域名请求行为特征与构成特征相结合的域名变换检测

针对僵尸网络为避免域名黑名单封堵而广泛采用域名变换技术的问题,提出一种域名请求行为特征与域名构成特征相结合的僵尸网络检测方法.该方法通过支持向量机(SVM)分类器对网络中主机解析失败的域名进行分析,提取出可疑感染主机;通过新域名聚类分析,将请求同一组新域名的主机集合作为检测对象,分析请求主机集合是否由可疑感染主机构成,提取出僵尸网络当前使用的域名集合以及命令与控制(Command and Control,C&C)服务器使用的IP地址集合.实验结果表明:训练后SVM分类器可达98.5％以上的准确率;经对ISP域名服务器监测,系统可准确提取出感染主机和C&C服务器的IP地址.     

基于命令语法结构特征的IRC僵尸网络频道检测

僵尸频道是基于因特网在线聊天(Internet relay chat,IRC)协议僵尸网络传递控制命令,操纵整个网络的唯一途径。该文针对IRC僵尸网络频道检测问题,提出一种利用僵尸网络控制命令语法结构特征,实现检测僵尸网络频道的方法。使用可信系数描述频道中的字符串为僵尸网络控制命令的可能性,并结合可信系数,改进阈值随机游走(threshold random walk,TRW)算法,用以加快僵尸网络频道检测速度。实验结果表明:该方法对僵尸频道有很好的识别能力,检测效率明显提高。     

僵尸网络的检测技术研究

介绍了僵尸网络的组织结构及其危害,剖析了基于IRC协议及其他命令控制方式的僵尸网络的检测方法,并对检测技术的发展进行了展望。     

基于多维信息散度的僵尸网络快速检测方法

提出了一种基于多维度信息散度的僵尸网络快速检测方法.首先将网络流量中多个流量属性的概率分布按时间序列表征为多维信息散度向量,然后建立自回归滑动平均(ARMA)模型以检测该向量是否异常,藉此判断网络流量中是否含有僵尸网络CC(命令与控制)流量.实验表明:该方法不依赖先验知识,能高效准确地检测出网络流量中是否含有僵尸网络CC流量,具有很好的通用性、实时性以及较低的误检率.     

基于数据挖掘的主机入侵行为检测

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。     

基于数据挖掘的异常入侵检测系统

在分析现有入侵检测技术和系统的基础上,提出了一种基于数据挖掘和可滑动窗口的异常检测模型,该模型综合利用了关联规则和序列模式算法对网络数据进行充分挖掘,分别给出了基于时间窗口的训练阶段和检测阶段的挖掘算法,并建立贝叶斯网络,进一步判定规则挖掘中的可疑行为,提高检测的准确率.     

P2P僵尸网络的快速检测技术

以僵尸网络为平台的攻击发展迅速,其控制协议与结构不断演变,基于P2P协议的分布式结构僵尸网络得到快速发展.现有的P2P僵尸网络检测技术大都通过分析历史网络流量信息来进行离线检测,很难保证检测结果的准确性,也较难满足实时性需求.针对这种情况,提出P2P僵尸网络快速检测技术,首先采用一种改进的增量式分类技术,在线分离出满足P2P协议的网络流量;然后利用P2P僵尸主机的通信模式具有行为相似性和周期性的特点,通过动态聚类技术和布尔自相关技术,快速检测出可疑僵尸主机.实验结果表明该技术能够高效实现P2P僵尸网络的快速检测.     

基于关键属性约束的关联规则挖掘在日志分析中的应用

日志是计算机取证,入侵检测分析的重要数据来源,运用关联规则挖掘算法对日志进行分析是获取日志中所蕴含有用信息的重要方法.针对基于置信度一支持度框架的常用关联规则挖掘算法在日志分析中存在的不足,引入日志关键属性的概念,提出了基于关键属性约束的关联规则挖掘算法.实验结果表明,该算法能有效阻止无趣规则的产生,提高挖掘结果的有效性.     

一种数据挖掘技术在入侵检测系统中的应用

本文利用数据挖掘技术对用户命令进行关联规则及序列模式的挖掘,有效的揭示了用户的行为模式规律,利用RIPPER算法产生的规则提高了对已知攻击和未知攻击检测的准确性,实现了一个基于数据挖掘技术的入侵检测系统。     

改进的Apriori算法在IDS中的应用

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.提出了一种针对网络入侵检测事务流日志数据库的关联规则挖掘改进算法,它采用事务压缩和属性压缩相结合,解决了当前主流关联规则算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和算法复杂度过高等问题.实验结果表明,文中所提出的方法在规则生成和对网络异常情况的检测方面都显示出比较好的性能,提高了系统效率,使其更适用于入侵检测系统.     

移动僵尸网络研究

随着移动互联网的高速发展、4G业务的普及和手机硬件性能的提升,僵尸网络也逐渐从传统网络向移动网络发展。因此关注移动僵尸网络已有的研究成果和发展趋势十分必要。在介绍了移动僵尸网络所带来的危害和传播方式的基础上,对移动僵尸网络的命令控制信道进行总结和归纳,将信道总体分为寄生信道和独立信道。重点讨论了移动僵尸网络的传播模型,从传统的经典病毒传播模型到移动僵尸网络的mathematical-based模型和simulator-based模型。讨论了移动僵尸网络的检测方法,将其分为静态检测和动态检测两种类型,在静态检测中对基于数据流(Data Flow)的检测框架进行了分析。最后,综合分析了当前移动僵尸网络研究所遇到困难和其发展趋势。     

基于概念格的web log分布式挖掘算法

提出一种有效的基于概念格的分布式挖掘算法,重点讨论由部分量化规则格提取的部分关联规则的合并技术,由于能对已存在关联规则的再利用,从而更有利于用概念格来挖掘关联规则.该算法根据对局部关联规则挖掘结果的分布式合成,有利于减轻网络频繁的通讯负担,体现并行计算、异步异构数据挖掘的优点.     

基于P2P的僵尸网络C&C设计与仿真

近些年来,基于P2P的僵尸网络凭借其网络通信的隐蔽性和网络连接的健壮性特点,逐渐成为国内外研究的热点。针对两层架构的P2P僵尸网络的命令控制(Command and Control简称CC)协议进行了深入探讨与分析,并设计了超级节点更新邻居节点的算法,超级节点分发命令算法,并将公钥加密算法应用到P2P僵尸网络的命令控制协议中,增加了僵尸网络通信的隐蔽性和网络的健壮性。同时,对该类型的僵尸网络中普通节点接收命令时的流量和超级节点转发命令时的流量进行了模拟仿真,仿真结果证明了节点的心跳流量和命令流量与用户的正常上网流量相比较而言微乎其微。最后,对该类型的P2P僵尸网络提出了防御策略的相关建议。     

移动僵尸网络的设计及分析

为了更好的对移动僵尸病毒传播方式及命令与控制网络进行研究,提出一种基于SMS-HTTP的移动僵尸网络模型。该文利用多差树结构和混合P2P结构建立高效的命令与控制网络,给出移动僵尸病毒传播算法、命令与控制网络构建算法和僵尸节点加入算法。通过对网络模型的度和高度的平衡,对网络的节点规模、联通性和安全性进行控制。实验环境中,当模型高度为6、度为8时,模型节点规模最多可达到21万。当模型节点规模为10万时,模型的连通率可在5跳内达到100%。结果表明:模型具有较好的可扩展性,可使模型具有较高的连通率和安全性。     

基于Android的僵尸网络设计与实现

针对移动智能终端因发起攻击而导致大量个人隐私数据泄露的问题, 以互联网僵尸网络技术为基础,面向Android 平台设计并实现了移动僵尸网络。该移动僵尸网络基于微博控制, 对移动智能终端可完成信息窃取、信息破坏、垃圾短信等攻击。同时, 对移动僵尸网络的特性进行深入分析, 寻找攻击漏洞, 给出具有针对性的网络安全防御策略。研究结果表明, 该设计可提高移动智能终端的安全性, 降低移动僵尸网络对个人用户造成的损失, 有助于进一步对移动僵尸网络的传播、命令控制机制及控制协议的研究。     

树状僵尸网络及其特征检测方案的设计

僵尸网络是目前互联网安全领域最严重的威胁之一,与传统的IRC僵尸网络相比,树状僵尸网络有其实现起来相对简单的特点,因而现今在网络上开始迅猛流行起来．本文简要介绍了传统僵尸网络的防御方法,给出了一级控制的树状僵尸网络的网络拓扑图,在此基础上提出了一种基于树状的僵尸网络的检测方案。包括其设计思路、规则库的建立,给出了本方案的创新点．事实证明,本方案对准确定位僵尸网络及找到其幕后控制者可以起到良好的效果．     

一种快速数据挖掘方法及其在IDS中的应用

为了解决传统数据挖掘技术在入侵检测系统中引起的"尖锐边界"等问题 ,采用了模糊数据挖掘技术.为了进一步提高挖掘模糊关联规则的效率,提出了一种推广的FP-tree算法来挖掘最大频繁项目集.将这一算法应用到入侵检测系统(IDS)中的结果表明它可以显著提高挖掘关联规则的速度.     

基于分布式计算平台构建僵尸网络参考方案及可行性分析

介绍了互联网上现有的分布式计算平台的基本情况,提出两种试图利用这些分布式计算平台构建僵尸网络的方案,并做了初步的可行性分析.两种方案的共同点是都要设法获取分布式计算平台的客户端信息,寻找入侵平台和客户端的漏洞;不同点在于第一种方案将C＆amp;C（命令与控制信道）服务器植入分布式计算平台中,方案二是攻击者自身架设C＆amp;C服务器.     

关联规则技术在数据挖掘中的应用

数据挖掘技术的诞生,使我们能从大量的数据中提取对决策者有用的信息,20世纪90年代初,R.Agrawal等提出了关联规则挖掘技术.关联规则挖掘是为了发现大量数据中项目集之间感兴趣的相关性信息.经过十余年的发展,关联规则挖掘已经成为数据挖掘技术中较为成熟并很重要的一种方法.文中系统描述了关联规则挖掘所涉及的概念、关联规则挖掘算法和关联规则应用领域等.     

BotNet病毒检测与预防的研究

本文研究基于僵尸网络的DDoS特征,分析了僵尸网络病毒BotNet的特点与控制机制,通过蜜网和日志分析方法检测DDoS,并使用CWSandbox对仿真的僵尸网络进行分析,检测出其比较典型的行为特征。