数据流异常检测及其在僵尸网络检测中的应用

目前大多关于P2P僵尸网络检测的研究都采用传统的逆向工程方法,这些方法检测都比较准确,但其工程实施难度太大,效率较低,且对于变种病毒,该类检测方法无能为力。本文尝试通过数据流异常检测技术的应用,找到一种适合数据流应用场景的异常检测方法,并尝试将其应用于P2P僵尸病毒的检测当中,通过监控网络数据流,能够有效地发现P2P僵尸病毒在传播过程当中的特殊行为,并通过捕获这些行为来实现发现僵尸主机的目的。     

网络恶意程序“Botnet”的检测技术的分析

目前Botnet技术发展最为快速,不论是对网络安全运行还是用户数据安全的保护来说,Botnet都是极具威胁的隐患。介绍了Botnet技术的同时也对Botnet检测技术进行了研究,对几种主要的Botnet检测技术进行了深入分析。     

基于覆盖率分析的僵尸网络控制命令发掘方法简

从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码空间。     

蜜网技术的研究与应用

蜜网技术是由蜜网项目组(TheHoneynetProject)提出并倡导的一种对攻击行为进行捕获和分析的新技术。本文给出了蜜网的定义和分类,并通过对其技术特点的分析,探讨了蜜网在对抗蠕虫、反垃圾邮件、捕获和分析网络钓鱼及僵尸网络上应用的可行性。     

基于Kademlia的新型半分布式僵尸网络

使用Kademlia协议的僵尸网络可利用海量合法流量隐藏攻击行为,但单纯使用Kademlia容易被防火墙拦截。针对该问题,设计一种基于Kademlia的新型半分布式僵尸网络。通过将Hybrid Botnet的主干部分由非结构化网络改为Kademlia网络,使之能规避防火墙,同时网络流量较小,通过仿真实验证明新型僵尸网络较传统网络具有更好的流量特性和鲁棒性。并给出3种抵御新型网络的防御措施。     

一种提高僵尸网络鲁棒性的对等网络拓扑结构

通过对现有的基于P2P技术的僵尸网络进行综述,通过研究分析发现,现有的P2P技术已不能满足僵尸网络的需求,为此我们在充分借鉴非结构化对等协议、结构化对等协议的基础上,提出了一种具有新型拓扑结构的对等网络协议AATP。经过实验表明,AATP具有良好的抗网络波动性。     

具有异构感染率的僵尸网络建模与分析

僵尸网络作为共性攻击平台,采用目前先进的匿名网络和恶意代码技术为APT攻击提供了大量有效资源。为了有效控制僵尸网络的大规模爆发,需研究其构建规律。考虑到在传播过程中僵尸网络的不同区域具有不同的感染率,结合疾病传播模型,提出了一种具有异构感染率的僵尸网络传播模型。首先,通过对僵尸网络稳态特征的分析,使用平均场方法从动力学角度研究了其传播特性;然后,在BA网络中通过模拟实验来分析异构感染率如何影响僵尸网络的传播阈值。实验结果表明, 该模型更符合真实情况,且僵尸程序传播阈值和异构感染率的关系与节点数量无关。     

僵尸网络检测技术研究

由于全球网络都在遭受日益广泛的僵尸网络所带来的威胁,因此,必须加大对其防治.僵尸网络检测的方法分为三个部分:“僵尸网络静态特征检测技术”、“僵尸网络动态特征检测技术”、“僵尸网络混合特征检测技术”,分别指出了僵尸网络静态特征检测技术的缺陷就是误报率高、僵尸网络动态特征检测技术缺乏先验性和处理数据量大等缺点,最后指出,把...     

僵尸网络的防御与控制

僵尸网络对网络安全运行及用户数据安全都是极具威胁的隐患,它也因此成为一个国际上十分关注的问题.明确僵尸网络的概念,把握僵尸网络的产生、内部工作机理、发展、类型及危险性,就能主动、有效地做好对僵尸网络的防御与控制,强化网络运行及用户数据的安全性.     

互联网防御DOS/DDOS攻击策略研究

主要介绍DOS/DDOS攻击的原理与种类,并着重介绍防御DOS/DDOS攻击的应对策略,并结合专业防御系统对构建专业防御体系进行了探讨。