一种基于物联网的大规模僵尸网络靶场仿真方法及装置与流程

1.本发明涉及信息安全技术领域，尤其涉及一种基于物联网的大规模僵尸网络靶场仿真方法及装置。


背景技术：

2.近年来，随着网络安全对抗式的发展，网络安全威胁逐渐也从2000年初的冲击波、震荡波、红色代码等炫技式的蠕虫病毒，发展至今mozi在内的僵尸网络以及有组织有预谋的恶意背景攻击事件。当前，僵尸网络已成为现代网络中威胁最大的安全威胁之一，僵尸程序感染网络中存在安全隐患的主机形成超大规模的僵尸网络。僵尸网络控制者集中控制僵尸网络的计算能力和数据资源，并利用这些资源进行非法活动，如信息窃取、垃圾邮件、钓鱼攻击以及 ddos 攻击等。由此可见，网络安全威胁已经发生了巨大的变化，进入到了泛安全时代。同时，全球联网设备数量日渐繁多，“万物互联”成为全球网络未来发展的重要方向。大量物联网设备直接暴露于互联网，设备存在的漏洞一旦被利用，可导致设备被控、隐私泄露、数据窃取等安全风险，甚至会对基础通信网络造成严重影响。因此，如何研究基于物联网设备的安全对抗技术以增强主动防御能力成为物联网安全行业的亟待解决的问题。


技术实现要素：

3.本发明的主要目的在于提出一种基于物联网的大规模僵尸网络靶场仿真方法及装置，旨在解决如何搭建基于物联网设备的大规模僵尸网络靶场，实现真实仿真僵尸网络的目的。
4.为实现上述目的，本发明提供的一种基于物联网的大规模僵尸网络靶场仿真方法，包括：步骤1，构建仿真系统固件库，其中，所述仿真系统固件库存储的固件信息包括基线固件信息和扩展固件信息；步骤2，构建设备信息库，所述设备信息库存储有当前网络环境中的设备信息以及设备信息与固件信息的映射关系；步骤3，获取僵尸网络样本，构建僵尸网络样本库，其中，每个所述僵尸网络样本中包括固件信息和对应的网络拓扑类型；步骤4，接收用户选定的所述僵尸网络样本，确定所述僵尸网络样本的固件信息和对应的网络拓扑类型，根据设备信息与固件信息的映射关系和网络拓扑类型确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，按照所述网络拓扑类型进行安装部署，生成仿真系统靶机；步骤5，通过控制器操作所述仿真系统靶机进行网络攻击的模拟，生成模拟的网络攻击数据，发送至分析器对所述网络攻击数据进行流量统计和事件回放处理，得到所述网络攻击的攻击画像和溯源信息。
5.所述方法还包括：分析器在得到所述网络攻击的攻击画像和溯源信息，根据所述
攻击画像和溯源信息，对仿真系统固件库中的固件信息的可用性进行标记，标记的类型为稳定、可用和不可用。
6.其中，根据市场占有率排序，选择top20的iot设备厂商的近5年的官方固件的信息作为基线固件信息，根据近5年的开源固件的信息作为扩展固件信息。
7.所述网络拓扑类型包括中心化网络拓扑和去中心化网络拓扑；其中，在中心化网络拓扑的安装部署中，确定控制器后，普通节点均直接与控制器通信，由普通节点作为客户端主动发起连接，控制器作为服务端接收远端连接，普通节点彼此之间无法通信；在去中心化网络拓扑的安装部署中，确定控制器后，普通节点不直接与控制器通信，由控制器作为客户端主动发起连接，普通节点作为服务端接收远端连接，普通节点之间彼此作为对等体向对方节点发起连接或提供服务，网络通信不依赖控制器，整体呈现去中心化特点。
8.当仿真系统固件库中的固件信息变更后，更新变更的所述固件信息与设备信息的映射关系。
9.根据设备信息与固件信息的映射关系确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，具体包括：设备信息库中的设备信息包括设备的当前负载信息和所述设备与设备信息库中其他设备之间的平均延迟时间；基于设备信息与固件信息的映射关系，确定与所述固件信息相匹配的设备信息；当网络拓扑类型为中心化网络拓扑时，从相匹配的设备信息中，选择平均延迟时间最小的设备作为控制器，选择当前负载最低的设备作为分析器；当网络拓扑类型为去中心化网络拓扑时，从相匹配的设备信息中，选择平均延迟时间最小的设备作为分析器，选择当前负载最低的设备作为控制器。
10.在对仿真系统固件库中的固件信息的可用性进行标记后，释放控制器与分析器中的资源，更新设备信息库中的设备信息。
11.本发明还提供了一种基于物联网的大规模僵尸网络靶场仿真装置，包括：仿真系统固件库模块，所述仿真系统固件库存储的固件信息包括基线固件信息和扩展固件信息；设备信息库模块，所述设备信息库存储有当前网络环境中的设备信息以及设备信息与固件信息的映射关系；僵尸网络样本库模块，用于获取僵尸网络样本，构建僵尸网络样本库，其中，每个所述僵尸网络样本中包括固件信息和对应的网络拓扑类型；生成模块，用于接收用户选定的所述僵尸网络样本，确定所述僵尸网络样本的固件信息和对应的网络拓扑类型，根据设备信息与固件信息的映射关系和网络拓扑类型确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，按照所述网络拓扑类型进行安装部署，生成仿真系统靶机；模拟模块，用于通过控制器操作所述仿真系统靶机进行网络攻击的模拟，生成模拟的网络攻击数据，发送至分析器对所述网络攻击数据进行流量统计和事件回放处理，得到所述网络攻击的攻击画像和溯源信息。
12.一种基于物联网的大规模僵尸网络靶场仿真设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现基于物联网
的大规模僵尸网络靶场仿真方法。
13.一种计算机可读存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令用于执行基于物联网的大规模僵尸网络靶场仿真方法。
14.本发明的有益效果包括：（1）通过构建仿真系统固件库、设备信息库、僵尸网络样本库，并且在使用中多数据库之间信息联动，实现了大规模僵尸网络的靶场仿真过程的全自动，提高了基于物联网设备的主动防御能力；（2）综合考虑设备信息与固件信息的映射关系、网络拓扑类型、设备信息，选择适宜的设备分别作为控制器、分析器、普通节点，提高了设备的管理效率和部署效果；（3）增加了对仿真系统固件库中的固件信息的可用性进行标记，提高了固件可用性的识别能力。
15.附图说明
16.图1为本发明的方法流程图。
具体实施方式
17.本发明提供的基于物联网的大规模僵尸网络靶场仿真方法，包括：步骤1，构建仿真系统固件库，其中，所述仿真系统固件库存储的固件信息包括基线固件信息和扩展固件信息；其中，根据市场占有率排序，选择top20的iot设备厂商的近5年的官方固件的信息作为基线固件信息，根据近5年的开源固件的信息作为扩展固件信息。
18.具体可以以市场占有率top20的iot设备品牌的近5年的官方固件构建基线固件库的基线固件信息，以openwrt、lede、梅林等近五年的开源固件作为扩展固件库中的扩展固件信息，基线固件库用于仿真品牌丰富的iot设备集群，扩展固件可支持添加设备定制功能，两种固件库配合使用，有机结合，组成仿真系统固件库，并定期使用网络爬虫，对固件库总的固件进行同步更新。
19.步骤2，构建设备信息库，所述设备信息库存储有当前网络环境中的设备信息以及设备信息与固件信息的映射关系；设备信息库中的设备信息包括设备的当前负载信息和所述设备与设备信息库中其他设备之间的平均延迟时间；在本发明中，所述当前网络环境既可以是局域网设备组成的内网环境，也可以是部分局域网设备与部分互联网设备，例如网络云服务器设备等共同组成的混合网络环境。
20.现有技术中对于当前负载信息和平均延迟时间的可以有多种计算方法，例如linux系统的load average方法，packet internet grope测量法等，本发明不对此做具体限定。
21.当前网络环境中的设备，可以是实体设备，也可以是虚拟化的设备。例如，可以使用openstack开源云计算框架和kvm、xen、virtualbox 、mininet等虚拟化技术仿真硬件设备，kvm等作为hypervisor，基于硬件辅助虚拟化技术（intel的vt-x或者amd-v），它能够控制和管理虚拟机，分配资源，它会给每一台虚拟机分配适量的内存、cpu、网络和磁盘，并加载所有虚拟机的固件。通过openstack统一的接口，对计算、存储和网络虚拟化基础设施进
行集中调度和管理，统一规划异构云环境中的计算资源。同时，利用mininet，创建多个包含主机，交换机，控制器和链路的虚拟网络，拓展和放大openstack云平台中的每一台虚拟机的网络规模，快速构建大型网络。
22.步骤3，获取僵尸网络样本，构建僵尸网络样本库，其中，每个所述僵尸网络样本中包括固件信息和对应的网络拓扑类型；本发明中的僵尸网络样本，一般为物联网中的大规模僵尸网络的样本，例如mozi等，在实验中发现，由于僵尸网络一般利用了物联网设备的特定固件进行入侵，因此，对于特定僵尸网络样本，其作用对象为某种特定的固件，即其固件信息，并且特定僵尸网络的工作模式一般具有对应的网络拓扑类型，例如中心化网络拓扑和去中心化网络拓扑。
23.所述网络拓扑类型包括中心化网络拓扑和去中心化网络拓扑；其中，在中心化网络拓扑的安装部署中，确定控制器后，普通节点均直接与控制器通信，由普通节点作为客户端主动发起连接，控制器作为服务端接收远端连接，普通节点彼此之间无法通信，网络攻击数据由控制器发送至分析器；在去中心化网络拓扑的安装部署中，确定控制器后，普通节点不直接与控制器通信，由控制器作为客户端主动发起连接，普通节点作为服务端接收远端连接，普通节点之间彼此作为对等体向对方节点发起连接或提供服务，网络通信不依赖控制器，数据由普通节点发送至分析器，整体呈现去中心化特点。
24.步骤4，接收用户选定的所述僵尸网络样本，确定所述僵尸网络样本的固件信息和对应的网络拓扑类型，根据设备信息与固件信息的映射关系和网络拓扑类型确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，按照所述网络拓扑类型进行安装部署，生成仿真系统靶机；本发明中的用户为系统安全管理员、网络安全程序员、逆向工程分析员等，通过选择一个或多个僵尸网络样本，锁定需要分析的僵尸网络样本作为研究对象。
25.根据设备信息与固件信息的映射关系确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，具体包括：设备信息库中的设备信息包括设备的当前负载信息和所述设备与设备信息库中其他设备之间的平均延迟时间；基于设备信息与固件信息的映射关系，确定与所述固件信息相匹配的设备信息；每台设备可维护一个或多个固件，通过设备信息与固件信息的映射关系可以筛选出具备固件的设备，提高部署效率。
26.当网络拓扑类型为中心化网络拓扑时，从相匹配的设备信息中，选择平均延迟时间最小的设备作为控制器，选择当前负载最低的设备作为分析器；这是因为，对于中心化网络拓扑结构，普通节点作为客户端主动发起连接，控制器作为服务端接收远端连接，对控制器的网络延迟要求较高，而网络攻击数据由控制器发送至分析器，适宜将数据分析工作交于负载较低的设备执行。
27.当网络拓扑类型为去中心化网络拓扑时，从相匹配的设备信息中，选择平均延迟时间最小的设备作为分析器，选择当前负载最低的设备作为控制器。这是因为，对于去中心化网络拓扑结构，普通节点不直接与控制器通信，由控制器作为客户端主动发起连接，对控制器的负载性能要求较高，而网络攻击数据由普通节点发送至分析器，适宜将数据分析工作交于延迟时间较小的设备执行。
28.步骤5，通过控制器操作所述仿真系统靶机进行网络攻击的模拟，生成模拟的网络攻击数据，分析器对所述网络攻击数据进行流量统计和事件回放处理，得到所述网络攻击的攻击画像和溯源信息。
29.其中，攻击画像主要基于网络数进行流量攻击得到，溯源信息主要依靠固件执行命令产生的结果数据进行事件回放得到。
30.如果得到的攻击画像和溯源信息与模拟的情况相符，则证明该固件稳定，如果攻击画像相符而溯源信息不符，则证明该估计可用，否则，该固件不可用所述方法还包括：分析器在得到所述网络攻击的攻击画像和溯源信息，根据所述攻击画像和溯源信息，对仿真系统固件库中的固件信息的可用性进行标记，标记的类型为稳定、可用和不可用。
31.当仿真系统固件库中的固件信息变更后，更新变更的所述固件信息与设备信息的映射关系。
32.在对仿真系统固件库中的固件信息的可用性进行标记后，释放控制器与分析器中的资源，更新设备信息库中的设备信息。
33.本发明还提供了一种基于物联网的大规模僵尸网络靶场仿真装置，包括：仿真系统固件库模块，所述仿真系统固件库存储的固件信息包括基线固件信息和扩展固件信息；设备信息库模块，所述设备信息库存储有当前网络环境中的设备信息以及设备信息与固件信息的映射关系；僵尸网络样本库模块，用于获取僵尸网络样本，构建僵尸网络样本库，其中，每个所述僵尸网络样本中包括固件信息和对应的网络拓扑类型；生成模块，用于接收用户选定的所述僵尸网络样本，确定所述僵尸网络样本的固件信息和对应的网络拓扑类型，根据设备信息与固件信息的映射关系和网络拓扑类型确定设备信息库中的一台设备作为控制器，一台设备作为分析器，以及其他多台设备为普通节点，按照所述网络拓扑类型进行安装部署，生成仿真系统靶机；模拟模块，用于通过控制器操作所述仿真系统靶机进行网络攻击的模拟，生成模拟的网络攻击数据，发送至分析器对所述网络攻击数据进行流量统计和事件回放处理，得到所述网络攻击的攻击画像和溯源信息。
34.一种基于物联网的大规模僵尸网络靶场仿真设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现基于物联网的大规模僵尸网络靶场仿真方法。
35.一种计算机可读存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令用于执行基于物联网的大规模僵尸网络靶场仿真方法。上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。