基于代理控制力的Fast-Flux僵尸网络检测方法

本文基于Fast-Flux僵尸网络对僵尸代理机器控制能力的分析,提出了一种实时检测Fast-Flux僵尸网络的方法,该方法可以通过主动提交DNS查询或者被动分析DNS响应数据包以度量可疑域名相映射IP地址的均匀分布率和平均可服务率以鉴别该域名是否是Fast-Flux域名.通过利用支持向量机(SVM)的实验表明,该方法具...     

基于元胞蚁群算法的僵尸网络传播特征研究

为了有效地研究僵尸网络传播过程中的特征变化,基于元胞蚁群算法提出了一种新的刻画方法BDCA(Botnet Detecting algorithm based on Cellular Ant).该方法首先定义了僵尸网络中普通节点、易感染节点和感染节点之间的转化关系,建立符合僵尸网络传播特征的数学模型,并利用元胞蚁群算法对上述模型进行求解,以此获得平衡条件下的最优解.最后,利用NS2进行仿真实验,深入分析了影响BDCA算法的关键因素.同时通过对比其他算法之间的性能状况,结果表明该算法具有较好的适应性.     

识别蜜罐网络的P2P僵尸网络构建机制

P2P僵尸网络构建过程中要解决的主要问题是如何识别由大量蜜罐(honeypot)组成的蜜罐网络(honeynet),特别是避免在僵尸网络中混入蜜罐节点。根据P2P僵尸网络构建机制的工作原理,可将其构建机制划分为:传播与扩散、节点加入和拓扑构建3个功能模块。基于这3个功能模块,该文提出一种指定优先攻击列表的传播模块,基于身份验证的节点加入模块,以及模拟遗传机制的拓扑构建模块等相结合的P2P僵尸网络构建机制。证明了该机制能有效识别蜜罐节点,并建立其传播模型,同识别蜜罐的僵尸网络传播模型进行对比,通过数学分析及模拟证明该机制在一定条件下具有更高的构建效率。最后针对该机制带来的威胁讨论了一些可能的防御方法。     

基于快速神经网络的HTTP僵尸网络检测算法

僵尸网络已成为目前互联网安全所面临的严重威胁之一.经过10余年发展,僵尸网络已从使用传统的IRC协议向HTTP协议进行转变,给检测及防御等方面造成了诸多困难.通过分析基于HTTP协议僵尸网络所产生流量,在得出相关TCP协议统计信息、僵尸活动的间隔时间等特征的基础上,提出将快速学习神经网络模型(Extreme Learning Machine,ELM)用于识别和检测HTTP僵尸网络.实验表明,该方法能有效从网络流量中检测出BlackEnergry,Bobax等HTTP僵尸网络.与决策树C4.5、SVM算法及传统的BP算法相比较,该方法具有较高的识别率和较低的误报率.     

利用确定性树突状细胞算法在线检测僵尸网络

将人工免疫系统算法应用于对僵尸网络的实时监测,提出一种基于确定性树突状细胞算法的在线检测模型.通过结合僵尸网络的特征定义行为信号,基于启发信息实现僵尸网络的主机端实时监测.使用标准数据集对模型的有效性进行实验验证,实验结果表明,该模型具有实时性、行为定义简单、可接受多种启发式信息定义的优势,且检测僵尸网络系统的漏报率与误报率均较低.     

基于Android的僵尸网络设计与实现

针对移动智能终端因发起攻击而导致大量个人隐私数据泄露的问题, 以互联网僵尸网络技术为基础,面向Android 平台设计并实现了移动僵尸网络。该移动僵尸网络基于微博控制, 对移动智能终端可完成信息窃取、信息破坏、垃圾短信等攻击。同时, 对移动僵尸网络的特性进行深入分析, 寻找攻击漏洞, 给出具有针对性的网络安全防御策略。研究结果表明, 该设计可提高移动智能终端的安全性, 降低移动僵尸网络对个人用户造成的损失, 有助于进一步对移动僵尸网络的传播、命令控制机制及控制协议的研究。     

僵尸网络结构特征与健壮性关系研究

僵尸网络是现阶段计算机网络面临的巨大危害之一，为了对僵尸网络有深入的了解，有必要对僵尸网络的结构特征进行分析，本文总结了现有的五种结构的僵尸网络，分析了各自的特征，同时提出了三个参量用于分析僵尸网络结构特征与其健壮性之间的关系，借助对现有的五种僵尸网络的对比分析，得出了三个参量具体对僵尸网络的健壮性的影响。     

基于流量图的僵尸网络检测技术分析

基于常见协议的僵尸网络通信图结构和特征, 对比分析了它们的功能和工作机制及现有基于流量图僵尸网络检测方法的使用环境、 实验数据、 结果和方法的优缺点, 并提出了僵尸网络检测技术的改进措施.     

树状僵尸网络及其特征检测方案的设计

僵尸网络是目前互联网安全领域最严重的威胁之一,与传统的IRC僵尸网络相比,树状僵尸网络有其实现起来相对简单的特点,因而现今在网络上开始迅猛流行起来．本文简要介绍了传统僵尸网络的防御方法,给出了一级控制的树状僵尸网络的网络拓扑图,在此基础上提出了一种基于树状的僵尸网络的检测方案。包括其设计思路、规则库的建立,给出了本方案的创新点．事实证明,本方案对准确定位僵尸网络及找到其幕后控制者可以起到良好的效果．     

僵尸网络控制中心攻击转移模式分析

随着信息技术的发展,僵尸网络的攻击手法也日新月异,研发有效的解决办法迫在眉睫．目前的僵尸网络自身已经具备了安全保护的机制,特别是僵尸网络控制中心采用了攻击转移模式,也就是通过控制中心将某僵尸网络控制权转移给另一控制对象的技术．研究将呈现僵尸网络的控制与防护技术的相关特性,进而提出新的防御手法作为僵尸网络攻击转移现象的检测和防御基础．经实验证明,研究结果有效提高了僵尸网络搜索的准确率,而且随着网络拓扑结构复杂度的增加,其执行效率的优势也更加明显．     

移动僵尸网络的设计及分析

为了更好的对移动僵尸病毒传播方式及命令与控制网络进行研究,提出一种基于SMS-HTTP的移动僵尸网络模型。该文利用多差树结构和混合P2P结构建立高效的命令与控制网络,给出移动僵尸病毒传播算法、命令与控制网络构建算法和僵尸节点加入算法。通过对网络模型的度和高度的平衡,对网络的节点规模、联通性和安全性进行控制。实验环境中,当模型高度为6、度为8时,模型节点规模最多可达到21万。当模型节点规模为10万时,模型的连通率可在5跳内达到100%。结果表明:模型具有较好的可扩展性,可使模型具有较高的连通率和安全性。     

基于域名共现行为的僵尸网络行为追踪

针对局部行为特征信息偏少而使得僵尸网络行为难以全面追踪的问题,提出了一种基于域名共现行为的僵尸网络行为追踪方法.该方法通过域名共现评分算法计算待测域名与已知僵尸域名的域名共现行为来追踪其他僵尸域名,进而发现更多的僵尸主机;为提高域名评分准确性,还提出了过滤基于网络地址转换的主机域名访问、空间区分单个僵尸网络,以及基于观测时长共现行为统计3项改进措施.采集西安交通大学网络域名服务器的域名查询流量作为数据源进行了实验和测试,结果表明:基于改进的域名评分措施不仅将待测域名数量降为原来的1/4,且计算出的前10名域名共现评分更加合理,提高了追踪僵尸主机的准确性.     

手机僵尸网络研究

手机僵尸网络是桌面系统僵尸网络在手机领域的延伸和发展,同属于广义僵尸网络的一个子集．随着智能手机的日渐普及和3G网络的成熟,基于手机构建的僵尸网络正从萌芽期进入到快速发展阶段,对手机用户的财产和隐私安全带来前所未有的威胁．我们在分析手机僵尸网络的特征和发展现状的基础上分析其使用的关键技术．最后我们对手机僵尸网络的发展方向进行了预测．     

僵尸网络的检测技术研究

介绍了僵尸网络的组织结构及其危害,剖析了基于IRC协议及其他命令控制方式的僵尸网络的检测方法,并对检测技术的发展进行了展望。     

基于元胞退火算法的僵尸网络传播特征研究

为了有效研究僵尸网络传播过程中的特征变化,基于元胞退火算法提出了一种新的刻画方法BDCA。该方法通过定义了僵尸网络中普通节点、易感染节点和感染节点之间的转化关系,建立平衡条件下的最优目标函数,并利用元胞退火算法求出最优解。最后,利用NS2进行仿真实验,深入分析了影响BDCA算法的关键因素,同时通过对比其它算法之间的性能状况。结果表明,该算法具有较好的适应性。     

基于邮件行为异常的垃圾邮件客户端检测

针对僵尸客户端可能存在的垃圾邮件发送行为,从邮件发送的过程和原理入手,提出一种基于邮件行为异常的僵尸客户端检测方法.实验结果显示,正常主机和正在进行垃圾邮件发送的僵尸客户端在进行邮件发送时存在非常显著的差异.     

一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

基于OPNET的BotNet最优步长传播仿真

僵尸网络(BotNet)主要采用蠕虫扫描的方式进行传播,传统的蠕虫传播策略主要在扩散效率和扫描准确性上进行折衷,共性缺点是存在对同一主机重复扫描和网络之间交叉扫描的严重问题,会对互联网产生严重的流量冲击,降低BotNet的隐蔽性。为解决这一共性问题,根据互联网的无尺度特性,在对比传统网络蠕虫传播策略优缺点的基础上,结合前向神经网络现有的BP学习算法对BotNet传播进行了分析,从理论上提出一种计算BP近似最优步长的算法,并通过OPNET建立传播攻击模型进行了仿真验证。结果表明,该算法有效地提高了BotNet在无尺度网络中的传播性能。     

一种基于子网保护的蠕虫传播模型及其应用

针对网络蠕虫传播特征,对主动蠕虫传播模型进行了修正和改进,进而提出了一种基于子网保护的蠕虫传播模型.该模型在保证实际使用地址数和利用保护比例的修正模型的情况下,考虑了不同的扫描策略、每个周期的有效扫描数以及本地优先扫描等因素,并用它们评价了基于本地网络的蠕虫检测定位方法对蠕虫在整个网络中的传播速率的抑制效果.计算结果表明,如果网络中的多数子网都能部署蠕虫防御系统,则能大幅降低蠕虫在全网中的传播速率.     

P2P僵尸网络的快速检测技术

以僵尸网络为平台的攻击发展迅速,其控制协议与结构不断演变,基于P2P协议的分布式结构僵尸网络得到快速发展.现有的P2P僵尸网络检测技术大都通过分析历史网络流量信息来进行离线检测,很难保证检测结果的准确性,也较难满足实时性需求.针对这种情况,提出P2P僵尸网络快速检测技术,首先采用一种改进的增量式分类技术,在线分离出满足P2P协议的网络流量;然后利用P2P僵尸主机的通信模式具有行为相似性和周期性的特点,通过动态聚类技术和布尔自相关技术,快速检测出可疑僵尸主机.实验结果表明该技术能够高效实现P2P僵尸网络的快速检测.