网络安全相关技术研究与应用

# 网络安全相关技术研究与应用 ## 1. 基于搜索引擎的C&C服务器IP地址查找方案 ### 1.1 方案流程 - **设置权重向量**：设定权重向量 \( w = (w_1, w_2, \cdots, w_v) \)，其中 \( w_e \in [0,1] \)，\( 1 \leq e \leq v \)，且 \( v = 3 \)。通过对搜索结果页面（SERPs）中项目的观察，发现关键词和字符串“blog”在有效项目摘要和链接部分出现的次数多于在标题中出现的次数，所以满足 \( w_1 < w_2 = w_3 \)。 - **执行Top - K查询**：在集合 \( R \) 上执行Top - K查询过程。对于任意 \( e(1 \leq e \leq v) \)，若 \( I_i[e] \geq I_j[e] \)，则查询函数 \( f \) 需满足 \( f(I_i) \geq f(I_j) \)，因此 \( f \) 应为单调递增函数，这里设 \( f \) 为加权和函数，公式如下： \[ f(I_i) = \sum_{e = 1}^{v} w_e \cdot I_i[e] \] 执行Top - K查询算法时，会返回 \( f(I_1) - f(I_n) \) 中的前 \( k \) 个值，与这前 \( k \) 个值对应的项目更有可能是有效项目，可通过该过程过滤噪声项目。 - **提取与转换**：利用模式匹配算法从Top - K查询过程选出的前 \( k \) 个项目的摘要部分中查找并提取IP模式字符串，然后验证其正确性。将正确的IP模式字符串转换为二进制格式的IP，方便僵尸程序直接访问这些IP代表的C&C服务器。 ### 1.2 模拟实验 #### 1.2.1 实验准备 在互联网上注册10个免费博客，使用Chrome - v39.0.2171.95 m和插件Tab - Snap - v1.2.9打开并登录这些博客。以三个日期的MD5值作为日记标题，多个C&C服务器IP地址（格式为“IP:端口号”，用空格分隔）作为日记内容，分别发布在这10个博客上。KPM、SM、NIFM和ECM用Java语言实现，并在配备Intel Pentium G640 CPU（2.8 GHz）、4 GB DDR3 SDRAM和Windows 7（32位）的PC上进行测试。 #### 1.2.2 指标定义 - **索引时间（IT）**：从发布模块发布C&C服务器IP到SERPs中出现第一个有效项目的时间段。 - **索引数量（IQ）**：一个搜索引擎的SERPs中有效项目的数量。 #### 1.2.3 实验过程与结果 对三个日期的每个MD5值，分别在Google、Baidu、Bing和Haosou中进行搜索，并在每天固定时间记录它们SERPs中的有效项目数量，记录过程持续30天，IQ为这30天有效项目数量的平均值。结果如下： |搜索引擎|索引时间（天）|索引数量变化情况| | ---- | ---- | ---- | |Haosou|0|当天即可成功索引到包含C&C服务器IP的第一个有效项目，索引时间最短| |Google|1|随着时间推移，IQ总体呈上升趋势，30天时IQ稳定在6，索引效果较好| |Baidu|1|IQ总体上升，索引效果一般| |Bing|6|索引时间最