学位论文 > 优秀研究生学位论文题录展示

基于PDF文档传播的实验性僵尸网络的研究

作 者: 杨光
导 师: 王美琴; 王继志
学 校: 山东大学
专 业: 信息安全
关键词: 僵尸网络 恶意PDF文档 Javascript溢出
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 46次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网的迅速发展,信息化时代从根本上改变着人们的工作和生活方式,一方面使得办公和娱乐越来越便利,另一方面也带来了严重的安全问题。尤其是近年来由传统的木马和蠕虫发展而来的僵尸网络已经日趋成熟,作为一种新型的通用攻击平台,在网络犯罪中扮演者越来越重要的角色。不同于以往的恶意代码进行单纯地破坏,僵尸网络可以为攻击者带来巨大的经济收益,比如攻击竞争对手的服务器造成DDos,大量发送垃圾广告短信收取费用,盗取银行账号获得资金,甚至廉价出售窃取的用户隐私来获取利益。这说明僵尸网络已经从工作和生活的各个方面严重威胁着人们的安全,因此也引起了越来越多人们的关注。另一方面,PDF文档在办公领域迅速普及,随之而来的专门针对PDF文档恶意代码飞速增长。由于PDF文档在日常生活和工作中的重要作用,使得其成为了一种有效地恶意代码传播媒介。对于僵尸网络而言其获得的经济收益与网络规模成正相关,因此如何快速有效地感染新的主机扩大自身网络的规模是关键问题之一。本文基于对僵尸网络和恶意PDF文档的研究,提出借助PDF文档传播僵尸网络的新思路,在此基础之上研究应对的方法,为将来可能出现的新威胁提前做好准备。本文首先介绍当前僵尸网络的发展现状和研究热点,力图揭示现实中僵尸网络所使用的关键性技术,如命令与控制信道结构,作用机制等,以此为编写测试用的实验性僵尸网络提供参考。其次介绍了PDF文档的结构知识,重点分析了PDF文档的物理结构和逻辑结构,把握物理结构利于确定想PDF文档中嵌入关键代码的方式和位置选择,而分析逻辑结构则帮助我们能够遵循PDF文档规范修改文档,保证PDF文档的有效性。在此基础上,简单归纳了当前PDF文档恶意代码的利用方式,在分析最新公布的两个漏洞的基础上介绍了利用PDF中的Javascript激活生效的关键思路。然后编写实验性的僵尸网络,采用UDP通信建立C/S中心结构拓扑;介绍了目前主流的远程注入技术的原理,并利用该技术实现客户端进程的隐藏;利用注册系统服务的技术实现客户端随机自启动,基本实现偶尸网络的功能。最后将以上两方而结合起来,在虚拟环境中测试了借助PDF文档传播僵尸网络的有效性,建立了以PDF文档为媒介传播僵尸网络的基本模型。

全文目录


摘要  8-10
Abstract  10-12
第一章 绪论  12-16
  1.1 选题背景  12-14
    1.1.1 僵尸网络  12-13
    1.1.2 恶意PDF文档  13-14
  1.2 课题研究内容  14-15
  1.3 论文的组织结构  15-16
第二章 国内外研究现状  16-29
  2.1 僵尸网络的特征  16-20
    2.1.1 僵尸网络的功能结构  16-19
    2.1.2 僵尸网络的作用机制  19-20
  2.2 僵尸网络的研究现状  20-24
    2.2.1 解析Botnet  20-23
    2.2.2 检测和追踪僵尸网络  23
    2.2.3 反制偶尸网络  23-24
  2.3 手机僵尸网络  24-29
第三章 PDF代码嵌入  29-40
  3.1 PDF文档格式介绍  29-35
    3.1.1 PDF的物理结构  29-33
    3.1.2 PDF的逻辑结构  33-35
  3.2 PDF的增量更新模式  35-36
  3.3 PDF中的Javascript嵌入  36-40
第四章 PDF嵌入代码的构造  40-49
  4.1 PDF中的Javascript  40
  4.2 PDF中的堆喷射  40-41
  4.3 PDF嵌入代码构造  41-49
    4.3.1 构造思路  41-42
    4.3.2 CVE-2013-0460的利用思路  42-46
    4.3.3 CVE-2013-0461的利用思路  46-49
第五章 实验性僵尸网络客户端  49-56
  5.1 选择UDP建立C/S通信  49-50
  5.2 进程隐藏  50-52
  5.3 客户端自启动  52-56
第六章 实验测试  56-59
  6.1 实验环境  56
  6.2 实验结果  56-59
第七章 总结与展望  59-61
  7.1小结  59
  7.2未来工作与展望  59-61
参考文献  61-64
致谢  64-65
学位论文评阅及答辩情况表  65

相似论文

  1. 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
  2. 僵尸网络技术检测与防范系统—数据库与系统集成解决方案,TP393.08
  3. 基于API Hook技术的Bot检测方法的研究与实现,TP393.08
  4. 僵尸网络技术检测与防范系统,TP393.08
  5. 僵尸网络技术检测与防范系统,TP393.08
  6. 基于时空相关性分析的僵尸网络流量的检测研究,TP393.08
  7. 基于多告警源关联分析的僵尸检测方法研究,TP393.08
  8. 基于行为特征的僵尸网络检测方法研究,TP393.08
  9. 基于IP流量的僵尸网络检测模型的设计与实现,TP393.08
  10. 基于数据包特征的僵尸木马检测技术,TP393.08
  11. 云安全技术在数据中心僵尸网络防护中的应用,TP393.08
  12. 基于IRC协议的僵尸网络检测系统的实现,TP393.08
  13. 基于Botnet的DDoS攻击取证技术的研究与实现,TP393.08
  14. 僵尸终端检测算法与研究,TP393.08
  15. 校园网被控主机的检测系统研究,TP393.08
  16. 基于DNS数据流的僵尸网络检测技术研究,TP393.08
  17. 可控僵尸网络系统设计与实现,TP393.08
  18. 基于流量特征的IRC僵尸网络检测技术研究,TP393.08
  19. 针对僵尸网络DDoS攻击的蜜网系统的研究与设计,TP393.08
  20. 基于SMTP协议分析的僵尸网络检测技术研究,TP393.08
  21. 电信运营商IP互联网安全服务研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com