基于Twitter控制的移动僵尸网络分析.pptVIP

* * * 先导专项：面向感知中国的新一代信息技术研究 * 基于Twitter控制的移动僵尸网络 研究背景介绍 防御方行为模型 移动僵尸网络 拓扑生成算法 对抗与应对策略 汇报内容 Twitter 基于Twitter控制的移动僵尸网络 P2P架构 随着移动互联网的快速发展，僵尸网络正在从传统互联网络向移动网络过渡，移动僵尸网络已成为未来移动互联网安全急需关注的热点方向。而Twitter业务在移动互联网上的广泛应用以及实时异步松耦合的通信特点，为移动僵尸网络提供了控制能力更强、隐蔽性更好的控制信息平台载体。 本文提出了一种基于Twitter控制的移动僵尸网络，僵尸控制者（Botmaster）通过公共Twitter服务器控制整个僵尸网络；在服务器的逻辑层，僵尸网络呈现多账号的P2P结构，同时僵尸网络的拓扑结构可由Botmaster自主定义，在此基础上，本文根据实际应用场景提出两种通用网络拓扑生成算法，通过仿真分析，证明了基于Twitter控制的移动僵尸网络具有良好的隐蔽性、健壮性和灵活性。 研究背景介绍 防御方行为模型 移动僵尸网络 拓扑生成算法 对抗与应对策略 汇报内容 防御方行为模型 防御角色 关注焦点 1 智能手机用户 费用，通信质量 2 移动网供应商 通信质量，瞬时流量 3 Twitter服务商 响应时间、用户体验 4 政府相关部门 恶意事件、犯罪活动 防御方的防御行为模型也就是僵尸网络的威胁模型。 本文提出的移动僵尸网络是构建在威胁模型之上的。 防御方行为模型 防御行为模型 1 用户不会在未发现异常费用和大量垃圾消息的情况下，怀疑存在恶意程序。 2 用户认可由自身使用产生的流量费用。 3 用户不在乎通过WiFi连接的流量。 4 移动网供应商认可一切不影响网络正常使用的流量。 5 移动网供应关心在单点突发的大量数据流量。 6 Twitter服务商认可一切不影响Twitter的服务的流量。 7 Twitter服务商关心具有大量听众的账号发出的消息，为其分配高速缓存。 8 政府相关部门认可一切不造成大范围影响的僵尸网络。 9 政府相关部门关心通过僵尸网络进行犯罪行为幕后指使。 研究背景介绍 防御方行为模型 移动僵尸网络 拓扑生成算法 对抗与应对策略 汇报内容 移动僵尸网络 僵尸网络的网络结构 僵尸网络的逻辑结构 botAccount=earAccount,mouthAccount 其中账号earAccount只负责收听僵尸命令，账号mouthAccount只负责转发收听到的僵尸命令。 移动僵尸网络注册流程 Bot端注册申请 Botmaster端分配资源 移动僵尸网络的控制模型 研究控制模型，我们不得不考虑到节点的两个状态，一个是没有控制命令时候的状态，一个是响应控制命令时节点的状态。定义每个Bot节点的两个状态为： S=sleep,active. 其中sleep是没有控制命令时候的休眠状态；active是执行控制命令时的响应状态。节点在sleep状态时，登陆earAccount账号，收听僵尸命令；在active状态时，执行恶意攻击行为和登陆mouthAccount账号转发僵尸命令。等待命令执行完毕，注销mouthAccount账号，转为sleep休眠状态，等待新的僵尸命令的到来。 移动僵尸网络的控制模型 Bot状态转移的具体过程 研究背景介绍 防御方行为模型 移动僵尸网络 拓扑生成算法 对抗与应对策略 汇报内容 移动僵尸网络的拓扑生成算法 1、 随机树状结构treeP2P 2、 均匀分布结构uniformP2P 采用treeP2P结构传播效率高于uniformP2P结构。从传播效率上分析，明显treeP2P占有很大优势。但是treeP2P结构存在单向性传播缺陷。这个缺陷限制了Botmaster必须通过指定账号发布命令。而uniformP2P结构就没有这个缺陷，但传播效率稍慢于treeP2P结构，新Bot注册时，需要重新分配所有节点，算法复杂度相对较高。 因此，具体采用何种拓扑生成算法，Botmaster需要综合考虑僵尸网络承担的任务与恶意行为按需求定制适合的拓扑生成算法。 拓扑生成算法对比仿真 TOPOLOGY={treeP2P,2/3/5/10} TOPOLOGY={uniformP2P,3/5/10} TOPOLOGY={treeP2P/uniformP2P , 5} 僵尸网络健壮性 研究背景介绍 防御方行为模型 移动僵尸网络 拓扑生成算法 对抗与应对策略 汇报内容 对抗与应对策略 防御行为 应对策略 分析 1、2 感染安装有Twitter客户端的用户 隐藏流量，躲避用户怀疑 3 在连接wifi后，更新程序