基于组特征过滤器的僵尸主机检测方法的研究

提出了一种基于组特征过滤器的检测方法,使用多个成员特征对内网主机数据分组进行过滤,以O(tmn)的空间开销为代价,应对短特征串和特征串的分组分散问题,并能与传统的特征匹配算法相兼容.模拟实验证明了该检测算法的正确性和有效性.     

僵尸网络检测算法的比较研究

僵尸网络是由许多台被恶意代码感染控制并与互联网相互连接的计算机所组成,其正步入快速发展期,并已对因特网安全造成了严重威胁。文章针对目前国际上主流僵尸网络检测算法进行分析和比较,给出每种检测算法的优点和不足。     

Analysis on the time-domain characteristics of botnets control traffic

Botnets are networks composed with malware-infect ed computers.They are designed and organized to be controlled by an adversary.As victims are infected through their inappropriate network behaviors in most cases,the Internet protocol(IP) addresses of infected bots are unpredictable.Plus,a bot can get an IP address through dynamic host configuration protocol(DHCP),so they need to get in touch with the controller initiatively and they should attempt continuously because a controller can’t be always online.The whole process is carried out under the command and control(C&C) channel.Our goal is to characterize the network traffic under the C&C channel on the time domain.Our analysis draws upon massive data obtained from honeynet and a large Internet service provider(ISP) Network.We extract and summarize fingerprints of the bots collected in our honeynet.Next,with the fingerprints,we use deep packet inspection(DPI) Technology to search active bots and controllers in the Internet.Then,we gather and analyze flow records reported from network traffic monitoring equipments.In this paper,we propose a flow record interval analysis on the time domain characteristics of botnets control traffic,and we propose the algorithm to identify the communications in the C&C channel based on our analysis.After that,we evaluate our approach with a 3.4 GB flow record trace and the result is satisfactory.In addition,we believe that our work is also useful information in the design of botnet detection schemes with the deep flow inspection(DFI) technology.     

一种p2p Botnet在线检测方法研究

文章详细分析了p2p僵尸网络的生命周期以及网络特征,利用改进的SPRINT决策树和相似度度量函数,提出了一种新的在线综合检测方法,并论述了虚拟机环境搭建、原型系统设计和实验结果分析.实验结果表明,检测方法是可行的,具有较高的效率和可靠性.     

流量自适应的移动僵尸网络云控机制研究

僵尸网络从传统恶意代码进化而来,随着智能手机的计算能力与移动互联网接入技术的快速发展,构建移动僵尸网络已成为一种潜在的威胁。针对移动互联网,提出一种具有流量自适应性的移动僵尸网络云控机制,通过分析用户的流量使用情况,在3G和Wi-Fi不同网络环境下采取不同的流量使用策略,使用自适应的调度算法执行僵尸指令。仿真实验证明,在确保僵尸网络命令有效执行的情况下,流量自适应调度算法可有效增强移动僵尸网络的隐蔽性和实时性。     

基于多智能体社会的僵尸网络协同防御模型

针对现有僵尸网络检测体系结构中协同功能的不足,给出了一个基于多智能体社会的协同防御模型.模拟多智能体社会中的成员间的协同关系,设计了侦查、检测与反制三种社会成员角色,提出了基于协同防御模型的三层协同防御体系.典型案例分析表明本文模型具有较强的可扩展性和可交互性,可以灵活地部署在各种要保护的网络上,适应各种应用环境,具有较好的应用价值.     

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击,僵尸网络对因特网安全已造成严重威胁。深入研究分析了僵尸网络的三种模型,并对僵尸网络的发现、追踪进行了探讨。     

基于通信特征和D-S证据理论分析僵尸网络相似度

不同僵尸网络之间可能具有潜在的隐藏关系,根据僵尸网络通信行为提出分析僵尸网络之间关系的方法,提取僵尸网络内部通信的数据流数量、流中数据分组数量、主机通信量和数据分组负载等特征,并定义特征相似度统计函数,通过改进D-S证据理论,建立分析僵尸网络之间关系的模型,综合评判两批僵尸主机群相似度.经过典型样本评测,验证了该方法的良好分析效果,且可弱化加密通信的影响.分析了基础网络安全监测平台捕获的僵尸网络数据,并与相关工作比较,突出了该方法的技术先进性.     

僵尸网络检测方法研究

僵尸网络是指由黑客通过多种传播手段入侵并控制的主机组成的网络.僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要.本文首先介绍了僵尸网络的结构,着重对僵尸网络的命令与控制信道进行了讨论,接着详细介绍了基于主机信息的、基于流量监测的和基于对等网络的僵尸网络检测方法,并进行了比较和讨论.     

僵尸网络的演变与防御

本文简述了僵尸网络的定义,演变和最新的增长趋势,指出了其主要危害方式和影响。指出分层的防御是对应僵尸网络威胁的主要方式,并介绍了迈克菲研究室的最新研究成果——通过漏洞阻断、云安全和行为分析的模式对于僵尸网络在网络中的传播进行阻断。为僵尸网络的防御提供了有益的参考建议。