一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法技术

一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，包括如下步骤：构建可供僵尸网络病毒传播的网络拓扑结构；找到已经存在弱口令漏洞的物联网设备，获取并解析设备固件；对获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟，并对目标拓扑结构进行模拟；完成僵尸网络的传播复现，并打包成一个靶标。本方法通过对Mirai传播过程的分析，实现恶意代码对抗重启，进程不死等功能，使用QEMU模拟器对固件进行模拟仿真，所构建的靶标场景聚焦于典型僵尸网络病毒仿真的定制以及传播模型分析。仿真的定制以及传播模型分析。仿真的定制以及传播模型分析。

【技术实现步骤摘要】
一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法


[0001]本专利技术属于嵌入式系统安全
，具体涉及一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法。

技术介绍

[0002]物联网设备被广泛应用于工业、商业、农业以及与交通、医疗、家居的结合。用户通过个人手机、电脑等移动设备就可以在任何时间、任何地点对物联网设备进行控制。物联网设备主要面向的是普通大众，所以设备制造商生产的重点就在于成本低廉以及部署、使用方便上。这些数量庞大的物联网设备，没有科学有效的安全管理机制，并且人们的安全意识薄弱，导致大量的物联网设备面临着网络攻击的威胁。
[0003]Mirai僵尸网络病毒能够感染IP摄像头、智能路由器、无线打印机等嵌入式设备，利用多个已知、未公开的漏洞进行入侵和控制，然后通过互联网对其他嵌入式设备进行感染。之后，由于Mirai源码的发布，出现了一系列基于Mirai的变种僵尸网络，如Sysrv、Twizt、Enemybot等。从重大漏洞攻击事件的影响范围和出现频率可以看出，加快对于物联网设备僵尸网络传播模型的分析，不仅有助于保障个人财产和生命安全，推动全球物联网安全的发展，而且对于国家信息安全、网络数据保护等方面也具有重大意义。
[0004]僵尸网络是由众多被感染的联网设备所构成，而其中被感染的设备节点则被称为肉鸡。肉鸡被黑客通过命令与控制服务器发送的指令所操控，进而感染其他物联网设备或者发起DDoS攻击等行为。物联网设备所遭受的DDoS攻击不仅损害了设备本身的可利用性和安全性，更是威胁了整个网络系统的稳固。目前研究人员会从微观角度研究针对物联网僵尸网络的恶意流量的检测，分析恶意流量的特征。

技术实现思路

[0005]针对Mirai僵尸网络的传播机制，本专利技术提出了一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，通过构建网络拓扑结构，模拟僵尸网络传播过程，对已知漏洞的物联网设备，进行僵尸网络病毒的传播，并通过修改Mirai僵尸网络病毒，实现对抗重启，进程不死等加强功能，可以在虚拟化环境中，对僵尸网络病毒进行复现、分析，并最终打包成靶标，方便研究人员进行进一步的研究。
[0006]一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，包括如下步骤：
[0007]步骤1，构建供僵尸网络病毒传播的网络拓扑结构；
[0008]步骤2，在步骤1的基础上，找到已经存在弱口令漏洞的物联网设备，获取并解析设备固件；
[0009]步骤3，对步骤2中获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟，并对目标拓扑结构进行模拟；
[0010]步骤4，在步骤3的基础上，完成僵尸网络的传播复现，并打包成一个靶标。
[0011]本专利技术的有益效果是：(1)该方法分析了物联网僵尸网络病毒的传播原理，并且增强了僵尸网络的传播效果，可以对抗重启以及让进程不会被kill命令杀死。(2)该方法采用固件模拟的角度，使用了功能全面的处理器模拟器QEMU，针对固件进行模拟时，对于底层硬件架构透明，即不仅可以支持x86架构，还能够支持ARM、MIPS架构的设备仿真，对各种设备都能方便的进行交叉编译和动态调试，此外，QEMU简单易操作，相比于其它方式，更加高效。(3)通过构建网络拓扑结构，模拟僵尸网络传播过程，对已知漏洞的物联网设备，进行僵尸网络病毒的传播，并通过修改Mirai僵尸网络病毒，实现对抗重启，进程不死等加强功能，可以在虚拟化环境中，对僵尸网络病毒进行复现、分析，并最终打包成靶标，方便研究人员进行进一步的研究。
附图说明
[0012]图1是本专利技术实施例中的整体流程图。
[0013]图2是本专利技术实施例中的网络拓扑结构图。
[0014]图3是本专利技术实施例中的固件获取与解析的结构框图。
[0015]图4是本专利技术实施例中的基于QEMU对固件模拟的结构框图。
具体实施方式
[0016]下面结合说明书附图对本专利技术的技术方案做进一步的详细说明。
[0017]如图1
‑
4所示，本专利技术是一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法。对僵尸网络传播进行复现，并最终形成靶标，该系统包括如下步骤：
[0018]步骤1：构建网络拓扑结构，主要包含五部分，C&C命令与控制服务器，Loader文件服务器与首个Bot僵尸网络受控端，以及用于被传播的弱口令物联网设备，和一台模拟被攻击的物联网设备。受感染的Bot会进行扫描，扫描在内网中开启了23号端口的物联网设备，并使用内置的字典，尝试爆破弱口令物联网设备，将成功的结果返回给Loader文件服务器，Loader根据Bot返回的用户名密码尝试登录弱口令物联网设备，登录成功后，加载僵尸网络病毒，成为受控的肉鸡。此时利用C&C下达攻击指令，监听被攻击物联网设备上的恶意流量，证明已经达到了目的，具体为：
[0019](1)创建三个虚拟环境，其中包含C&C命令与控制服务器，对被感染的肉鸡进行监控和管理，同时下达黑客的攻击指令。Loader文件加载服务器，用于登录被破解后的弱口令物联网设备，加载和运行僵尸网络恶意代码。首个Bot僵尸网络的受控端(对应于图1中的bot1)，感染僵尸网络病毒后，可以扫描其他开启了Telnet端口的弱口令物联网设备。
[0020](2)创建一个用于被模拟传播感染的弱口令物联网设备(对应于图1中的bot2)。
[0021](3)创建一个用于被攻击的物联网设备，并且监听该物联网设备的流量，当看到大量的恶意流量时，说明已经达到了攻击的目的。
[0022]步骤2：固件获取与解析，在设备官网上获取固件信息，或者通过硬件接入直接读取固件存储芯片，绕过控制设备控制器(或处理器)，直接控制设备的Flash芯片，读取到芯片中的整片内容，或者利用UART串口调试来执行shell命令获取固件信息，并解析固件的二进制数据，如图3，具体为：
[0023](1)固件获取：首先在设备供应商官网上的技术支持区下载固件；当无法通过官网或售后获取固件时，可以通过编程器等硬件设备直接读取固件存储芯片，绕过控制设备控制器，直接控制设备的Flash芯片，读取到芯片中的内容；当无法通过官网或编程器的方式获取物联网设备固件时，终端设备的存储芯片通常挂载在文件系统上，可以使用UART调试接口来使用终端设备shell获取固件，通过执行命令“cat/proc/mtd”看到boot、内核、文件系统等挂载的起始地址与字节大小，其中文件系统“rootfs”挂载的位置为mtd3，此时使用dd命令即可获取设备文件系统镜像，并使用ftp/tftp等方式将固件传出。
[0024](2)固件解析：嵌入式设备固件指存储在电可擦除只读存储器EEPROM或FLASH芯片中的一段二进制程序，固件中包含了嵌入式设备中的所有可执行程序以及配置文件，是嵌入式设备最为核心的部分，决定了该设备功能和性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，其特征在于：所述方法包括如下步骤：步骤1，构建供僵尸网络病毒传播的网络拓扑结构；步骤2，在步骤1的基础上，找到已经存在弱口令漏洞的物联网设备，获取并解析设备固件；步骤3，对步骤2中获取到的固件信息，使用QEMU模拟器，通过系统级仿真技术，对目标固件进行模拟，并对目标拓扑结构进行模拟；步骤4，在步骤3的基础上，完成僵尸网络的传播复现，并打包成一个靶标。2.根据权利要求1所述的一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，其特征在于：步骤1中，具体包括如下分步骤：步骤1
‑
1，创建三个虚拟环境，包含C&C命令与控制服务器，对被感染的肉鸡进行监控和管理，同时下达黑客的攻击指令；Loader文件加载服务器，用于登录被破解后的弱口令物联网设备，加载和运行僵尸网络恶意代码；首个Bot僵尸网络的受控端，感染僵尸网络病毒后，用于扫描其他开启了Telnet端口的弱口令物联网设备。步骤1
‑
2，创建一个用于被模拟传播感染的弱口令物联网设备；步骤1
‑
3，创建一个用于被攻击的物联网设备，并且监听该物联网设备的流量，当看到大量的恶意流量时，说明已经达到了攻击的目。3.根据权利要求1所述的一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，其特征在于：步骤2中，具体包括如下分步骤：步骤2
‑
1，固件获取；步骤2
‑
2，固件解析：针对固件中包含的引导加载程序bootloader、内核kernel和文件系统filesystem，对固件进行解压，将固件运行的系统架构、文件格式进行分类存储在数据库中，建立一个完整的嵌入式物联网设备固件文件系统。4.根据权利要求3所述的一种面向物联网设备的僵尸网络传播模型分析及靶标构建的仿真方法，其特征在于：步骤2
‑
1的固件获取具体为...

【专利技术属性】
技术研发人员：王超逸，沙乐天，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：