基于DNS通信数据挖掘的Botnet检测方法研究

利用僵尸网络(Botnet)进行的各种恶意活动如DDoS、垃圾邮件、网络钓鱼等成为一个现实且发展迅速的问题.本文提出了一种通过分析DNS通信检测僵尸网络的方法.因为DNS通信中包含的信息有限,通常不易区分一个DNS查询是由正常的还是恶意的活动引起,为此我们使用RIPPER算法对DNS通信数据进行挖掘.系统在真实校园网环境中的测试结果验证了此方法的有效性,给出了使用数据挖掘方法建立快速准确的僵尸网络检测系统的可能.     

基于DNS通信数据挖掘的Botnet检测方法研究

利用僵尸网络（Botnet）进行的各种恶意活动如DDoS、垃圾邮件、网络钓鱼等成为一个现实且发展迅速的问题.本文提出了一种通过分析DNS通信检测僵尸网络的方法.因为DNS通信中包含的信息有限,通常不易区分一个DNS查询是由正常的还是恶意的活动引起,为此我们使用RIPPER算法对DNS通信数据进行挖掘.系统在真实校园网环境中的测试结果验证了此方法的有效性,给出了使用数据挖掘方法建立快速准确的僵尸网络检测系统的可能.     

基于深度信念网络的SDN的DDoS攻击检测模型

DDoS(分布式拒绝服务攻击)主要通过发送大量的数据与请求,导致目标主机被耗尽资源,从而使目标网络瘫痪.SDN环境下感染僵尸网络是一种常见的DDos攻击方式.深度信念网络既可以作为概率生成模型也可以作为判别模型,在实际领域有较多应用,如特征提取与分类识别.笔者提出基于深度信念网络的DDoS攻击检测方法,具有比传统机器学习方法检测精度更高的优势.     

基于流量图的僵尸网络检测技术分析

基于常见协议的僵尸网络通信图结构和特征, 对比分析了它们的功能和工作机制及现有基于流量图僵尸网络检测方法的使用环境、 实验数据、 结果和方法的优缺点, 并提出了僵尸网络检测技术的改进措施.     

基于网络连接统计的分布式拒绝服务攻击检测

分析了分布式拒绝服务(D istributed D en ial of Serv ice,DDoS)攻击原理及其攻击特征,提出了一种基于网络连接统计的DDoS攻击检测方法。该方法利用DDoS攻击的固有特性,从网络连接数据的统计分析中探寻系统正常行为的特征分布,建立DDoS攻击检测模型。通过模拟攻击实验验证了检测方法的可行性。实验结果表明:该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。     

基于决策树的DDoS攻击检测方法研究

采用决策树中的ID3算法,提出一种基于数据挖掘技术的DDoS攻击检测方法.该方法从被监控网络采集的数据中提取网络流量特征设计检测系统,较好地解决了网络流量分析中数值属性特征的分类问题.实验结果表明该系统能有效检测网络中发生的DDoS攻击行为.     

基于命令语法结构特征的IRC僵尸网络频道检测

僵尸频道是基于因特网在线聊天(Internet relay chat,IRC)协议僵尸网络传递控制命令,操纵整个网络的唯一途径。该文针对IRC僵尸网络频道检测问题,提出一种利用僵尸网络控制命令语法结构特征,实现检测僵尸网络频道的方法。使用可信系数描述频道中的字符串为僵尸网络控制命令的可能性,并结合可信系数,改进阈值随机游走(threshold random walk,TRW)算法,用以加快僵尸网络频道检测速度。实验结果表明:该方法对僵尸频道有很好的识别能力,检测效率明显提高。     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

基于快速神经网络的HTTP僵尸网络检测算法

僵尸网络已成为目前互联网安全所面临的严重威胁之一.经过10余年发展,僵尸网络已从使用传统的IRC协议向HTTP协议进行转变,给检测及防御等方面造成了诸多困难.通过分析基于HTTP协议僵尸网络所产生流量,在得出相关TCP协议统计信息、僵尸活动的间隔时间等特征的基础上,提出将快速学习神经网络模型(Extreme Learning Machine,ELM)用于识别和检测HTTP僵尸网络.实验表明,该方法能有效从网络流量中检测出BlackEnergry,Bobax等HTTP僵尸网络.与决策树C4.5、SVM算法及传统的BP算法相比较,该方法具有较高的识别率和较低的误报率.     

基于关联规则挖掘的集中式僵尸网络检测

针对目前大部分僵尸网络检测技术只是对活动的僵尸计算机进行检测,而很少考虑潜伏的僵尸计算机检测问题,提出一种基于关联规则挖掘的集中式僵尸网络检测技术.根据集中式僵尸网络必定存在一台命令控制服务器,且所有僵尸计算机都会连线到命令控制服务器的特性,利用一台已被检测出的僵尸计算机,以关联规则挖掘技术分析彼此之间网络连线的关联性,扩展挖掘出网络中其他尚处于潜伏期的僵尸计算机.实验证明,本方法能够有效地检测出隐藏的僵尸计算机.     

基于流连接密度的分布式拒绝服务攻击检测

分析了分布式拒绝服务(DDoS)攻击的特点,定义了能够反映DDoS攻击所引起的网络流量变化特点的流连接密度(FCD)概念,并证明了FCD时间序列的非平稳特性.据此,提出了一种基于FCD的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,将FCD序列转换为多维空间的向量序列,然后使用经过样本训练的K最近邻分类器进行攻击识别.实验结果及分析显示,该检测方法能够有效检测DDoS攻击,误报率低于4 3%,并能够对流量数据进行在线处理,实现DDoS攻击的在线检测.     

基于OPNET的BotNet最优步长传播仿真

僵尸网络(BotNet)主要采用蠕虫扫描的方式进行传播,传统的蠕虫传播策略主要在扩散效率和扫描准确性上进行折衷,共性缺点是存在对同一主机重复扫描和网络之间交叉扫描的严重问题,会对互联网产生严重的流量冲击,降低BotNet的隐蔽性。为解决这一共性问题,根据互联网的无尺度特性,在对比传统网络蠕虫传播策略优缺点的基础上,结合前向神经网络现有的BP学习算法对BotNet传播进行了分析,从理论上提出一种计算BP近似最优步长的算法,并通过OPNET建立传播攻击模型进行了仿真验证。结果表明,该算法有效地提高了BotNet在无尺度网络中的传播性能。     

基于IRC协议的BotNet性能研究

首先简单介绍了BotNet的基本概念、构建原理及其危害,然后模拟互联网环境针对当前流行的两种bot程序分别进行了实验,并重点对其DDOS攻击性能进行研究,对得到的数据进行对比,最后总结分析BotNet发展的趋势.     

分布式拒绝服务型攻击原理及防范措施

分布式拒绝服务型攻击（Distributed Denial of Service简称DDoS）是目前黑客常用的网络攻击手段，本文阐述了DDoS的原理与过程，并试图寻找其攻击的规律，由此提出相应的防范措施。     

分布式拒绝服务攻击(DDoS)原理及其防范措施

DDoS(Distributed Denial of Serveice,分布式拒绝服务）的攻击手段严重威胁着Internet的安全。本文阐述了DDoS攻击的原理及其造成的危害，并提出了几条防范措施，给出了一个基于网络端口流量监测的DDoS预警系统的设计雏形。     

DDoS攻击原理剖析和防御策略

随着网络技术的发展,In ternet逐渐的渗入社会生活的各个方面,对网络的安全性要求也越来越高,但在实际网络的运行中可能受到多种攻击,其中DD oS(D istribu ted D en ia l of Serv ice)的攻击严重的威胁In ter-net的安全.本文详细地介绍了DD oS攻击原理及造成的危害,从理论上分析了其体系结构和运行情况,并结合自己的经验与国内安全的现状探讨了一些DD oS的防御策略.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

基于分布式计算平台构建僵尸网络参考方案及可行性分析

介绍了互联网上现有的分布式计算平台的基本情况,提出两种试图利用这些分布式计算平台构建僵尸网络的方案,并做了初步的可行性分析.两种方案的共同点是都要设法获取分布式计算平台的客户端信息,寻找入侵平台和客户端的漏洞;不同点在于第一种方案将C＆amp;C（命令与控制信道）服务器植入分布式计算平台中,方案二是攻击者自身架设C＆amp;C服务器.     

应用蜜罐技术防御DoS攻击的研究

拒绝服务(Denial of Service,DoS)攻击是阻止或者拒绝合法用户使用网络服务的一种攻击方式.首先介绍DoS攻击的基本原理,然后讨论现有DoS攻击防御方法,最后研究蜜罐技术在防御分布式拒绝服务(Distributed Dos,DDoS)攻击中的应用,并对其性能进行了仿真分析,结果表明:提出的蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度.