基于Kademlia的新型半分布式僵尸网络

使用Kademlia协议的僵尸网络可利用海量合法流量隐藏攻击行为,但单纯使用Kademlia容易被防火墙拦截。针对该问题,设计一种基于Kademlia的新型半分布式僵尸网络。通过将Hybrid Botnet的主干部分由非结构化网络改为Kademlia网络,使之能规避防火墙,同时网络流量较小,通过仿真实验证明新型僵尸网络较传统网络具有更好的流量特性和鲁棒性。并给出3种抵御新型网络的防御措施。     

基于Kademlia的P2P网络资源定位模型改进

根据基于分布式散列表(DHT)的P2P网络资源定位方法,将虚拟节点引入结构化P2P系统,在拓扑形成时充分利用网络访问的区域性和物理网络中节点的邻近性来降低访问延迟并优化路由选择。构建一种改进的基于Kademlia的P2P网络资源定位模型,提高了网络可扩展性和可管理性及网络运行效率和资源利用率。仿真结果表明,改进后的模型继承了DHT和Kademlia的优点,在路由选择、查找成功率和平均逻辑路径长度等方面的性能均优于原Kademlia模型。     

基于主机行为异常的P2P僵尸网络在线检测方法

僵尸网络已经成为当前最为严重的网络威胁之一,其中P2P僵尸网络得到迅速发展,其自身的通信特征给检测带来巨大的挑战.针对P2P僵尸网络检测技术的研究已经引起研究人员的广泛关注.提出一种P2P僵尸网络在线检测方法,首先采用信息熵技术发现网络流量中的异常点,然后通过分析P2P僵尸网络中主机的行为异常,利用统计学中的假设检验技术,从正常的网络流量数据中识别出可疑P2P僵尸主机,同时根据僵尸主机通信模式的相似性进行最终确认.实验结果表明该方法能够有效实现P2P僵尸网络的在线检测.     

P2P僵尸网络的有效免疫措施

为了深入分析影响对待(P2P)僵尸网络传播的因素,从动力学的角度刻画了P2P僵尸网络的形成过程。首先,根据P2P僵尸网络形成的过程建立了一个微分方程模型。该模型考虑了免疫措施对计算机恶意软件传播的影响;同时,通过分析模型平衡点的稳定性条件导出了消除P2P僵尸网络的有效免疫率;最后,通过数值模拟得出了有效免疫区域,随机仿真验证了有效免疫区域的正确性。结果表明,合理的免疫措施可以有效预防僵尸网络的爆发。     

P2P僵尸网络研究与进展

由于基于IRC协议的僵尸网络存在单点失效的天然缺陷,越来越多的僵尸网络转而使用非集中式命令与控制信道。基于P2P协议的僵尸网络就是其中最重要的一种。P2P僵尸网络经过10多年的发展,技术已经完全成熟,它们具有更强的弹性和鲁棒性,更难以被清除,被认为是新一代的僵尸网络。阐述了P2P僵尸网络的发展历程,详细分析了功能结构、分类方法和工作过程,介绍了P2P僵尸网络传播模型和跟踪、检测、防御方法的研究进展。     

结构P2P网络Chord模型研究及其动态分析

Chord系统是结构P2P网络的典型模型之一,它利用分布式哈希表(DHT)在应用层形成一个重叠网络。 Chord系统应用Chord协议对关键字进行查找,本文分析了Chord系统的关键字查找算法、节点的加入算法以及节点加入和退出对查找的影响。     

P2P僵尸网络的传播建模与分析

为了有效控制自愿式P2P僵尸网络的大规模爆发,从动力学的角度研究了僵尸网络的传播规律.首先,根据僵尸网络的形成过程,建立了一个时滞微分方程模型;其次,通过详细的数学分析得出了有效控制僵尸网络的阈值表达式;最后,数值模拟验证了理论分析的正确性.理论分析和实验结果均表明,当基本再生数的值小于1时,僵尸网络可以被完全控制;否则,安全防御措施只能减小僵尸网络的规模.模拟结果还表明,降低僵尸程序的感染率或提高网络节点的免疫率,可以有效控制僵尸网络的爆发.实际网络管理中,可以通过不均匀分布网络节点、及时下载漏洞补丁等措施控制僵尸程序的传播.     

无尺度网络下具有双因素的僵尸网络传播模型

随着网络技术的发展,僵尸网络逐渐成为Internet上最具威胁的攻击平台.而现今的网络是随机网络、无尺度网络等构成的一个复杂网络.结合无尺度的特性,考虑僵尸网络传播过程中部分主机的免疫特性与网络阻塞特征,提出一种无尺度网络下具有双因素的僵尸网络传播模型.该模型基于Internet的实际情况,重点考虑了无尺度网络的拓扑结构,并结合了僵尸网络中部分脆弱主机由于提前从易感染的网络中移除而具有的免疫特征情况与传播过程中的网络流量阻塞情况.Matlab仿真结果表明,这种传播模型更符合真实网络中僵尸网络的传播规律.     

基于Chord的P2P网络分层资源定位模型

借鉴混合式P2P资源定位模型的优点,利用数据和资源的局部性原理,针对现有Chord模型查询效率的不足,提出了一种基于Chord的分层资源定位模型:双层Chord.该模型分为主干网层和子网层,每一层都使用基于DHT的结构化Chord进行资源定位和发布.文章对该模型的节点分类和路由算法进行了分析,简要介绍了该模型的算法及系统仿真的步骤,并对系统性能进行了详细分析.     

改进的双层混合式P2P网络模型的仿真与分析

利用OPNET仿真软件对双层混合式P2P网络模型进行了仿真实现,通过采集的仿真数据,从查找的响应时间、网络链路利用率两个方面将改进的双层混合式P2P网络模型和非结构化P2P网络进行了对比分析.仿真结果表明,双层混合式P2P网络模型比非结构化P2P网络模型在查找包到达的延迟时间上更稳定,充分体现了用户兴趣由稳定兴趣驱动访问Web Services的频率远远高于偶然兴趣的驱动,一定时间段内用户具有稳定兴趣的特点.     

一种新颖的P2P僵尸网络检测技术

针对当前僵尸网络向P2P方向发展的趋势,在对P2P僵尸网络本质的理解和把握的基础上,提出了一种新颖的P2P僵尸网络检测技术。对于某个被监视的网络,关注其内部每台主机的通信行为和网络恶意活动。把这些通信行为和网络恶意活动分类,找出具有相似或相关通信和网络恶意行为的主机。根据我们对定义的理解,这些主机就属于某个P2P僵尸网络。     

一种新颖的P2P僵尸网络检测技术

针对当前僵尸网络向P2P方向发展的趋势,在对P2P僵尸网络本质的理解和把握的基础上,提出了一种新颖的P2P僵尸网络检测技术。对于某个被监视的网络,关注其内部每台主机的通信行为和网络恶意活动。把这些通信行为和网络恶意活动分类,找出具有相似或相关通信和网络恶意行为的主机。根据我们对定义的理解,这些主机就属于某个P2P僵尸网络。     

一种抗污染的混合P2P僵尸网络

基于Peer-list的混合型P2P僵尸网络代表了一类高级僵尸网络形态,这种僵尸网络的优势是可抵抗传统P2P僵尸网络易受的索引污染（Index Poisoning）攻击和女巫（Sybil）攻击,然而却引入了新的问题——易受Peer-list污染攻击。本文提出一种新颖的混合P2P僵尸网络设计模型,在僵尸网络构建和Peer-list更新的整个生命周期中引入信誉机制,使得Peer-list污染攻击难以发挥作用。实验证明该模型具备很强的抗污染能力和很高的健壮性,因此对网络安全防御造成了新的威胁。最后,我们提出了若干可行的防御方法。本文旨在增加防御者对高级僵尸网络的理解,以促进更有效的网络防御。     

中小型局域网中P2P僵尸网络的检测

传统的僵尸网络大多是基于IRC协议的集中式结构,但越来越多的僵尸网络开始转向了分布式的P2P结构,针对IRC信道的检测方法已经不适用于新型的P2P僵尸网络。提出一种面向中小型局域网,根据流量统计特性和恶意攻击活动相结合的P2P僵尸网络检测方法。这种方法对采用随机端口,数据加密等新型手段的Botnets可以进行有效检测。     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

动态自组织P2P僵尸网络的构建及其防御

僵尸网络作为大规模攻击活动的基础平台,严重威胁网络空间安全,从预测的角度对其开展研究具有重要的现实意义。针对现有研究在终端感知、身份识别和动态对抗中存在的不足,本文概括僵尸网络生命周期,总结P2P结构僵尸网络的脆弱点,建立P2P僵尸网络动态对抗模型,分析节点真实性判断和网络拓扑优化重构的重要性。在此基础上,从攻击者视角提出一种新颖的动态自组织P2P僵尸网络模型DSBot。该模型在架构设计上可扩展至各类目标设备,通过基于可信度矩阵和真实性验证的节点安全性评估机制增强终端对抗性,并提出分阶段感染策略。借鉴无线自组网和多智能体的思路和方法,刻画节点属性多维表示和基于状态标识的动态网络框架,以此为基础设计O(N_i)更新算法、均匀连接算法和节点主动移除算法,并结合相应的初始化和调整机制提出网络自组织重构策略,从而进一步提升网络的健壮性。其中,O(N_i)更新算法确保节点的可信度,均匀连接算法降低网络暴露风险,节点主动移除算法实时移除可疑节点。从平均等待时间、命令可达率、网络连接度和重构稳定时间等方面对DSBot模型进行评估。实验结果表明,DSBot模型在效率和韧性上可满足僵尸网络命令控制机制的基本需求。最后,从终端清除、命令控制服务器打击和命令控制过程等方面讨论了可能的防御策略。本文旨在通过预测新型僵尸网络模型来完善防御解决方案。     

Detecting P2P bots by mining the regional periodicity

Peer-to-peer (P2P) botnets outperform the traditional Internet relay chat (IRC) botnets in evading detection and they have become a prevailing type of threat to the Internet nowadays.Current methods for detecting P2P botnets,such as similarity analysis of network behavior and machine-learning based classification,cannot handle the challenges brought about by different network scenarios and botnet variants.We noticed that one important but neglected characteristic of P2P bots is that they periodically send requests to update their peer lists or receive commands from botmasters in the command-and-control (C&C) phase.In this paper,we propose a novel detection model named detection by mining regional periodicity (DMRP),including capturing the event time series,mining the hidden periodicity of host behaviors,and evaluating the mined periodic patterns to identify P2P bot traffic.As our detection model is built based on the basic properties of P2P protocols,it is difficult for P2P bots to avoid being detected as long as P2P protocols are employed in their C&C.For hidden periodicity mining,we introduce the so-called regional periodic pattern mining in a time series and present our algorithms to solve the mining problem.The experimental evaluation on public datasets demonstrates that the algorithms are promising for efficient P2P bot detection in the C&C phase.     

双层架构的P2P Botnet研究

Botnet(僵尸网络)是由bot(僵尸主机)组成的可通信、可被攻击者控制的网络,而P2P botnet是一种利用P2P技术构建控制信道的僵尸网络.对比于以往具有明显追踪特征的P2P botnet而言,一种基于双层架构的P2P botnet在控制感染主机方面采用了更加隐蔽和灵活的方式,使追踪难度增大.通过模拟实验对基于这种通信控制模型的僵尸网络进行了功能和性能方面的研究,并提出了相应的防御与追踪方案.