《基于网络钓鱼的密码窃取技术研究》开题报告5000字

———基于网络钓鱼的密码窃取技术研究开题报告一、课题名称、来源、选题依据（一）课题名称基于网络钓鱼的密码窃取技术研究（二）来源随着信息技术的广泛应用和不断发展，互联网己经成为我们生活中不可缺少的一部分。其中，将现代化办公与计算机网络技术结合起来的一种新型办公方式——办公自动化在我国发展迅速，这使企业工作效率得到有效提升的同时，计算机也广泛成为企业和个人存储信息的主要载体。与此同时，其数据安全问题也逐渐成为人们关注的焦点。近年来，以获取企事业单位及个人有价值信息为目标的网络窃密攻击越演越烈。2020年4月，深信服发布《2020年网络安全态势洞察报告》指出全球各地深受数据泄露事件困扰，其中72%的数据泄露事件中包含商业客户受害者，众多受害者的用户数据遭到侵害，且恶意攻击是数据遭受泄露的主要原因之一，占比52%。同时，报告显示2020年下半年恶意软件拦截量比上半年增长超过30%其中，在恶意软件拦截类型中木马占比26.98%，位居第二。此外，2021年上半年，国家互联网应急中心(CNCERT)发布了(((2021年上半年我国互联网网络安全监测数据分析报告》，报告显示我国境内感染计算机恶意程序的主机数量约446万台，同比增长46.8%。此外，2022年1月瑞星公司发布了《2021年中国网络安全报告》，报告指出2021年瑞星“云安全”系统共截获病毒样本总量1.19亿个，病毒感染次数2.59亿次，病毒类型以信息窃取、资费消耗、远程控制、流氓行为等类型为主。如图1.1所示，统计了我国在2021年的病毒样本类型，其中新增木马病毒8050万个，为第一大种类病毒，占到总数量的67.49%。由此可见，木马仍然还是互联网所面临的主要安全威胁之一。（三）选题依据本文研究的窃密木马程序主要指以窃取用户隐私数据为目的的网络钓鱼窃密木马和钓鱼网站窃密木马。网络钓鱼窃密木马主要收集和使用用户的个人隐私数据或敏感信息;攻击者将网络钓鱼窃密木马植入到受害主机后，网络钓鱼窃密木马收集主机信息后发送给特定目标。钓鱼网站窃密木马通过获取主机控制权控制目标主机、监控受害者的主机行为来窃取机密信息;攻击者将钓鱼网站窃密木马植入到目标主机后，木马会进行长期潜伏并在接收到控制指令后执行指令并将执行结果回传给攻击者。不论是网络钓鱼窃密木马还是钓鱼网站窃密木马，都具有很强的隐蔽性和潜伏性，且都会对受害主机进行信息窃取并发送给第三方。例如个人隐私数据、公司商业数据等，这对个人、企业甚至是国家安全造成了巨大威胁。然而为了更好地获取敏感信息，窃密木马的隐蔽性及潜伏性也越来越强，这给窃密木马检测技术带来了很大的挑战。窃密木马程序的检测不仅有利于发现异常流量，还有助于发现隐藏的APT攻击行为，以便为大型攻击事件提供预警，所以至今一直受到国内外学者的广泛关注。为应对窃密木马所引发的安全威肋、，近年来国内外研究者提出了一系列检测方法。现今使用较多的是基于特征码的检测技术和基于行为的检测技术，但基于特征码的检测技术不能检测未知的窃密木。此外，窃密木马为了窃取感染主机信息会使用多种隐藏技术隐藏自身，故其工作行为较为隐蔽且在其生命周期中大部分时间仅是潜伏在感染主机内而且会尽量少地表现出异常行为，这导致在实际应用中基于行为的检测技术对窃密木马的检测效果不好。所以，加强对窃密木马的检测与防范仍然是一个重要的研究课题。二、本课题国内外研究现状及发展趋势当前含窃密功能的木马数量众多，大致可分为软件木马和硬件木马两种类型，本文主要研究软件木马。为了更好地对窃密木马进行研究，按窃密木马对受害主机的控制方式可划分为有控制功能和无控制功能两种类型，即窃密木马对受害主机不具有控制功能的网络钓鱼窃密木马与窃密木马对受害主机具有控制功能的钓鱼网站窃密木马。网络钓鱼窃密木马感染主机后单独作业，收集感染主机的敏感信息并通过网络发送给特定目标;钓鱼网站窃密木马感染主机后通过获取主机控制权控制主机，等待攻击者发送控制指令，木马在感染主机内监听、执行控制指令后将执行结果通过网络回传给攻击者。为便于研究，针对网络钓鱼窃密木马和钓鱼网站窃密木马，本文将被植入窃密木马的一端统称为窃密端/被控端(类似正常软件客户端)，将接收窃密信息的一端统称为接收端/控制端(类似正常软件服务端)。窃密木马与其他诸如勒索软件等以损害系统为目的的恶意程序不同，当窃密木马被植入到窃密端/被控端后，窃密木马会尽可能长期潜伏并秘密窃取其隐私信息，这给窃密木马检测带来了很大的挑战。现阶段针对窃密木马的检测方法大多使用基于特征码的检测技术和基于行为的检测技术。基于特征码的检测技术通过将待检测程序的特征与特征库进行对比来判断其是否为恶意程序，该技术能高准确率地检测包含在特征库内的窃密木马，但无法检测未在特征库中的窃密木马。而基于行为的检测技术则通过分析待检测程序的主机行为或网络行为来判断其是否为恶意程序。然而，窃密木马为避免被检测会在感染主机后仅在不连续的较短时间内执行其窃密行为，这导致基于行为的检测方法针对窃密木马检测时漏报率较高。（1）基于特征码的检测方法基于特征码的检测方法是检测恶意程序最为简单和实用的方法，特征码是一串或几串用于唯一标识一个木马程序的二进制信息。其通过对己知的窃密木马进行逆向分析，提取待检测窃密木马的特征并与特征库进行对比来判断其是否为窃密木马。David等人通过一种神经网络一深度信念网络(DBN)生成特征码，提出了一种基于深度学习的恶意软件特征码自动生成和分类方法。Sathyanarayan等人通过提取恶意软件的关键API序列来作为特征码对恶意软件进行识别。Lavesson等人通过将用户许可协议看作一个特征码，并在实验过程中验证了多种算法的检测效果较好。(2)基于主机行为分析的检测方法Salehi等人通过API调用或者程序参数来识别恶意软件。Javaheri等人通过提取程序运行中的API调用结合机器学习算法对木马程序进行检测。Ahmadi等人玛寄程序API调用转换为灰度图，并用图像识别技术来检测恶意软件。Mimura等人环口Nissim等人在受控环境下监测木马执行时所调用的API序列及其库文件，通过这些对受害主机的敏感操作来构建模型并进行训练和检测。Rezaeirad等人通过在蜜罐环境下重构攻击者执行木马的种种恶意行为，来分析木马操控者的攻击行为、攻击信息及木马操控者与被操控者之间的交互方式等。段晓云通过研究恶意软件的运行原理，提出通过监测软件在windows系统中的API调用行为，结合文本分类和数据挖掘技术来检测恶意软件。(3)基于网络行为分析的检测方法Jiang等使用数据包数量、上行数据包大小、下行数据包大小等七个特征，并采用随机森林算法构建模型对木马类恶意流量进行检测。王伟等人提出了一种以原始流量数据为图像的使用卷积神经网络应用于恶意软件流量分类的方法，该方法以原始流量数据作为分类模型的输入，从而减少了人工设计特征步骤。Wazid等人提出了一种针对新型键盘记录软件攻击检测和防御的框架，旨在检测到键盘记录软件后，根据键盘记录软件会定期将收集的日志文件通过电子邮件发送到指定的电子邮件地址，通过分析该日志文件进行预防。但文中并未给出框架的实现细节，且只针对一个键盘记录软件进行实验，实验样本数量较少。Pallaprolu等人通过使用集成学习对各个分类器的检测结果进行投票，以此获取较高的检测率。LI等人通过提取上下行字节比等特征并结合K-means聚类算法构建了木马检测模型。Zhang等人通过分别提取木马各个通信阶段的特征结合集成学习方法来进行木马流量识别。综上所述，针对网络钓鱼窃密木马而言，当前大多数检测方法运用基于主机行为特征分析的检测方法，但网络钓鱼窃密木马在感染主机后仅在不连续的较短时间段内执行其窃密行为，导致基于主机行为的检测方法对网络钓鱼窃密木马的漏报率较高。然而，网络钓鱼窃密木马作为以窃取数据为主要意图的恶意软件，将受害主机上窃取的隐私信息远程传送给攻击者是其必要步骤。当前，因特网是攻击者与网络钓鱼窃密木马通信的主要通道。因此，本文重点关注网络钓鱼窃密木马的网络通信行为，从待检测主机的网络流量中提取网络钓鱼窃密木马的网络通信行为特征，构建一种基于网络通信行为特征的网络钓鱼窃密木马检测方法。针对钓鱼网站窃密木马而言，从网络通信行为角度分析，网络流量承载了远控木马控制端发送控制命令，被控端执行命令并回传其获取到的受害主机敏感信息的通信过程。且在命令发送和执行过程中，分析单向网络通信行为特征相较于当前主流的分析双向网络通信行为特征具有效果更为明显，分析数据量较小、效率更高等特点。而从木马被控端角度出发，其仅是被动执行控制端所发出的命令而己。因此，本文重点分析钓鱼网站窃密木马的单向通信过程，从钓鱼网站窃密木马控制端角度出发，旨在通过分析木马控制端所产生的单向网络通信行为实现准确、高效地检测钓鱼网站窃密木马流量。三、课题在理论与实践上的意义入侵检测技术正是能够涵盖防御和检测的一项防御手段，入侵检测技术具有大量的、全面的分析，它能告诉用户，什么地方存在什么样的威胁，需要如何处理。目前还没有一项技术能够替代入侵检测技术实现这样的功能。因入侵检测系统不可替代性的优点，美国保护政府系统信息安全的爱因斯坦计划也是大量应用了入侵检测技术。于是本文从入侵检测技术针对网络窃密的方面出发，明确网络窃密的特点，相应的改善入侵检测技术，实现对网络窃密的预防和发现，这对于保障网络安全，防止网络窃密具有重要意义。四、课题需要解决的关键理论问题和实际问题（1）通过对真实窃密木马样本的执行过程进行细致分析，并进一步分析了自主型窃密木马与钓鱼网站窃密木马的网络通信行为特性，总结了可用于网络钓鱼窃密木马和钓鱼网站窃密木马检测的网络特征。（2）针对当前网络钓鱼窃密木马检测方法存在窃密木马主机行为获取难度大、漏报率较高等问题，本文通过抽取网络钓鱼窃密木马网络通信阶段的行为特征，提出一种基于网络通信行为特征的网络钓鱼窃密木马检测方法。并结合真实的网络钓鱼窃密木马样本，验证了该方法能够在使用较少特征的前提下能以高准确率检测己知和未知网络钓鱼窃密木马。（3）针对当前钓鱼网站窃密木马检测方法存在分析其单向网络通信行为特征相较于分析双向网络通信行为特征具有效果更明显，分析数据量较小、效率更高等特点。本文通过抽取钓鱼网站窃密木马控制端的网络通信行为特征，提出一种基于控制端行为分析的钓鱼网站窃密木马检测方法。并结合真实的钓鱼网站窃密木马样本，验证了该方法能以高准确率区分钓鱼网站窃密木马流量和正常软件流量。五、课题研究的基本方法、实验方案及技术路线的可行性论证网络钓鱼窃密木马在受害主机上仅在持续时间短的网络通信阶段进行数据交互，这与正常网络应用软件的通信行为存在明显区别。因此，本文提出一种基于网络通信行为特征的网络钓鱼窃密木马检测方法ADMNC，该方法以网络钓鱼窃密木马网络通信阶段的流量特征来判别网络钓鱼窃密木马流量和正常软件流量。本文将检测单元设为TCP会话，由{源IP地址、源端口、目的IP地址、目的端口、协议}五元组信息确定。如图3.2所示，ADMNC首先对收集的网络钓鱼窃密木马网络流量进行TCP会话抽取得到网络钓鱼窃密木马TCP会话集。相应的，ADMNC采集用户正常使用主机时所产生的网络通信流量并抽取其TCP会话，保留会话中由各内部主机发起的会话得到正常软件TCP会话集，将该会话集视为正常软件的“通信流量”。在提取各网络钓鱼窃密木马会话或正常软件会话时，本文将内部主机向外部服务器发送建立TCP连接请求的SYN包和发送释放连接确认的ACK包的行为分别视为网络钓鱼窃密木马/正常软件进入和结束一次网络通信行为的标志。之后，从会话集中提取每个会话的流量特征并结合机器学习算法建立检测模型，用以判别各待检测TCP会话对应正常软件流量还是网络钓鱼窃密木马流量。六、开展研究应具备的条件及已具备的条件，并估计在进行论文工作中可能遇到的困难与问题和解决措施在Vmware虚拟机中安装Windows7操作系统作为自主型窃密木马窃密端的运行环境，并在其中安装了WPS,360浏览器等常用正常软件，其中Ftp接收端与Email接收端分别处于内网和外网。检测自主型窃密木马的主机硬件配置为Interi7-8700处理器，16G内存，使用Wireshark软件