基于蜜罐识别的僵尸网络多时区改进扩散模型

针对当前僵尸网络模型化工作尚不成熟的现状,比较分析了双阶段智能僵尸网络传播模型与多时区僵尸网络传播模型的优劣点,提出了一种基于蜜罐识别技术的改进型智能僵尸网络时空传播扩散模型。该模型基于双阶段蜜罐探测技术,引入时区因素,对多时区白昼交替导致的扩散传播参数进行了差异化分析,同时研究了不同时区离线主机数和修复率对僵尸网络传播的影响。通过仿真实验结果表明,该模型相对于传统的僵尸网络传播模型能更高效地描述僵尸网络在实际多时区网络中的扩散行为。     

僵尸网络关键技术及其防御研究

为了更好地防御僵尸网络,研究了僵尸网络的程序设计与网络组建方法.分析了僵尸网络的功能结构和工作机制,设计了一个僵尸程序,该僵尸程序主要由扫描、漏洞攻击、上传工具和通信模块组成.利用Windows编程技术实现了各个模块,并搭建实验环境对其整体性能进行了测试.测试结果表明,僵尸网络的整体性能达到预期效果.最后讨论了僵尸网路的防范措施.     

面向可扩展僵尸网络的安全控制方法

僵尸网络是互联网面临的主要威胁之一。当前,网络服务类型多样、安全漏洞频出、以物联网设备为代表的海量联网设备部署更加有利于僵尸网络全球扩展。未来僵尸网络将更加具有跨平台特性和隐匿性,这给网络空间带来了严重的安全隐患。因此,针对僵尸网络自身开展深入研究,可以为新的僵尸网络防御研究提供研究对象,对于设计下一代网络安全防护体系具有重要意义。提出一种基于HTTP的可扩展僵尸网络框架来解决僵尸网络自身存在的兼容性、隐匿性与安全性问题,该框架基于中心式控制模型, 采用HTTP 作为僵尸网络通信协议,并对通信内容进行基于对称密码学的块加密。进一步地,提出了一种面向多平台架构的僵尸网络安全控制方法,该方法利用源码级代码集成与交叉编译技术解决兼容性问题,引入动态密钥加密通信机制克服传统僵尸网络流量存在规律性和易被分析的不足,设计服务器迁移与重连机制解决中心式僵尸网络模型存在的单点失效问题,以提高僵尸网络存活率。3 个不同控制性水平场景下的仿真实验结果表明,僵尸网络的规模与其命令与控制（C＆amp;C,command and control）服务器服务负载之间存在线性关系;此外,在僵尸网络规模相同的条件下,越高的控制性会带来越高的吞吐量和越大的系统负载,从而验证了所提方法的有效性和现实可行性。     

电力系统僵尸网络检测分析

为了应对电力系统中日趋严重的安全问题,阐述了僵尸网络在电力二次系统中部署和传播的可能性,分析了僵尸网络在活动时产生的报文特征和流量的行为特性,并针对电力二次系统僵尸网络的特点,提出了两种可部署于网络分析仪的僵尸网络检测方法,分别是基于深度包检测技术的异常协议识别方法和基于循环自相关和X-means聚类的流序列特征分析方法。实验证明,这两种方法均具有良好的检测效果,其中,异常协议识别方法在特定场景下将失效,而流序列特征分析方法具有更好的通用性。     

基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.     

一种关联网络和主机行为的延迟僵尸检测方法

僵尸网络对现有计算机网络安全构成了巨大的威胁.新型僵尸经常采用隐蔽技术躲避安全系统的检测.采用延迟响应手段的僵尸在网络活动和主机行为之间插入随机时间的延迟,迷惑现有使用关联的检测方法.针对延迟僵尸的网络活动和主机行为,提出了一个新的关联检测方法.针对延迟僵尸的网络活动和主机行为可能分散在不同时间窗口的问题,使用滑动时间窗口迭代算法,提高了检测准确率.针对单纯主机检测方法需要全局部署问题,使用推荐算法关联网络和主机行为,提高了检测的健壮性和准确率.分析了滑动时间窗口大小和主机检测工具部署率对检测准确率的影响.实验结果表明,方法能有效检测延迟僵尸,当网络中主机检测工具的部署率达到80%时,包括未部署检测工具的主机在内,准确率约为88%.     

僵尸网络(BOTNET)监控技术研究

僵尸网络(BOTNET)是互联网网络的重大安全威胁之一,本文对僵尸网络的蔓延、通信和攻击模式进行了介绍,对僵尸网络发现、监测和控制方法进行了研究.针对目前最主要的基于IRC协议僵尸网络,设计并实现一个自动识别系统,可以有效的帮助网络安全事件处理人员对僵尸网络进行分析和处置.     

基于计算机网络对抗的僵尸网络研究与进展*

阐述僵尸网络的研究状况,给出其基本定义、结构和实现过程。通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指出僵尸网络研究中存在的问题与进一步研究的建议。     

僵尸网络传播模型分析

为了让僵尸网络传播模型是更符合Internet中的僵尸网络的传播特性,基于简单病毒传播模型深入分析僵尸程序的传播特性,考虑了僵尸程序在传播过程中存在的网络流量阻塞、提前免疫主机和感染后免疫主机等因素,提出了一个新的僵尸网络传播模型,并进行了仿真实验。实验结果表明,该模型更符合僵尸程序在复杂网络中的传播特性,有利于僵尸网络的传播行为的分析和传播趋势的预测。     

僵尸网络活跃度的网络威胁预测模型研究

当前的僵尸网络预测模型大多是基于网络流量监控,而未考虑僵尸网络的规模和僵尸机的活跃度.根据僵尸网络的特点提出一种僵尸网络威胁预测模型,该预测模型综合考虑了僵尸网络的规模和活跃度,仿真实验表明这种预测模型能够对网络潜在的威胁作出较为准确的预测,提高了网络的安全性.