没有合适的资源?快使用搜索试试~ 我知道了~
软件影响10(2021)100173原始软件出版物僵尸网络模拟器:用于了解僵尸网络BenjaminVignaua,RaphaëlKhourya,Nana,SylvainHalléa, Abdelwahab Hamou-Lladjba魁北克大学希库蒂米分校,计算机科学和数学系,加拿大魁北克省希库蒂米加拿大魁北克省蒙特利尔市康考迪亚大学A R T I C L E I N F O保留字:僵尸网络恶意软件模拟器A B标准僵尸网络模拟器是一种工具,允许研究人员模拟不同机器人的行为,这些机器人争夺对同一目标池的控制权。这种模拟使研究人员能够预测恶意软件设计的差异,例如不同的扫描策略,感染方法或对策的存在将如何影响恶意软件在动态竞争环境中的传播。僵尸网络模拟器的主要目标是使研究人员能够更好地了解恶意软件,以便制定有效的对策。 每个僵尸网络都可以使用在真实恶意软件中观察到的几种功能中的任何一种进行定制,从而允许创建细粒度和逼真的模拟。代码元数据当前代码版本v1.1用于此代码版本的代码/存储库的永久链接https://github.com/SoftwareImpacts/SIMPAC-2021-148可再生胶囊的永久链接https://codeocean.com/capsule/9655968/tree/v1法律代码许可证MIT许可证(MIT)使用git的代码版本控制系统软件代码语言、工具和服务使用Python(98.1%)、Shell(1.9%)编译要求,操作环境依赖性操作系统:Linux,matplotlibs(https://matplotlib.org/)如果可用,链接到开发人员文档/手册https://github.com/bvignau/The_Botnet_Game/blob/master/README.md支持电子邮件,用于问题benchmark. insa-cvl.fr1. 介绍僵尸网络模拟器的创建是为了研究多个僵尸网络之间的相互作用,争夺交叉的目标集。该工具的开发是由一个事实推动的-在配套文件中记录[1],即多个机器人经常竞争同一组有限的目标。僵尸网络模拟器的设计是由我们在以前的研究中观察到的物联网僵尸网络的不同特征指导的[1]。 更准确地说,僵尸网络模拟器允许研究人员解开以下因素对僵尸网络传播速度• 僵尸网络• 多个僵尸网络可能会争夺相同的目标。 然而,几个同期僵尸程序可用的目标集并不总是完全相交的,因为每个僵尸网络可能依赖于一组不同的弱点和漏洞来执行感染。• 最近的几个机器人包含专门用于帮助在前述的竞争中,包括持久性(在被感染的设备重新启动后在其上保持活动的本文中的代码(和数据)已由Code Ocean认证为可复制:(https://codeocean.com/)。更多关于生殖器的信息徽章倡议可在https://www.elsevier.com/physical-sciences-and-engineering/computer-science/journals上查阅。∗通讯作者。电子邮件地址:benje.vignau@ insa-cvl.fr(B.Vignau),raphael. uqac.ca(R.Khoury),shalle@acm.org(S.Hallé),wahab.concordia.ca(A.Hamou-Lladj)。https://doi.org/10.1016/j.simpa.2021.100173接收日期:2021年10月24日;接收日期:2021年11月9日;接受日期:2021年11月10日2665-9638/©2021作者。由Elsevier B.V.出版。这是一篇开放获取的文章,使用CC BY许可证(http://creativecommons.org/licenses/by/4.0/)。可在ScienceDirect上获得目录列表软件影响杂志 首页:www.journals.elsevier.com/software-impactsB. 维尼奥河Khoury,S.Hallé等人软件影响10(2021)1001732删除(删除以前感染受害者的恶意软件的能力)和预防(通过修补允许首先利用的漏洞来防止同一受害者未来感染的能力)。• 最后,机器人之间的竞争也受到防御机制的影响,这些机制可以减少恶意软件的传播。然而,并非所有的机器人都受到这些机制的影响,因为一些机器人现在包括自己的对策,例如伪装成不同进程的能力。所有这些因素的结合导致了高度动态的环境,在这种环境中,很难预测什么样的属性组合将最有效地帮助机器人实现其目标。例如,Mirai使用了一个包含大约60个常用凭证的加权字典[2];后来的变体扩展了这个字典的大小。与直觉相反,这些变种表现出较低的传播速度,因为僵尸网络浪费了太多时间徒劳地试图访问安全性良好的目标,而不是在访问被证明太困难时快速移动[2]。在这种情况下,一个工具,模拟两个之间的竞争,或更多的机器人是一个有用的贡献领域,因为它将允许研究人员预测新兴恶意软件的毒性,并优化对策,如白帽机器人。2. 一般功能把机器人关起来。 为了创建模拟,必须首先定义将参与模拟的每个机器人。每个机器人的生命周期被定义为有限状态机。为了以灵活的方式抽象时间,我们定义了有限状态机的每个状态所占用的圈数。然后可以通过分配转换率(例如,1圈= 0.5 ms)。两种状态是强制性的:扫描和利用。扫描状态生成用于感染的IP地址,而利用状态对机器人感染受害者(上传有效负载等)所花费的时间进行建模。可以添加其他状态来模拟更复杂的恶意软件的行为。该模拟器目前支持四种扫描方法(顺序,随机,二分顺序和二分随机)和其他的可以很容易地实现。保护环境。在模拟开始之前,还需要初始化配置文件,该配置文件指定:(1)目标设备的总体大小(即,可扫描地址),(2)易受模拟中存在的每个僵尸网络感染的该群体的比例,以及(3)多个僵尸网络共有的配置文件还指定了出生率和死亡率,用于捕获新设备进入人群或从人群中移除的频率。死亡率和出生率的定义是遵循正态分布的频率(每100圈出现一次),其中配置文件中定义了100、100和100。���������最后,配置文件还指定要执行的模拟数量。由于模拟包含随机分量,因此方便的是执行多个这样的模拟,并且考虑随机分量。它们产生的最大、最小平均和中值结果。模拟展开在模拟开始时,每个僵尸网络包含一个受感染的机器人(由僵尸主机创建的第一个机器人,它不是总种群的一部分)。感染后,每个机器人将初始化并运行自己的有限状态机,并传输IP地址或指示机器人正在处理的消息(如果机器人需要多次循环才能生成IP地址)。如果僵尸网络提供IP地址,则模拟验证相应的设备是否被标记为僵尸网络的潜在受害者。如果是这样,开发阶段将在下一轮开始。僵尸网络也可以修补受害者,保护他们免受其他僵尸网络的攻击,或者从已经感染的设备中删除其他僵尸网络(Wifatch和Hajime展示的行为)。输出. 模拟器的输出是一个CSV文件,其中包含每个机器人在每个回合中感染的受害者数量。该模拟器包括脚本multiplot.py以自动生成图形。图1给出了模拟输出的示例。它显示了执行顺序扫描的机器人(右)和执行二分法顺序扫描的其他类似机器人(左)之间的传播速度差异3. 其他功能僵尸网络模拟器还添加了许多其他功能,以逼真地模拟现代恶意软件的行为。在这些功能中,我们注意到:减速功能。Zoo等人在他们对蠕虫病毒Code Red的研究中[3]认为,恒定的扫描速率并不能真实地描述恶意软件的行为,因为当网络饱和时,扫描速度会减慢。这种放缓在实践中多次观察到,特别是在Mirai传播的早期阶段[2]。 通过指定网络通信开始降级的受感染设备的阈值以及定义所产生的减速的函数,可以将该约束并入僵尸网络模拟器执行的模拟中。镇压和保护。为了更有效地竞争,一些现代僵尸网络在感染易受攻击的设备后,会从受害者身上删除任何其他已经存在于其上的恶意软件。例如,Hajime能够删除在其目标上运行的Mirai实例[4]。 其他僵尸网络通过修复这些竞争对手利用的漏洞来保护受害者免受竞争对手的潜在感染。 僵尸网络之间交互的这两个方面都可以在模拟中结合起来通过在僵尸网络的定义中包含抑制列表和/或保护列表。异步释放可以指定一个机器人比另一个机器人更早发布,从而在感染受害者方面领先一步。 机器人开始活动的初始时间是在机器人的定义中指定的内容过滤。可以通过网络模拟内容过滤的存在,这意味着一旦恶意软件的签名被发现,受保护的节点就会丢弃任何包含恶意有效载荷的连接。4. 文献复习现有的僵尸网络模拟工具指定低层次的网络行为,如网络布局和协议,我们选择抽象掉,并旨在找到防御者和攻击者的策略之间的纳什均衡。Kotenko等人[5]发布了一个工具,可以模拟网络中僵尸网络的增长,并可以比较三种不同防御策略的影响。Wu等人[6]报告了在NS-3网络模拟器上进行的实验结果,扩展了恶意对手的博弈论模型。他们的模型使研究人员能够确定最佳的数据包过滤策略, 防御者,以及在同样寻求优化带宽使用的对手存在的情况下的最佳。同样,Wang等人[7]也实现了一个博弈理论模型,旨在确定防御者和攻击者的最佳过滤和感染策略。他们模拟不同的场景,B. 维尼奥河Khoury,S.Hallé等人软件影响10(2021)1001733Fig. 1. 使用顺序扫描(左)和二分法顺序扫描(右)对两个僵尸网络进行扫描的演变,超过850次。纵轴显示模拟步骤,纵轴显示模拟步骤。是受感染机器的数量。每个玩家采取不同的行动路线,但总是在两个玩家游戏的背景下。我们的工具是唯一一个具有不同能力的多个机器人正在争夺同一目标池的现实,以及这些目标特征的差异 机器人可以在这场竞争中提供优势。所有其他工具都仅限于两个玩家的场景,一个防守者和一个攻击者。此外,所有以前的模型都集中在DoS和DDoS攻击上,从而损害了其他可能的目标。而不是明确地纳入低层次的网络实现细节,我们反而选择了一个网络的一般抽象,其中只定义了一组潜在的目标。我们的重点是僵尸网络模拟器允许用户指定各种恶意软件的设计特征。 避免指定网络拓扑的需要还允许我们 运行更大的模拟-潜在的数万个目标,这将是困难的或不可能的现有工具。该工具还易于扩展,僵尸网络可以开发的任何新功能都可以通过几行代码合并到该工具中 Python代码5. 影响概述如上所述,僵尸网络模拟器已经在我们以前的研究中使用过[1],我们研究了现有功能对恶意软件传播的影响。该工具将允许研究人员预测新出现的或理论特征的影响,以及预测针对每种威胁的不同安全对策的相对有效性。我们正在探索的另一个潜在用途是利用此工具来开发和优化“白帽机器人”,这可以抵消恶意软件的影响(例如,通过修补不安全设备上的漏洞,或执行其他安全任务)。这样的机器人 在学术文献中已经提出了[8],但尚未实现和模拟。我们不断更新模拟器,以反映新恶意软件中出现的任何新功能。这将使安全专业人员能够更好地预测现有安全对策的有效性,并根据恶意软件的行为和能力开发新的安全对策。竞合利益作者声明,他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作致谢这项研究之所以成为可能,要归功于La Capitale Asphalt et ServicesFinanciers和NSERC研究资助RDCPJ 537198-18的支持。引用[1]Benjamin Vignau,Raphaël Khoury,Sylvain Hallé,Abdelwahab Hamou-Lhadj,物联网恶意软件的演变,从2008年到2019年:调查,分类,过程模拟器和视角,J.Syst. Archit。116(2021)102143.[2]Manos Antonakakis , Tim April , Michael Bailey , Matt Bernhard , ElieBursztein , Jaime Cochran , Zakir Durumeric , J. Alex Halderman , LucaInvernizzi, MichalisKallitsis , Deepak Kumar, Chaz Lever , Zane Ma , JoshuaMason, Damian Menscher, ChadMenscher, Nick Sullivan , Kurt Thomas , YiZhou,Understanding the miraibotnet,in:26th USENIX Security Symposium,USENIX Security 17 , USENIXAssociation , Vancouver , BC , 2017 , pp. 1093-1110。[3]邹长春,龚伟波,唐·陶斯利,红色代码蠕虫传播模型与分析,见:第九届计算机与通信安全会议论文集,ACM,2002,pp. 138-147[4]Shobana Manoharan,S. Rathi,IOT恶意软件:设备劫持分析,Int.J. Sci. Res. Comput. Sci. Comput. Eng. INF. Technol. (2018)2456[5]Igor Kotenko,Alexey Konovalov,Andrey Shorov,基于Agent的僵尸网络建模和仿 真 以 及 僵 尸 网 络 防 御 , in : Conference on Cyber Conflict , CCDCOEPublications,Citeseer,Tallinn,Estonia,2010,pp. 21-44.[6]Qishi Wu,Sajjan Shiva,Sankardas Roy,Charles Ellis,Vivek Datla,关于基于博弈论的防御机制对DoS和DDoS攻击的建模和仿真,在:2010年春季模拟多场会议论文集,2010年,第100页。1-8.[7]王一川,马建峰,张柳梅,季文江,陆迪,黑新红,僵尸网络DDoS攻击与防御的动态博弈模型,安全分析。Commun.网络9(16)(2016)3127-3140。[8]Michele De Donno , Nicola Dragoni , Alberto Giaretta , Manuel Mazzara ,AntibIoTic:Protecting IoT devices against ddos attacks,in:Paolo Ciancarini,StanislavLitvinov,Angelo Messina, Alberto Sillitti,Giancarlo Succi(Eds.),Proceedings of5th International Conference in Software Engineering for DefenseApplications -SEDA 2016, Rome , Italy , May 10th , 2016, in : Advances inIntelligent Systems andComputing,vol. 717,Springer,2016,pp. 59比72
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 十种常见电感线圈电感量计算公式详解
- 军用车辆:CAN总线的集成与优势
- CAN总线在汽车智能换档系统中的作用与实现
- CAN总线数据超载问题及解决策略
- 汽车车身系统CAN总线设计与应用
- SAP企业需求深度剖析:财务会计与供应链的关键流程与改进策略
- CAN总线在发动机电控系统中的通信设计实践
- Spring与iBATIS整合:快速开发与比较分析
- CAN总线驱动的整车管理系统硬件设计详解
- CAN总线通讯智能节点设计与实现
- DSP实现电动汽车CAN总线通讯技术
- CAN协议网关设计:自动位速率检测与互连
- Xcode免证书调试iPad程序开发指南
- 分布式数据库查询优化算法探讨
- Win7安装VC++6.0完全指南:解决兼容性与Office冲突
- MFC实现学生信息管理系统:登录与数据库操作
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功