体去隐藏目的信息的信息隐藏技术,是保护秘密信息不轻易被攻击的一种有效手段,与传统的密码技术的共同点是都是保护秘密信息不被窃取,不同的是密码技术使用的手段是通过把秘密信息进行编码变成密文进行保护,而隐写术使用的方法是将秘密信息隐藏在另一公开载体中,一般使用图像、文字、音视频等多媒体文件作为载体,载体可以在通信信道中公开传递,传送者将秘密信息嵌入到载体(图片、视频、音频、文本等)中,然后将修改后的载体作为传输介质传送给接收者,比单纯使用加密技术更有效地避免第三方注意。隐写术应用范围极其广泛,比如匿名通信[35],匿名在线交易,计算机网络系统中的匿名信道[36]等等。如今随着微博、论坛,以及各种点评类和电子商务类网站的兴起,出现大量短篇文本信息的版权和个人隐私信息需要保护,文本信息隐写术即顺势而为。文本信息隐写术包括文本格式和自然语言文本信息隐写术,其中文本格式隐写术利用文本中不可见字符[37]、字符格式[38]、属性特征[39]来嵌入秘密信息,但由于这类秘密信息独立于文本内容的存在,不能有效保护文本内容,不适合用于设计水印算法对文本内容进行版权保护,且难于抵抗重写攻击[40];自然语言文本信息隐写术利用文本中的词汇、语义、语言统计等规则来嵌入秘密信息,使用最广泛的是基于同义词替换规则,这是因为替换后不会引起文本语义改变,保持了文本特征属性的一致性;其次基于同义词替换规则能使文本嵌入更多的秘密信息,增加嵌入量;不会造成文本句法和语义逻辑错误,且能保证秘密信息嵌入与提取完整性。一般而言,文本格式隐写术嵌入秘密信息需要对文本格式做出改变,而过多的处理改变会被肉眼识别,所以具有很大局限性;而自然语言文本信息隐写术的隐写方案是根据自然语言的特点设计,只是改变了原来文本的内容,文本的统计特征尽量与原文本保持一致。因为自然语言信息隐写术的局限性更小,隐秘性更好,应用价值更高,它逐渐变成了文本隐写的热门研究方向。
通常评估隐写算法的性能,主要依靠下面几个指标:
(1)不可感知性
隐写算法需要尽量保持载体原有的统计特性,使包含秘密信息的载体不易被感知。对于文本隐写来说,隐写后的文本载体要尽可能自然,符合自然语言的文本特征。符合常见不可感知性是评价一个隐写算法性能好坏的最重要的指标,如果不可感知性较差,那么再讨论隐写算法的隐藏容量和鲁棒性是没有任何意义的,它诠释了一个隐写算法的安全指标。
(2)隐藏容量
隐藏容量就是指载体能够隐藏隐密信息的总量。在一定的安全性指标下,隐藏容量越大,说明隐写算法的性能越好。
(3)鲁棒性
包含隐密信息的载体在受到一定强度的攻击之后,隐密信息能不能被准确的提取出来,隐写系统会不会因此受到影响,是评估一个隐写算法鲁棒性强弱的重要指标。
第三章 拟自然语言 C&C 文本隐写术 .................... 17 3.1 压缩 ............................. 17
3.2 替换 ......................... 18
3.2.1 基于推送内容的范本 .................... 18
3.2.2 可变单词仓的构造 ......................... 18
第四章 仿真实验 ................................ 28
4.1 推送型僵尸网络模型 .................. 28
4.1.1 推送服务 ........................ 30
4.1.2 隐写服务与解码服务 ........................... 33
第五章 实验结果分析 ...................... 40
5.1 不可感知性 ............................ 40
5.2 隐藏容量 ............................. 42
第五章 实验结果分析
5.1 不可感知性
本文通过范本提供的推送句子长度和句末单词长度构建单词仓,再按照三重替换规则进行单词替换,把传送的隐匿信息以 bin 仓号的形式隐藏,将选中的单词仓中按照三重替换规则的优先级先后作为替换依据替换掉原来的单词,将范本与控制命令融合,从而产生发送的句子。在实验中,本文仿照 Safaka 等人的工作[47]通过 Opengrm 库[53]配合相同题材的文本训练简单的 N 元语言模型,从而随机产生句子,再与本文提出的方法产生的句子进行比较,无论在句子结构上还是在语法语义上,本文生成的句子具有更好的可读性和自然性;在推送的内容上,本文通过基于上下文的三重替换策略能够较好的保证生成后的句子和原范本具有较高的相似度,使得推送内容与一般推送服务的推送内容相近。
例:选取的 flight 新闻范本
Approximately twenty flight routes for various airlines are to be modified to avoid the path of a rocket scheduled to be launched from North Korea later this month.
例:选取 flight 新闻生成范本,发送 remove 命令生成句子
Approximately twenty flight routes for various humans are to regard modified to monitor the path cut a rocket departed to be considered from North Korea later this month.
例:选取 flight 新闻训练 N 元语言模型生成的句子
Were received acting been were can main terrorism since main democracies received signs out can so far democracies received France.
........................
第六章 总结与展望
6.1 论文总结
在移动僵尸网络的研究中,控制命令机制是僵尸网络研究的重点之一。本文研究了一种将僵尸网络控制命令拟自然语言化的隐写方法,设计可变单词仓和三重替换规则,来隐写僵尸网络的控制命令,同时保证了移动僵尸网络命令推送的效率以及隐蔽性。本文比起无上下文内容关联的 Safaka N 元语言模型隐写方法,采用基于范本的三重替换规则,使得句子的自然性和连贯性得到加强,并结合可变单词仓,将改进的拟自然语言模型应用于僵尸网络控制命令传输中,提高了控制命令的编码效率和保密性。这种方法尤其在推送僵尸网络控制命令这种较小的数据量时具有很高的效率。该控制命令推送机制是基于推送内容设计的,难以被基于流量分析和差分分析等检测手段所检测。
总结全文,以下是本文完成的主要工作:
(1)对移动僵尸网络的发展以及命令与控制机制进行了调研和整理,总结了近年来移动僵尸网络的研究与发展。对隐写术的定义、特点进行了总结和整理,阐述了隐写术的发展历程,指出了常用的检测方法。
(2)设计了一种新型的针对于推送型移动僵尸网络命令与控制信息文本的隐写方法,解释了工作原理。
(3)通过设计实验,调整实验参数,并使用互联网的推送服务进行推送,在 Bot 端接收后正常解析命令,从而证明了该隐写术的可行性。
(4)通过检测算法和对比实验,说明了本文提出的隐写术具有较好的隐蔽性和较高的隐写效率,隐写的文本自然连贯,传输的命令与控制信息不易被检测出来。
参考文献(略)