一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

基于树突细胞算法的P2P僵尸程序检测

随着僵尸网络带来越来越多的网络安全威胁,一种新的使用P2P协议的僵尸程序广泛出现。由于P2P僵尸网络不存在中心控制点而很难对其进行关闭或者追踪,从而使P2P僵尸网络的检测非常困难。为了应对这些威胁,根据免疫系统中的树突细胞的功能,提出了基于树突细胞算法用于检测个体主机中的僵尸程序的模型,并且给出了检测方法。用于检测P2P僵尸程序的原始数据通过APItrace工具获得,进程(包括正常进程和僵尸程序进程)的ID被映射为"抗原",进程所产生的行为数据被映射为"信号",它们组成了检测算法的时间序列输入数据并用于数据融合和相互关联。相关实验表明,文中所提出的方法可以实现P2P僵尸程序的检测。     

基于快速神经网络的HTTP僵尸网络检测算法

僵尸网络已成为目前互联网安全所面临的严重威胁之一.经过10余年发展,僵尸网络已从使用传统的IRC协议向HTTP协议进行转变,给检测及防御等方面造成了诸多困难.通过分析基于HTTP协议僵尸网络所产生流量,在得出相关TCP协议统计信息、僵尸活动的间隔时间等特征的基础上,提出将快速学习神经网络模型(Extreme Learning Machine,ELM)用于识别和检测HTTP僵尸网络.实验表明,该方法能有效从网络流量中检测出BlackEnergry,Bobax等HTTP僵尸网络.与决策树C4.5、SVM算法及传统的BP算法相比较,该方法具有较高的识别率和较低的误报率.     

基于流量相关性和数据融合的P2P botnet检测

提出了一种基于网络流量相关性和数据融合理论的实时检测P2Pbotnet方法,该方法主要关注P2P botnet的命令与控制机制(CC)机制产生的本质流量——UDP流,它不会受P2Pbotnet的网络结构、协议和攻击类型的影响.首先分别用自相似性和信息熵来刻画UDP流的相关性特征,利用非参数CUSUM(cumulative sum)算法检测上述特征的变化以得到检测结果,然后利用Dempster-Shafer证据理论融合上述特征的检测结果.同时,采用TCP流量特征在一定程度上消除P2P应用程序对P2Pbotnet检测的影响.实验表明所提出的方法可有效检测新型P2Pbotnet.     

基于P2P的协作式入侵检测系统研究与设计

目前分布式入侵检测系统是目前入侵检测乃至整个网络安全领域的热点之一.P2P网络中的对等主机能够有效的共享资源和协同合作,因此本文将P2P技术应用到入侵检测系统中,实现了入侵检测任务的完全分布化,使得系统各单元之间不存在固定和层次化的从属关系,各单元可主动要求其它单元协助以完成检测任务,并且不会因为单个节点的崩溃而导致系统的瘫痪,在一定程度上能够快速预防网络入侵.     

基于网络流量的P2P动态检测方法

随着目前的P2P应用开始采用随机端口、隧道和加密等技术,传统检测方法的识别率逐渐降低.针对这一问题,提出了一种基于网络流量的P2P动态检测方法.该方法通过分析网络流量对不同检测方法的误报率和漏报率的影响,采用流量阈值机制动态地选择检测方法,并通过将负载均衡的思想运用于流量阈值的调整,实现了一种变步长的自适应算法,提高了...     

基于Agent的P2P网络流量监控与调整模型

本文提出了一种基于Agent的P2P网络流量监控与调整模型。该模型借鉴Agent的体系结构,在P2P网络中设置监控管理站点,通过Agent体系结构组织起来,对整个P2P网络进行流量监测,并对网络中的超负荷节点进行流量调整,重新组织网络的拓扑结构。该文实验采用VC对系统进行模拟分析,实验结果表明该方法对调整网络流量具有十分明显的效果,能够有效的调整系统节点的拓扑结构,在系统负荷过重的情况下,有效的减少系统开销,限制超负荷节点对网络带宽的消耗,提高对网络的利用率。在目前的P2P网络中,本文的网络流量监控与调整模型具有一定的推广和使用价值。     

P2P-SIP技术之我见

SIP协议是当前VolP和IM等多媒体协议的呼叫建立协议。P2P技术提供了分布式的网络架构中通信节点之间得对等通信能力,P2P网络架构经历了集中目录式网络架构、纯P2P网络架构、混合式P2P网络架构和结构化P2P网络架构。通过引入P2P技术,SIP网络的能力可以得到增强。     

P2P网络中保证瓶颈带宽公平性的路由队列管理

在基于域结构的P2P计算网络环境下,针对RED(Random Early Detection)队列管理机制不能完全保证各流量公平共享瓶颈带宽进行改进,运用窗口滑动技术,根据网络流量状态,动态地设置阈值参数mint,maxt和maxp,使队列变化随网络流量变化动态调整,实现了一种Optimized-RED队列管理机制.仿真分析表明:Optimized_RED队列管理机制能有效地保证各连接流量公平共享网络瓶颈带宽,平滑网络瓶颈的阵发流.     

识别蜜罐网络的P2P僵尸网络构建机制

P2P僵尸网络构建过程中要解决的主要问题是如何识别由大量蜜罐(honeypot)组成的蜜罐网络(honeynet),特别是避免在僵尸网络中混入蜜罐节点。根据P2P僵尸网络构建机制的工作原理,可将其构建机制划分为:传播与扩散、节点加入和拓扑构建3个功能模块。基于这3个功能模块,该文提出一种指定优先攻击列表的传播模块,基于身份验证的节点加入模块,以及模拟遗传机制的拓扑构建模块等相结合的P2P僵尸网络构建机制。证明了该机制能有效识别蜜罐节点,并建立其传播模型,同识别蜜罐的僵尸网络传播模型进行对比,通过数学分析及模拟证明该机制在一定条件下具有更高的构建效率。最后针对该机制带来的威胁讨论了一些可能的防御方法。     

An adaptive push-styled command and control mechanism in mobile botnets

The mobile botnet, developed from the traditional PC-based botnets, has become a practical underlying trend. In this paper, we design a mobile botnet, which exploits a novel command and control (C&C) strategy named Push-Styled C&C. It utilizes Google cloud messaging (GCM) service as the botnet channel. Compared with traditional botnet, Push-Styled C&C avoids direct communications between botmasters and bots, which makes mobile botnets more stealthy and resilient. Since mobile devices users are sensitive to battery power and traffic consumption, Push- Styled botnet also applies adaptive network connection strategy to reduce traffic consumption and cost. To prove the efficacy of our design, we implemented the prototype of Push-Style C&C in Android. The experiment results show that botnet traffic can be concealed in legal GCM traffic with low traffic cost.     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

BotGuard: Lightweight real-time botnet detection in software defined networks

The distributed detection of botnets may induce heavy computation and communication costs to network devices. Each device in related scheme only has a regional view of Internet, so it is hard to detect botnet comprehensively. In this paper, we propose a lightweight real-time botnet detection framework called Bot-Guard, which uses the global landscape and flexible configurability of software defined network (SDN) to identify botnets promptly. SDN, as a new network framework, can make centralized control in botnet detection, but there are still some challenges in such detections. We give a convex lens imaging graph (CLI-graph) to depict the topology characteristics of botnet, which allows SDN controller to locate attacks separately and mitigate the burden of network devices. The theoretical and experimental results prove that our scheme is capable of timely botnet detecting in SDNs with the accuracy higher than 90% and the delay less than 56 ms.     

移动僵尸网络的设计及分析

为了更好的对移动僵尸病毒传播方式及命令与控制网络进行研究,提出一种基于SMS-HTTP的移动僵尸网络模型。该文利用多差树结构和混合P2P结构建立高效的命令与控制网络,给出移动僵尸病毒传播算法、命令与控制网络构建算法和僵尸节点加入算法。通过对网络模型的度和高度的平衡,对网络的节点规模、联通性和安全性进行控制。实验环境中,当模型高度为6、度为8时,模型节点规模最多可达到21万。当模型节点规模为10万时,模型的连通率可在5跳内达到100%。结果表明:模型具有较好的可扩展性,可使模型具有较高的连通率和安全性。     

基于支持向量机的P2P流量管理模型设计

对P2P的网络流量进行识别是P2P研究领域中的一个重大难题,为了实现对其管理,提出了一种基于支持向量机(SVM)的P2P流量分类管理模型.首先获取P2P网络流量数据,然后将获取的样本数据输入SVM并对SVM进行训练,最后将测试样本数据输入SVM进行P2P流量分类管理.仿真实验证明了该方法具有较高的检测率和较低的漏报率.     

面向可管理和可控制的P2P内容存取的DRM系统

为了在P2P网络环境下保护数字化音视频内容,提出和实现了一个新的服务于广播电视系统影视资料分发与交换的DRM系统(PCADRM).PCADRM以适用于P2P应用环境的智能节点重叠网络为架构,将权限证书与媒体资源文件分开存储,通过PKI的双向身份认证提供混合模式的权限代理实现对媒体资源文件的访问控制,通过基于视频水印提取和验证的行为监测进行盗版追踪实现事后控制.在PCADRM的实践中证明,所提出的带有智能节点重叠网络的系统架构和采用的数字版权技术,实现了对P2P内容存取的管理和控制.     

一种基于P2P的可扩展Web缓存方法

在分析现有P2P网络缓存技术的基础上,提出了一种基于P2P的可扩展Web缓存方法, 系统原型包括胖节点和瘦节点,胖节点负责某一区域内所有节点的信息,它保存着该区域内所有节点的地址列表和节点所共享的缓存内容的索引.瘦节点可以和区域内的所有节点直接进行通信.实验表明,和现有的P2P网络缓存方法相比,该方法只需在每个节点上增加很低的开销就可以扩展节点,增加了容错性,且易于管理和易于发现节点.     

内容寻址网络的P2P语义Web服务组合系统架构

为了提高语义Web服务组合系统的扩展性、可靠性和稳定性,提出了一种基于P2P的语义Web服务(P2PSWS)组合系统架构.该架构结合了集中式和分布式结构的优点,将统一描述、发现和集成协议的功能分散于本地Web节点、组Web节点和公共Web节点;设计了一种基于内容寻址网络的P2P网络语义Web服务的定位机制,以保证每个共享服务按领域划分,按被所有节点所共享的公共Web节点来注册.原型系统运行表明,该架构有助于克服传统公共Web服务结构上的单一节点失败问题,扩展了P2P系统的能力,有效地实现了基于本体的语义Web服务的组合.