P2P僵尸网络的有效免疫措施

为了深入分析影响对待(P2P)僵尸网络传播的因素,从动力学的角度刻画了P2P僵尸网络的形成过程。首先,根据P2P僵尸网络形成的过程建立了一个微分方程模型。该模型考虑了免疫措施对计算机恶意软件传播的影响;同时,通过分析模型平衡点的稳定性条件导出了消除P2P僵尸网络的有效免疫率;最后,通过数值模拟得出了有效免疫区域,随机仿真验证了有效免疫区域的正确性。结果表明,合理的免疫措施可以有效预防僵尸网络的爆发。     

一种基于社会网络分析的P2P僵尸网络反制策略

设计并实现了一种基于社会网络分析的P2P僵尸网络反制策略.该策略包括两个方面:第一,挖掘网络中的关键节点和桥梁节点,重点防护这两类节点;第二,挖掘网络中的社区结构,重点监控社区间的关键通讯.模拟实验表明,该策略能准确挖掘网络中的关键节点、桥梁节点和关键通讯边,挖掘桥梁节点和关键边的准确率分别达到了95%和93%.使用提出的策略可有效控制僵尸网络病毒和黑客攻击指令的传播,从而达到反制P2P僵尸网络的目的.     

结构化对等网络中P2P 僵尸网络传播模型

依赖结构化对等网传播的P2P僵尸是未来互联网面临的重要威胁.详细分析了两种典型的结构化P2P协议Chord和Kademlia的工作原理,在此基础上,使用数学建模的方法建立了结构化P2P僵尸网络的传播模型.该模型将Kademlia,Chord协议与双因子免疫机制、主机在线率等因素相结合,较为全面地研究了两种典型的结构化P2P网络中僵尸的传播机理,并使用软件仿真的方法模拟了节点超过百万时,结构化P2P网络中僵尸的传播行为,通过软件仿真得出的数据与理论数据进行对比,验证了模型的正确性.从实验结果可以看出:对于Kademlia和Chord两种结构化P2P网络,僵尸传播无论是双因子免疫模型还是结合双因子与主机在线率的模型,理论模型与仿真结果都非常吻合,体现了模型的准确性,为僵尸的检测与防御提供了理论依据.     

P2P僵尸控制行为识别技术研究

传统僵尸程序依赖于集中控制,P2P僵尸的传播和控制方式都是分布式的,使其更具隐蔽性和健壮性.本文通过分析P2P僵尸的特征,对其控制行为进行了较为深入的研究.首先,阐述了控制流相似性的概念并对其做出合理量化;其次,利用皮尔逊序列假设检验法来识别P2P僵尸控制行为;最后,通过自动分类技术来进行二次判定,以完成自动检测.实验和数据分析表明该方法能够有效的识别校园网内P2P僵尸的控制行为,与相关的方法相比,误报显著降低.     

无尺度半分布式P2P僵尸网络的构建

鉴于僵尸网络具有无尺度网络的增长性和择优连接性,提出一种无尺度半分布式P2P僵尸网络的构建方法。僵尸程序在初始时只感染少数几台主机,之后每台受感染主机根据节点度数选择要连接的节点,度数越大,节点被感染的概率越高。理论分析和仿真结果表明,利用该方法构建的僵尸网络具有无尺度网络的2个重要特性。     

多阶段过滤的P2P僵尸网络检测方法

提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在局域网环境中的实验表明,该检测方法能够有效识别各种P2P僵尸网络,提高了检测效率和精度。     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

半分布式P2P Botnet命令与控制机制研究

为分析P2P僵尸网络（Botnet）的控制机制与行为特性,研究了半分布式P2P Botnet中bot程序的体系结构,设计了半分布式P2P Botnet的命令与控制机制,包含命令的发布、传播、执行和信息的反馈。从僵尸网络的平均直径和网络连接度,与Peacomm和lcbot两种僵尸网络做了比较,分析了半分布式P2P Botnet命令与控制机制的性能。实验结果表明,半分布P2P Botnet命令与控制机制具有较高的效率和良好的韧性,符合新型P2P Botnet的要求。     

具有异构感染率的僵尸网络建模与分析

僵尸网络作为共性攻击平台,采用目前先进的匿名网络和恶意代码技术为APT攻击提供了大量有效资源。为了有效控制僵尸网络的大规模爆发,需研究其构建规律。考虑到在传播过程中僵尸网络的不同区域具有不同的感染率,结合疾病传播模型,提出了一种具有异构感染率的僵尸网络传播模型。首先,通过对僵尸网络稳态特征的分析,使用平均场方法从动力学角度研究了其传播特性;然后,在BA网络中通过模拟实验来分析异构感染率如何影响僵尸网络的传播阈值。实验结果表明, 该模型更符合真实情况,且僵尸程序传播阈值和异构感染率的关系与节点数量无关。     

动态自组织P2P僵尸网络的构建及其防御

僵尸网络作为大规模攻击活动的基础平台,严重威胁网络空间安全,从预测的角度对其开展研究具有重要的现实意义。针对现有研究在终端感知、身份识别和动态对抗中存在的不足,本文概括僵尸网络生命周期,总结P2P结构僵尸网络的脆弱点,建立P2P僵尸网络动态对抗模型,分析节点真实性判断和网络拓扑优化重构的重要性。在此基础上,从攻击者视角提出一种新颖的动态自组织P2P僵尸网络模型DSBot。该模型在架构设计上可扩展至各类目标设备,通过基于可信度矩阵和真实性验证的节点安全性评估机制增强终端对抗性,并提出分阶段感染策略。借鉴无线自组网和多智能体的思路和方法,刻画节点属性多维表示和基于状态标识的动态网络框架,以此为基础设计O(N_i)更新算法、均匀连接算法和节点主动移除算法,并结合相应的初始化和调整机制提出网络自组织重构策略,从而进一步提升网络的健壮性。其中,O(N_i)更新算法确保节点的可信度,均匀连接算法降低网络暴露风险,节点主动移除算法实时移除可疑节点。从平均等待时间、命令可达率、网络连接度和重构稳定时间等方面对DSBot模型进行评估。实验结果表明,DSBot模型在效率和韧性上可满足僵尸网络命令控制机制的基本需求。最后,从终端清除、命令控制服务器打击和命令控制过程等方面讨论了可能的防御策略。本文旨在通过预测新型僵尸网络模型来完善防御解决方案。     

半分布式P2P僵尸网络的伪蜜罐检测方法

在攻击与防御的博弈中,半分布式P2P僵尸网络随着P2P的广泛应用已成为僵尸网络最主要的形式。为此,描述攻击者组建的半分布式P2P僵尸网络的构建原理和增长模型,提出蜜罐与流量分析技术相结合的“伪蜜罐”检测模型,即在主机出现网络异常时,关闭已知程序和服务,使主机向蜜罐身份靠近,并用流量分析技术检测的一种模型。实验结果表明,该检测方法能够有效地提高半分布式P2P僵尸网络的检出率。     

具有变化感染率的僵尸网络传播模型

僵尸网络对网络安全的威胁已经引起了众多安全研究专家的高度重视。数学建模是研究僵尸网络传播特性 的一种有效方法。现有的僵尸网络传播模型假设感染率是常量。事实上,大量僵尸病毒爆发时会引起网络拥塞,从而 导致感染变慢。针对这一特点,提出一个具有变化感染率的僵尸网络传播模型。根据Intetne、的实际情况,在模型中 加入了预先免疫特征项。最后通过matlab模拟对比了提出的模型与已有模型在反映僵尸网络感染时的差异。实验 结果表明,具有变化感染率的僵尸网络传播模型能更准确地反映实际网络中僵尸程序的传播规律。     

基于短地址混淆和谷歌云推送的移动僵尸网络的构建

为了提升对移动僵尸网络的预测能力和防御能力,提出了一种基于短地址混淆(USSes-Flux)和谷歌云(GCM)推送的移动僵尸网络的构建机制。设计了基于中心结构和对等网络(P2P)混合的拓扑结构的移动僵尸网络模型,给出了USSes-Flux算法,从而增强了命令与控制信道的隐秘性和强壮性。给出了该移动僵尸网络的控制模型,分析了不同僵尸节点的状态改变、命令设计和传播算法。实验环境中,研究了短地址的失效率与申请数量之间的关系,并对该移动僵尸网络与不同命令和控制信道的样本进行静态分析、动态分析和电量测试。结果表明:该移动僵尸网络具有较强的隐秘性、强壮性和低消耗。     

A mathematical exploitation of simulated uniform scanning botnet propagation dynamics for early stage detection and management

The contribution of this paper is two-fold. Firstly, we propose a botnet detection approach that is sufficiently timely to enable a containment of the botnet outbreak in a supervised network. Secondly, we show that mathematical models of botnet propagation dynamics are a viable means of achieving that level of defense from bot infections in a supervised network. Our approach is built on the idea of processing network traffic such as to localize a weakly connected subgraph within a graph that models network communications between hosts, and thus consider that subgraph as representative of a suspected botnet. We devise applied statistics to infer the propagation dynamics that would characterize the suspected botnet if this latter were indeed a botnet. The inferred dynamics are materialized into a model graph. A subgraph isomorphism search determines whether or not there is an approximate match between the model graph and any subgraph of the weakly connected subgraph. An approximate match between the two leads to a timely identification of infected hosts. We have implemented this research in the Matlab and Perl programming languages, and have validated it in practice in the Emulab network testbed. In the paper, we describe our approach in detail, and discuss experiments along with experimental data that are indicative of the effectiveness of our approach.     

基于聚类技术的僵尸网络检测方案

现有僵尸网络检测方案需要先验知识以获取匹配模式,无法满足实时处理的要求。为此,从分析僵尸网络的特点出发,通过比较僵尸频道消息字符串的相似度,提出基于聚类技术的僵尸网络检测方案。实验结果表明,该方案能有效检测隐藏在正常网络数据流中的僵尸频道。     

非结构化P2P僵尸网络鲁棒性分析

僵尸网络结构的不断改进对网络安全造成了极大的威胁,如何深入研究其结构本身的固有性质对抵御该种攻击方式显得尤为重要。从复杂网络的角度模拟非结构化P2P僵尸网络,通过定义度量标准并应用网络中心化指标分析非结构化P2P僵尸网络面对节点失效时的鲁棒性。实验结果表明,非结构化P2P僵尸网络在面对随机节点失效时其鲁棒性较强,而面对高中心化节点失效时其鲁棒性将会迅速降低。