![点击分享此内容可以赚币 分享](/master/images/share_but.png)
基于Serverless的反溯源技术应用研究.pdf
《基于Serverless的反溯源技术应用研究.pdf》由会员分享,可在线阅读,更多相关《基于Serverless的反溯源技术应用研究.pdf(6页珍藏版)》请在咨信网上搜索。
1、收稿日期:2023-02-15摇 摇 摇 摇 摇 摇 修回日期:2023-06-16基金项目:国家重点研发计划(2021YFB3101900)作者简介:韩摇 杰(1976-),男,高级工程师,硕士,研究方向为网络安全和信息安全;通信作者:冯美琪(1994-),女,助理工程师,硕士研究生,研究方向为安全分析、大数据分析。基于 Serverless 的反溯源技术应用研究韩摇 杰1,冯美琪2,李建欣2(1.北京航天万源科技有限公司,北京 100176;2.中国民航信息网络股份有限公司 运行中心,北京 101318)摘摇 要:随着网络逐渐成为意识形态较量的主战场,攻防双方的技术手段在不断博弈中日渐精进
2、,现有的反溯源手段无法避免防守方多维多技术的溯源手段,更易被防守方溯源反制。该文提出了一种基于 Serverless 的反溯源技术应用思路,利用 Serverless 的事件驱动和自动伸缩特性,使得用户在请求目标时,自动调用不同可用区域的 IP 地址,以此达到隐藏自身真实 IP 的目的。同时,由于 Serverless 实现应用开发与服务器分离,攻击者可直接进行攻击代码编写,也更加利于隐藏身份。通过利用 Serverless 中的云函数和 CobaltStrike 软件进行试验验证其可行性,发现其能很好地隐藏攻击源,防守方无法溯源到真实的攻击源。同时从防守方角度,详细分析流量特征,基于特征值和
3、访问统计特征两个维度,构建攻击检测模型。通过模拟实际攻击行为和正常业务行为,验证了检测模型能够很好地发现攻击行为,并能区分攻击行为和正常业务行为,在一定程度上可以减少误报,降低对正常业务的影响,提高安全事件的处置效率,为防守方的入侵检测提供了检测思路。关键词:网络攻防;攻击溯源;反溯源;Serverless;攻击检测中图分类号:TP393.08摇 摇 摇 摇 摇 摇 摇 文献标识码:A摇 摇 摇 摇 摇 摇 文章编号:1673-629X(2023)12-0143-06doi:10.3969/j.issn.1673-629X.2023.12.020Research on Application
4、of Anti-traceability TechnologyBased on ServerlessHAN Jie1,FENG Mei-qi2,LI Jian-xin2(1.Beijing Aerospace Wanyuan Science&Technology Co.,Ltd.,Beijing 100176,China;2.Operation Center,TravelSky Technology Limited,Beijing 101318,China)Abstract:With the network gradually becoming the main battlefield of
5、ideological competition,the technical means of both sides of theattack and defense are increasingly refined in the continuous game.The existing anti-traceability means cannot avoid the multi-dimensional and multi-technology traceability means of the defense side,and are more likely to be countered b
6、y the defense side.Wepropose an application idea of anti-traceability technology based on Serverless,which makes use of the event-driven and auto-scalingfeatures of Serverless to make users automatically call the IP address of different areas when requesting the target,so as to achieve thepurpose of
7、 hiding their own real IP address.At the same time,because Serverless realizes the separation of application development andserver,attackers can directly write attack code,which is more conducive to hiding identity.By using the cloud function in Serverless andCobaltStrike software to test and verify
8、 its feasibility.It is found that it can well hide the source of attack and the defender cannot tracethe source of the real attack.At the same time,from the perspective of the defender,the traffic characteristics are analyzed in detail,andthe attack detection model is built based on the two dimensio
9、ns of the characteristic value and the access statistical characteristics.By sim鄄ulating the actual attack behavior and the normal business behavior,it is verified that the detection model can well detect the attackbehavior,and can distinguish the attack behavior and normal business behavior.To some
10、 extent it can reduce the false alarm,reduce theinfluence on normal business,improve the processing efficiency of security events,and provide a detection idea for the defense爷s intrusiondetection.Key words:network attack-defense;attack traceability;anti-traceability;Serverless;attack detection第 33 卷
11、摇 第 12 期2023 年 12 月摇 摇 摇 摇 摇 摇 摇 摇 摇 摇计 算 机 技 术 与 发 展COMPUTER TECHNOLOGY AND DEVELOPMENT摇 摇 摇 摇 摇 摇 摇 摇 摇 摇Vol.33摇 No.12Dec.摇 20230摇 引摇 言在全球化和信息化的时代背景下,网络逐渐成为意识形态较量的新战场1,其主要表现形式为网络攻防战2。在网络攻防战中,由于攻击来源的追踪查找是抵御网络攻击的一项主动防范技术,因为攻击者最为在意的就是如何隐藏自身真实身份3,不被防守方溯源反制。在前期攻击者使用的反溯源技术较为单一,手段多为删除各种日志或者不断更换网卡,效率较低,也更
12、易被发现。随着攻防技术的演进,攻击和防守在持续的博弈中各自精进,现有溯源技术呈现多维、多技术的综合特征,主要溯源技术有:基于 OmegaLog 框架4、基于网络流量风险数据聚类5、基于攻击图谱的溯源分析技术6、基于大数据技术的多层溯源框架7等。溯源技术多维和多技术的特征让攻击者在各个渗透阶段都有可能暴露自己的真实身份,现有手段已无法完美地隐藏自己,存在较高的暴露风险,此时云服务化和 Serverless 架构为攻击者提供了反溯源的新思路。针对现有反溯源技术的不足,该文利用 Serverless架构中的云函数实现攻击地址的隐藏进而验证其可行性,同时深入分析访问时的流量数据,与正常访问时的数据进行
13、对比分析,选取存在显著差异的特征作为主要指标,构建威胁检测模型,提供利用云函数进行网络攻击的检测思路。1摇 反溯源技术研究分类1.1摇 匿名通信技术匿名通信技术通过隐藏通信双方 IP 地址、物理位置等实体信息和通信关系的通信技术,使窃听者无法直接获知或推导得知通信双方的通信关系或某一方的信息,从而更好地保护网络用户的通信隐私8。匿名通信系统主要分为基于 Mix 算法、基于 OnionRouting算法和基于泛洪算法。当前关于匿名通信技术的研究主要集中在提供匿名性能,而其在网络攻击中的应用实例主要是 Tor 匿名网络,由于低延时、易于配置和使用、服务稳定可靠等优点,是目前互联网中最成功的公共匿名
14、通信服务9。1.2摇 跳板攻击技术跳板攻击技术是目前攻击方的普遍攻击形式,其主要的作用就是隐藏攻击源。其常见的应用实例就是跳板机。所谓跳板机就是一台可以联网的服务器,攻击者通过自己的本机控制跳板机,通过一个跳板机或多个跳板机对目标实施攻击行为,从而达到隐藏自身的目的。其主要分为两种利用形式10:一是简单经过,即数据包内容基本在经过跳板前后不改变,一次经过跳板机完成攻击;二是完全控制,即数据包基本内容经过跳板前后无必然关联,攻击者通过多种控制形式操作跳板机实施攻击。由于攻防技术不断精进,常用跳板攻击技术多为完全控制方式。但由于现有很多安全产品均有追溯功能,理论上在三跳以内的跳板攻击基本可以通过代
15、理跳板主机找到攻击源主机。1.3摇 代理技术代理也称为网络代理,是一种特殊的网络服务,允许一个网络终端通过该服务与另一个网络终端进行非直接的连接。代理服务器是一种加密的匿名代理,不仅可以更改 IP 地址,还可以对会话进行加密,常被攻击者利用来隐藏攻击源。攻击者主要的利用方式就是匿名代理服务器但其安全性取决于代理商。2摇 Serverless 介绍2014 年 Serverless 首 次 以 云 服 务 的 概 念 被 提出11,实现应用开发与服务器分离,同时消除底层设备差异对上层应用造成的不良影响12。Serverless 服务主要包括函数即服务 FaaS(Function as a Ser
16、vice)以及后端即服务(Backend as a Service)。其主要特征如下:(1)基于函数,即轻量化、细粒度和短周期的函数,使其系统简易、稳定和性能高;(2)无状态,即函数实例互相独立,具有一定容错能力;(3)自动伸缩性,即函数实例可以从活跃节点直接扩容,以应对批量事件,提升系统吞吐性能;(4)事件驱动,即触发器定义并量化事件-业务关系,提供实时事件监听服务;(5)高兼容性,即提供对异构基础设施、运行环境和编程方式等多层次13的兼容机制。云函数实际是 FaaS(函数即服务,Function as aService)的具体体现,是指运行在云服务器的代码,无需实体服务器进行承载,开发者使
17、用相应工具编写代码后上传部署至云端14之后即可运行在云服务器端的函数,其实际提供的是计算能力。从物理设计层面来讲,一个云函数可以由多个文件组成,各个云函数之间完全独立,可部署在不同地区。云函数可以被端侧调用,也可以互相调用。云函数主要特点是基于事件的、无服务器零运维15,也正因如此,云函数能跨多个物理服务器平衡工作负载,可以创建多个容器动态扩展应用程序的实例16,这也就使得用户在请求目标时,会自动调用不同可用区域的 IP 地址。以事件函数为例,云函数调用示意图如图 1 所示。目前云函数广泛应用于数据 ETL 处理、文件处理及通知、移动及 Web 应用、小程序、业务流转等,而其在网络攻防中的应用
18、场景主要是防溯源,如 C2 地址441摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 计算机技术与发展摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 摇 第 33 卷隐藏、制作防溯源的 Webshell 等。其在网络攻防中的应用与 CDN 相比,二者都是与域名资源绑定,但 CDN是建立并覆盖在承载网之上,主要应用在内容加速方面,但云函数提供无服务器执行环境,攻击者可直接进行攻击代码编写,也更加利于隐藏自己的真实 IP地址。APIportXXXXC2HTTPHTTPNginx图 1摇 云函数调用示意图3摇 云函数在反溯源方面的应用实例结合攻
19、击者的攻击思路,此次实验以 C2 地址隐藏为例,利用 CobaltStrike 软件创建后门程序,使用云函数转发 HTTP 请求,从而达到隐藏真实 IP 地址的目的,避免被防守方溯源追踪。(1)云函数创建。云函数有 2 种类型:一是事件函数,通过事件触发函数运行,纯粹纯托管 FaaS;一是 Web 函数,主要是应对主流的 Serverlessful 多线程开发模式,解决传统Web 框架 FaaS 化改造成本高的问题,用户可以直接发送 HTTP 请求到 URL 触发函数执行。考虑到攻击者在实际应用过程中的选择,本次实验选择事件函数类型,转发 HTTP 请求。云函数基本信息如图 2 所示。图 2摇
20、 云函数基本信息(2)后门程序创建。CobaltStrike 共支持 5 种后门程序,此处暂不详细介绍,选择 Windows Executable 类型木马即可达到实验目的。构建木马程序时,Shell 反弹的主机为申请的云函数域名。摇 摇(3)功能实现。功能实现的前提是已经通过其他攻击手段将木马文件植入到目标主机并运行,此次实验则直接将生成的 木 马 文 件 拷 贝 至 目 标 主 机 并 执 行,此 时 在CobaltStrike 页面中可以监听到目标主机点击了木马文件,同时双击可进入到 Shell 页面,通过执行系统命令(ls)获取当前目录下的所有文件以确认是否成功与目标主机建立连接,命令
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Serverless 溯源 技术 应用 研究
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。