面向Web隐藏后门技术的防御

doi:10.11959/j.issn.1000-0801.2020142

电信科学 ›› 2020, Vol. 36 ›› Issue (5): 39-46.doi: 10.11959/j.issn.1000-0801.2020142

• 专题：网络安全的智能化和高对抗性发展 • 上一篇下一篇

面向Web隐藏后门技术的防御

陈利跃¹,孙歆²,成天晟³,吴春明³,陈双喜^3,⁴()

¹ 国网浙江省电力有限公司，浙江杭州 310027
² 国网浙江省电力有限公司电力科学研究院，浙江杭州 310027
³ 浙江大学，浙江杭州 310058
⁴ 嘉兴职业技术学院，浙江嘉兴 314036

修回日期:2020-04-25 出版日期:2020-05-20 发布日期:2020-05-18
作者简介:陈利跃（1973- ），男，国网浙江省电力有限公司处长、高级工程师，主要研究方向为信息安全管理|孙歆（1981- ），男，国网浙江省电力有限公司电力科学研究院高级工程师，主要研究方向为新型网络安全攻防|成天晟（1995- ），男，浙江大学硕士生，主要研究方向为网络空间安全|吴春明（1967- ），男，浙江大学教授、博士生导师，主要研究方向为人工智能、柔性可重构网络体系、软件定义网络、网络主动防御创新安全技术等|陈双喜（1980- ），男，嘉兴职业技术学院讲师，浙江大学博士生，主要研究方向为网络空间安全的渗透与主动防御
基金资助:
国家电网总部科技项目(52110118001F)

Defense of hidden backdoor technology for Web

Liyue CHEN¹,Xin SUN²,Tiansheng CHENG³,Chunming WU³,Shuangxi CHEN^3,⁴()

¹ State Grid Zhejiang Electric Power Co.,Ltd.,Hangzhou 310027,China
² State Grid Zhejiang Electric Power Co.,Ltd.Research Institute,Hangzhou 310027,China
³ Zhejiang University,Hangzhou 310058,China
⁴ Jiaxing Vocational and Technical College,Jiaxing 314036,China

Revised:2020-04-25 Online:2020-05-20 Published:2020-05-18
Supported by:
The Science and Technology Funding Project of State Grid(52110118001F)

摘要/Abstract

摘要：

Rootkit是一种持久且隐匿的攻击技术，通过修改操作系统软件或内核，更改指令执行路径，隐匿攻击行为和后门程序痕迹。首先介绍了Rootkit的基本定义及其演变过程，其次讨论了目前Rootkit工作原理、主流技术以及检测方法。然后通过安全性与性能对比实验，阐述了基于动态异构冗余架构搭建的拟态Web防御系统在木马攻击下的应用效果。实验结果表明，拟态Web防御系统能在较小开销的情况下有效地对木马攻击进行防御。最后总结了该系统在当前环境下所面临的机遇与挑战。

关键词: Rootkit, 动态异构冗余架构, 拟态防御

Abstract:

Rootkit is a set of persistent and undetectable attack technologies,which can hide their attack behavior and backdoor trace by modifying software or kernel in operating system and changing execution path of instruction.Firstly,the basic definition and evolution of Rootkit were introduced,then the operating principle,current mainstream technology and detection methods of Rootkit were discussed.Then,through comparative experiments on performance and security,the application of mimic defense system was described for Web based on dynamic,heterogeneous,redundant structure under Trojan Horse attack.Experiments show that mimic defense system can effectively defend against Trojan Horse in tests in the premise of low overhead.At last,the opportunities and challenges of the DHR system were summarized.

Key words: Rootkit, dynamic heterogeneous redundant structure, mimic defense

中图分类号:

TP393

陈利跃,孙歆,成天晟,吴春明,陈双喜. 面向Web隐藏后门技术的防御[J]. 电信科学, 2020, 36(5): 39-46.

Liyue CHEN,Xin SUN,Tiansheng CHENG,Chunming WU,Shuangxi CHEN. Defense of hidden backdoor technology for Web[J]. Telecommunications Science, 2020, 36(5): 39-46.

图/表 8

图1

图2

图3

图4

图5

表1

表2

图6

参考文献 15

[1]	中国互联网信息中心.第 44 次中国互联网发展状况统计报告[R]. 北京:中国网信网, 2018.
	China Internet Network Information Center. The 44th statistical report on the development of China’s Internet[R]. Beijing:Cyberspace Administration of China, 2018.
[2]	KRUEGEL C , ROBERTSON W , VIGNA G . Detecting kernel-level rootkits through binary analysis[C]// Proceedings of Computer Security Applications Conference. Piscataway:IEEE Press, 2004: 91-100.
[3]	张瑜, 刘庆中, 李涛 ,等. Rootkit研究综述[J]. 电子科技大学学报, 2015(4): 563-578.
	ZHANG Y , LIU Q Z , LI T ,et al. Research and development of Rootkit[J]. Journal of University of Electronic Science and Technology of China, 2015(4): 563-578.
[4]	FU D S , CAO C L . A windows rootkit detection method based on cross-View[J]. Information Technology, 2010(2): 1-3.
[5]	白光冬, 郭耀, 陈向群 . 一种基于交叉视图的 Windows Rootkit检测方法[J]. 计算机科学, 2009,36(8): 133-137.
	BAI G D , GUO Y , CHEN X Q . Windows rootkit detection method based on cross-view[J]. Computer Science, 2009,36(8): 133-137.
[6]	陈晓苏, 黄文超, 肖道举 . 一种基于交叉视图的 Windows Rootkit检测方法[J]. 计算机工程与科学, 2007,29(7): 1-3.
	CHEN X S , HUANG W C , XIAO D J . A Windows rootkit detection method based on cross-view[J]. Computer Engineering＆Science, 2007,29(7): 1-3.
[7]	LEVINE J G , GRIZZARD J B , OWEN H . A methodology to detect and characterize kernel level rootkit exploits involving redirection of the system call table[C]// Proceedings of Second IEEE International Information Assurance Workshop. Piscataway:IEEE Press, 2005: 107-125.
[8]	KRUEGEL C , ROBERTSON W , VIGN G . Detecting kernel-level rootkits through binary analysis[C]// Computer Security Applications Conference. Piscataway:IEEE Press, 2004: 91-100.
[9]	GARFINKEL T , ROSENBLUM M . A virtual machine introspection based architecture for intrusion detection[C]// Proceedings of Network and Distributed Systems Security Symposium. Piscataway:IEEE Press, 2003: 253-285.
[10]	WANG Z , JIANG X , CUI W ,et al. Countering kernel rootkits with lightweight hook protection[C]// Proceedings of the 16th ACM Conference on Computer and Communications Security. New York:ACM Press, 2009: 545-554.
[11]	田竞, 孙慧琪, 武希耀 ,等. 一种基于安全优先架构的细粒度可信监测度量方法[J]. 信息安全学报, 2019,4(5): 23-31.
	TIAN J , SUN H Q , WU X Y ,et al. A fine-grained trusted monitoring measurement method based on security-first architecture[J]. Journal of Cyber Security, 2019,4(5): 23-31.
[12]	LEE H , MOON H , HEO I ,et al. KI-Mon ARM:a hardware-assisted event-triggered monitoring platform for mutable kernel object[J]. IEEE Transactions on Dependable and Secure Computing, 2019,16(2): 287-300.
[13]	仝青, 张铮, 张为华 ,等. 拟态防御Web服务器设计与实现[J]. 软件学报, 2017,28(4): 883-897.
	TONG Q , ZHANG Z , ZHANG W H ,et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017,28(4): 883-897.
[14]	李卫超, 冯俊龙 . 动态异构冗余的Web威胁感知技术研究[J]. 智能计算机与应用, 2018,8(4): 42-46,52.
	LI W C , FENG J L . Research on dynamic heterogeneity redundant Web threat awareness technology[J]. Intelligent Computer and Applications, 2018,8(4): 42-46,52.
[15]	邬江兴 . 网络空间拟态防御研究[J]. 信息安全学报, 2016,1(4): 1-10.
	WU J X . Research on cyber mimic defense[J]. Journal of Cyber Security, 2016,1(4): 1-10.

名称	用途	内存	处理器	硬盘	系统
node1	异构服务器	2 GB	Intel? Core? i5-6300HQ CPU @ 2.30 GHz	20 GB	Ubuntu16.04.6
node2	异构服务器	1 GB		20 GB	CentOS7
node3	数据和负载均衡服务器	1 GB		20 GB	CentOS7
node4	异构服务器	2 GB		60 GB	Windows2012
Windows10	攻击机	8 GB		1 TB	Windows10

时间	无防护状态	正常防护状态	拟态防御状态
植入Reptile后	成功连接，并拿到shell	成功连接，并拿到shell	连接失败，攻击机再次尝试连接后，拿到shell
一定时间后	成功连接，并拿到shell	成功连接，并拿到shell	连接被断开，尝试连接，无回应

面向Web隐藏后门技术的防御

Defense of hidden backdoor technology for Web

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 15

相关文章 6

Metrics

推荐阅读 0

[1]	李传煌, 唐晶晶, 陈泱婷, 雷睿, 陈超, 王伟明. 基于拟态防御架构的服务功能链执行体动态调度方法[J]. 电信科学, 2022, 38(4): 101-112.
[2]	张汝云, 李合元, 李顺斌. 有限异构资源条件下的工业控制拟态调度算法[J]. 电信科学, 2021, 37(3): 57-65.
[3]	秦俊宁,韩嘉佳,周升,吴春明,陈双喜,赵若琰,张江瑜. 基于异构冗余架构的拟态防御建模技术[J]. 电信科学, 2020, 36(5): 31-38.
[4]	高明,罗锦,周慧颖,焦海,应丽莉. 一种基于拟态防御的差异化反馈调度判决算法[J]. 电信科学, 2020, 36(5): 73-82.
[5]	李馥娟,王群. Rootkit攻防机制与实现方法[J]. 电信科学, 2018, 34(12): 33-45.
[6]	季新生,梁浩,扈红超. 天地一体化信息网络安全防护技术的新思考[J]. 电信科学, 2017, 33(12): 24-35.