僵尸网络流的识别

僵尸网络已经成为一种常见的互联网应用。本文介绍了采用IRC协议、HTTP协议和P2P协议的僵尸网络的原理和特征,并介绍了包括僵尸网络行为仿真与监控、流量数据特征匹配和网络流特征分析三种僵尸网络流识别方法。     

云工作流中基于多任务时序卷积网络的异常检测方法

云计算数据中心在日常部署和运行过程中产生的大量日志可以帮助系统运维人员进行异常分析。路径异常和时延异常是云工作流中常见的异常。针对传统的异常检测方法分别对两种异常检测任务训练相应的学习模型,而忽略了两种异常检测任务之间的关联性,导致异常检测准确率下降的问题,提出了一种基于多任务时序卷积网络的日志异常检测方法。首先,基于日志流的事件模板,生成事件序列和时间序列;然后,训练基于多任务时序卷积网络的深度学习模型,该模型通过共享时序卷积网络中的浅层部分来从系统正常执行的流程中并行地学习事件和时间特征;最后,对云计算工作流中的异常进行分析,并设计了相关异常检测逻辑。在OpenStack数据集上的实验结果表明,与日志异常检测的领先算法DeepLog和基于主成分分析（PCA）的方法比较,所提方法的异常检测准确率至少提升了7.7个百分点。     

僵尸网络及检测技术探索

通过综述僵尸网络的相关知识,提出基于行为与域关联的检测方法。对僵尸网络的行为流和域名查询流进行类聚,建立一种聚类联动的检测模型,以期突破基于特征的监测的局限性。本文分析了僵尸网络的相关知识和工作原理,重点分析基于Behavior-domain模型的僵尸网络检测方法。     

基于协议分析的IRC僵尸网络检测方法

IRC协议的利用使僵尸网络趋向智能化,给僵尸网络的检测带来很大难度。通过深入研究IRC僵尸网络运行机制和网络行为交互特征,提出了一种基于IRC协议分析的僵尸网络检测方法——BotDetector,采用流量预处理、IRC协议解析还原、控制命令的模式匹配等关键技术,BotDetector实现了高效、快速的IRC僵尸网络实时检测功能。实验结果表明,BotDetector对于IRC僵尸网络的检测行之有效。     

基于关联关系和MapReduce的僵尸网络检测

现有僵尸网络检测方法的计算量较大,导致检测效率低,而云计算的强大数据处理和分析能力为僵尸网络的检测提供了新的思路和解决方案。为此,设计并实现一种基于MapReduce模型的并行僵尸网络检测算法,基于云协同和流间关联关系对僵尸网络进行检测。提取流间关联关系,将具有关联关系的流聚集到同一个集合中,计算主机的分数,若分数大于阈值则判断为可疑的僵尸主机。实验结果表明,该算法对P2P僵尸网络的检测率能够达到90%以上,误报率控制在4%以下,并且随着云服务器端计算节点的增多,其处理云客户端上传数据及检测僵尸网络的效率更高。     

基于行为与域名查询关联的僵尸网络聚类联动监测*

为了解决基于特征的监测只能监测到已知的botnet,且监测方法很大程度依赖于botnet所采用的协议和结构的问题,提出基于行为与域名查询关联的botnet监测方法。利用相同僵尸网络中的各个僵尸活动相互之间具有时间、空间的行为相关性和相似性特点,对botnet的行为流和域名查询流进行聚类,给出一种聚类联动的监测模型。通过采集、分析部署在某市营运机房DNS缓存服务器上的实验系统反馈数据,证明该聚类联动监测模型不仅能够监测未知botnet,而且监测过程与botnet采用的协议结构无关,具有较好的监测效率。     

一种分布式的僵尸网络实时检测算法

僵尸网络通过控制的主机实现多类恶意行为,使得当前的检测方法失效,其中窃取敏感数据已经成为主流。鉴于僵尸网络实现的恶意行为,检测和减轻方法的研究已经势在必行。提出了一种新颖的分布式实时僵尸网络检测方法,该方法通过将Netflow组织成主机Netflow图谱和主机关系链,并提取隐含的C&C通信特征来检测僵尸网络。同时,基于Spark Streaming分布式实时流处理引擎,使用该算法实现了BotScanner分布式检测系统。为了验证该系统的有效性,采用5个主流的僵尸网络家族进行训练,并分别使用模拟网络流量和真实网络流量进行测试。实验结果表明,在无需深度包解析的情况下,BotScanner分布式检测系统能够实时检测指定的僵尸网络,并获得了较高的检测率和较低的误报率。而且,在真实的网络环境中,BotScanner分布式检测系统能够进行实时检测,加速比接近线性,验证了Spark Streaming引擎在分布式流处理方面的优势,以及用于僵尸网络检测方面的可行性。     

基于终端行为特征的IRC僵尸网络检测

目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求.为解决这两个问题,文中提出了基于昵称和命令序列这两个终端行为特征的IRC僵尸网络检测算法.文中提出三种属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测.文中还在分析僵尸终端登录服务器的行为的基础上,提出了基于命令序列相似性的检测算法.算法评估实验证明两个算法行之有效.最后将这两个算法用于大规模网络环境中实时检测IRC僵尸网络,在两周内检测到162个僵尸频道.     

P2P僵尸网络研究与进展

由于基于IRC协议的僵尸网络存在单点失效的天然缺陷,越来越多的僵尸网络转而使用非集中式命令与控制信道。基于P2P协议的僵尸网络就是其中最重要的一种。P2P僵尸网络经过10多年的发展,技术已经完全成熟,它们具有更强的弹性和鲁棒性,更难以被清除,被认为是新一代的僵尸网络。阐述了P2P僵尸网络的发展历程,详细分析了功能结构、分类方法和工作过程,介绍了P2P僵尸网络传播模型和跟踪、检测、防御方法的研究进展。     

基于集成学习的僵尸网络在线检测方法

僵尸网络已经成为网络基础设施面临的最严重的威胁之一,针对现有的僵尸网络研究工作所检测的僵尸网络生命周期的阶段较为单一的问题,提出基于集成学习的僵尸网络在线检测方法。首先,细粒度地标记僵尸网络多个阶段的流量,生成僵尸网络数据集;其次,结合多种特征选择算法生成包含23个特征的重要特征集和包含28个特征的次重要特征集,基于Stacking集成学习技术集成多种深度学习模型,并针对不同的初级分类器提供不同的输入特征集,得到僵尸网络在线检测模型;最后,将僵尸网络在线检测模型部署在网络入口处在线检测多种僵尸网络。实验表明,所提基于集成学习的僵尸网络在线检测方法能够有效地检测出多个阶段的僵尸网络流量,恶意流量检测率可达96.47％。