僵尸网络的检测技术研究

介绍了僵尸网络的组织结构及其危害,剖析了基于IRC协议及其他命令控制方式的僵尸网络的检测方法,并对检测技术的发展进行了展望。     

基于流量图的僵尸网络检测技术分析

基于常见协议的僵尸网络通信图结构和特征, 对比分析了它们的功能和工作机制及现有基于流量图僵尸网络检测方法的使用环境、 实验数据、 结果和方法的优缺点, 并提出了僵尸网络检测技术的改进措施.     

基于被动DNS流量的Fast-Flux域名检测方法

近年来,速变域名(Fast-Flux)技术已成为在速变服务网络(Fast-Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务.文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast-Flux域...     

基于快速神经网络的HTTP僵尸网络检测算法

僵尸网络已成为目前互联网安全所面临的严重威胁之一.经过10余年发展,僵尸网络已从使用传统的IRC协议向HTTP协议进行转变,给检测及防御等方面造成了诸多困难.通过分析基于HTTP协议僵尸网络所产生流量,在得出相关TCP协议统计信息、僵尸活动的间隔时间等特征的基础上,提出将快速学习神经网络模型(Extreme Learning Machine,ELM)用于识别和检测HTTP僵尸网络.实验表明,该方法能有效从网络流量中检测出BlackEnergry,Bobax等HTTP僵尸网络.与决策树C4.5、SVM算法及传统的BP算法相比较,该方法具有较高的识别率和较低的误报率.     

手机僵尸网络研究

手机僵尸网络是桌面系统僵尸网络在手机领域的延伸和发展,同属于广义僵尸网络的一个子集．随着智能手机的日渐普及和3G网络的成熟,基于手机构建的僵尸网络正从萌芽期进入到快速发展阶段,对手机用户的财产和隐私安全带来前所未有的威胁．我们在分析手机僵尸网络的特征和发展现状的基础上分析其使用的关键技术．最后我们对手机僵尸网络的发展方向进行了预测．     

主动良性僵尸网络的建模与分析

随着全球网络安全形势越来越严峻,僵尸网络的攻击方式趋于多样化,传统的解决方法已经不能满足目前的防御需求.为了应对不断变化的僵尸网络,使用主动良性僵尸网络正成为一种新的解决方案.首先,基于主动良性僵尸网络的定义,提出了三种不同功能的主动良性僵尸网络,对它们进行了建模,在有延迟和无延迟的情况下对三种主动良性僵尸网络的传播模型进行了推导.最后,通过仿真实验来验证了传播模型,基于实验结果讨论了不同种类主动良性僵尸网络防御恶意僵尸网络的效果,得出如下结论:基于相同的感染条件,混合式的主动良性僵尸网络防御僵尸网络传播的效果最好.     

国际互联网安全的重要威胁之一：僵尸网络

“僵尸网络”是受攻击者控制的危害网络安全的计算机网络。攻击者可以利用僵尸网络实施多种多样的恶意活动，例如垃圾邮件、分布式拒绝服务（DDOS）攻击、网络钓鱼、口令破译、键盘记录等。僵尸网络最近被确定为最影响国际互联网安全的重要威胁之一。     

基于Android的僵尸网络设计与实现

针对移动智能终端因发起攻击而导致大量个人隐私数据泄露的问题, 以互联网僵尸网络技术为基础,面向Android 平台设计并实现了移动僵尸网络。该移动僵尸网络基于微博控制, 对移动智能终端可完成信息窃取、信息破坏、垃圾短信等攻击。同时, 对移动僵尸网络的特性进行深入分析, 寻找攻击漏洞, 给出具有针对性的网络安全防御策略。研究结果表明, 该设计可提高移动智能终端的安全性, 降低移动僵尸网络对个人用户造成的损失, 有助于进一步对移动僵尸网络的传播、命令控制机制及控制协议的研究。     

僵尸网络结构特征与健壮性关系研究

僵尸网络是现阶段计算机网络面临的巨大危害之一，为了对僵尸网络有深入的了解，有必要对僵尸网络的结构特征进行分析，本文总结了现有的五种结构的僵尸网络，分析了各自的特征，同时提出了三个参量用于分析僵尸网络结构特征与其健壮性之间的关系，借助对现有的五种僵尸网络的对比分析，得出了三个参量具体对僵尸网络的健壮性的影响。     

僵尸网络控制中心攻击转移模式分析

随着信息技术的发展,僵尸网络的攻击手法也日新月异,研发有效的解决办法迫在眉睫．目前的僵尸网络自身已经具备了安全保护的机制,特别是僵尸网络控制中心采用了攻击转移模式,也就是通过控制中心将某僵尸网络控制权转移给另一控制对象的技术．研究将呈现僵尸网络的控制与防护技术的相关特性,进而提出新的防御手法作为僵尸网络攻击转移现象的检测和防御基础．经实验证明,研究结果有效提高了僵尸网络搜索的准确率,而且随着网络拓扑结构复杂度的增加,其执行效率的优势也更加明显．     

基于动态聚类算法的IRC僵尸网络检测

为了快速定位局域网中存在的僵尸网络,提高网络管理效率,通过对IRC僵尸网络运行机制的深入研究,结合经典数学定义在三层交换机上抓取流量并做预处理,按照流量数据的相同元素(源地址,目的地址)划分集合并得到三个向量(IRC命令、包速率和包大小)集合,基于改进的k- means动态聚类算法,合理定义时间滑动窗口,对数据集的三个...     

基于Passive DNS的速变域名检测

利用Passive DNS采集校园网真实运行环境的域名访问记录, 从域名的多样性、时间性、增长性和相关性等方面构建18个特征集, 提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明, 所构建的模型对域名分类的准确率超过90%。在所采集的数据集上, 所构建的模型比FluxBuster 能更有效地识别速变域名。     

基于环境容量的入湖污染负荷削减分析

水环境污染是困扰城市发展和影响人居生活的重要因子。为探索研究河湖水环境改善措施,尤其是研究与人居环境密切相关的城市内湖水环境提升,以武汉市南湖为例,开展了典型城市公园型湖泊的水质提升问题。通过对南湖汇水范围内污染物来源的进行精细化定量解析,结果结果表明南湖入湖总氮(TN)和总磷(TP)负荷分别为835.6 t/a和92.56 t/a;污染负荷空间分布有三个典型峰值区域,其面积仅占汇水范围的10.7%,而其TN产污负荷占25.18%,总磷产污负荷占23.97%。采用狄龙模型计算得出南湖水域TN环境容量为315.2 t/a,TP环境容量为21.01 t/a。在完成城镇生活污水和底泥释放中60%TN去除和75%TP去除的基础上,同时地表径流中TN控制率达到67%、TP控制率达到87%,即TN和TP排放量控制在环境容量限值以内,可使TN浓度达到1.5 mg/L,TP浓度达到0.1 mg/L,南湖水质总体达到地表水Ⅳ类要求。基于环境容量分析的入湖污染物来源定量解析,以及进一步对汇水范围内污染负荷的空间分析,可为河湖水环境污染治理措施的合理安排提供科学依据。     

基于网络流的多管制扇区通行能力

管制扇区间的通行能力问题通常是基于管制员的极限工作负荷、各种动态因素或者特殊航路点、航路交叉点的通行能力达到最优的情况进行研究,缺少对多扇区网络的整体地评估与计算。为了解决该问题,根据有向图理论以扇区为节点,以连接扇区的航路航线为边建立多扇区网络模型,选取华北飞行情报区的部分扇区进行仿真。首先,通过最大流算法求解出该网络模型的最大流为76.7架/h。其次,根据网络流仿真结果计算出各条边、各个节点的流容比,通过比较分析得出限制扇区网络通行能力的繁忙航路以及繁忙扇区。最后,通过灵敏度分析计算删除不同节点后网络模型的通行能力的变化,进而为扇区通行能力的优化提供了建议和参考。     

一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

基于流量相关性和数据融合的P2P botnet检测

提出了一种基于网络流量相关性和数据融合理论的实时检测P2Pbotnet方法,该方法主要关注P2P botnet的命令与控制机制(CC)机制产生的本质流量——UDP流,它不会受P2Pbotnet的网络结构、协议和攻击类型的影响.首先分别用自相似性和信息熵来刻画UDP流的相关性特征,利用非参数CUSUM(cumulative sum)算法检测上述特征的变化以得到检测结果,然后利用Dempster-Shafer证据理论融合上述特征的检测结果.同时,采用TCP流量特征在一定程度上消除P2P应用程序对P2Pbotnet检测的影响.实验表明所提出的方法可有效检测新型P2Pbotnet.     

基于Web服务器的机电运控系统代理软件设计

通过对Web服务器的研究,结合高速公路现有机电设备及管理现状,提出了一种在Linux环境下基于Web服务器的机电系统运控代理软件设计思想。介绍了该运控软件的模块构成、工作原理及流程,详述了该软件中Web服务器、HTTP(超文本传输协议)动态页面、socket通信、交叉编译、定时轮询等相关技术。通过仿真,验证了代理软件设计的可行性。     

面向移动agent的逻辑分布网络管理与控制系统

为克服传统网络管理策略中集中客户-服务员模式存在严重负荷的问题,提出了面向移动agent的逻辑分布网络管理与控制系统(MAOLDNMCS:Mobile Agent Oriented Logical Distributed Network Management and Control System).该系统基于移动agent技术,根据网络管理系统中各成分间的逻辑关系传送数据.在讨论移动agent技术的基础上,分析了移动agent在网络管理中的应用,描述了MAOLDNMCS的结构、特点和通信模型,给出了服务实例,进行了实验测试.实验结果表明,MAOLDNMCS系统与SNMP(Simple Network Management Protocol)相比,管理者与代理之间的吞吐量降低了10%左右,系统的响应时间缩短了23%,提高了系统效率.     

基于SWMM的山丘城区防洪排涝能力分析

为了科学分析山丘城区防洪排涝能力及其提升措施,以江阴市敔山湾地区为例,运用SWMM建立了可考虑山洪和管网排水的山丘城区水文水动力模型,通过调查溢流点和综合径流系数法实现了无资料地区模型校准。将截洪沟离散化为10 m一段的计算单元,以泰森多边形法对截洪沟控制区域进行划分,实现对沿程变断面和多出水口的截洪沟模拟,计算的最大1 h洪峰流量平均值处于规范值建议范围内。采用整治后的截洪沟尺寸对下游核心规划区的防洪排涝能力进行了复核,提出了适当增加金井河泵站抽水能力并适当降低敔山湖控制水位来增加调蓄库容排涝能力的提升方案。     

基于Agent的工作流管理系统的研究

基于工作流管理系统自身的特点，提出了三种Agent模型，并结合实际进行了深入讨论．给出了Agent应用于工作流管理系统中的集中式和分布式两种体系结构，为解决通常工作流管理系统中流程协作性、安全性控制、流程监控等方面的问题提供了一种新的解决方案和思路．对基于Agent的分布式工作流管理系统的实现进行了实例说明．