僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.  

DDoS攻击技术发展研究

综述了DDoS(DistributedDenialofService,分布式拒绝服务)攻击的概念、原理及其发起攻击的体系结构,阐述了DDos攻击技术发展和未来攻击技术的发展趋势,最后给出了防范DDos攻击的策略建议。  

网络设备协同联动模型

在开放的互联网环境下,大规模分布式网络恶意行为日益增多.发生在不同地理位置、不同时间段的安全事件可能存在潜在的隐藏关系.作者基于通用图灵机思想,提出了一个处理大规模网络安全事件的协同联动模型(Coordinative Running Model,CRM).在形式定义的基础上,从人机交互角度分析模型层次结构,由不同部件构建模型系统结构,并实现了面向基础网络的协同联动系统(Coordinative Running System,CRS),且与基于安全域的安全操作中心(Security Operating System,SOC)模型进行了对比分析.在僵尸网络的检测和追踪、DDoS攻击事件关联以及僵尸网络与DDoS攻击源关系分析三个应用实例中,CRS协调骨干网上不同类型安全设备共同工作.典型数据的分析结果表明,CRS为分析不同时间及不同空间安全事件之间关系,挖掘各事件关联后的更深层次安全隐患提供了有力平台.  

僵尸网络综述

近年来,从传统蠕虫和木马发展形成的僵尸网络逐渐成为攻击者手中最有效的攻击平台,甚至可以成为网络战的武器,因此,关注僵尸网络已有研究成果与发展趋势都十分必要.将僵尸网络的发展历程概括为5个阶段,分析各阶段特点和代表性僵尸网络.对僵尸网络进行形式化定义并依据命令控制信道拓扑结构将其划分为4类.同时,将当前僵尸网络研究热点归纳为检测、追踪、测量、预测和对抗5个环节,分别介绍各环节的研究状况,并对每个环节的研究进展进行归纳和分析.通过研究僵尸网络在攻防对抗中的演进规律,提取僵尸网络存在的不可绕过的脆弱性.最后,综合分析当前僵尸网络研究现状,并展望僵尸网络发展趋势.  

中心式结构僵尸网络的检测方法研究

从近年发展趋势看,僵尸网络的结构正呈现多样化发展的趋势,中心式结构僵尸网络因控制高效、规模较大成为网络安全最大的威胁之一.中心式结构僵尸网络采用一对多的命令与控制信道,而且僵尸主机按照预定的程序对接收到的命令做出响应,因此,属于同一僵尸网络的受控主机的行为往往具有很大的相似性与同步性.针对中心式结构僵尸网络命令控制流量的特点,本文提出一种基于网络群体行为特点分析的检测方法并用于僵尸网络的早期检测与预警.实际网络流的实验表明,本方法能够有效检测当前流行的中心式结构僵尸网络.  

半分布式P2P僵尸网络的伪蜜罐检测方法

在攻击与防御的博弈中，半分布式P2P僵尸网络随着P2P的广泛应用已成为僵尸网络最主要的形式。为此，描述攻击者组建的半分布式P2P僵尸网络的构建原理和增长模型，提出蜜罐与流量分析技术相结合的“伪蜜罐”检测模型，即在主机出现网络异常时，关闭已知程序和服务，使主机向蜜罐身份靠近，并用流量分析技术检测的一种模型。实验结果表明，该检测方法能够有效地提高半分布式P2P僵尸网络的检出率。  

一种基于社会网络分析的P2P僵尸网络反制策略

设计并实现了一种基于社会网络分析的P2P僵尸网络反制策略.该策略包括两个方面:第一,挖掘网络中的关键节点和桥梁节点,重点防护这两类节点;第二,挖掘网络中的社区结构,重点监控社区间的关键通讯.模拟实验表明,该策略能准确挖掘网络中的关键节点、桥梁节点和关键通讯边,挖掘桥梁节点和关键边的准确率分别达到了95%和93%.使用提出的策略可有效控制僵尸网络病毒和黑客攻击指令的传播,从而达到反制P2P僵尸网络的目的.  

具有变化感染率的僵尸网络传播模型

僵尸网络对网络安全的威胁已经引起了众多安全研究专家的高度重视。数学建模是研究僵尸网络传播特性 的一种有效方法。现有的僵尸网络传播模型假设感染率是常量。事实上，大量僵尸病毒爆发时会引起网络拥塞，从而 导致感染变慢。针对这一特点，提出一个具有变化感染率的僵尸网络传播模型。根据Intetne、的实际情况，在模型中 加入了预先免疫特征项。最后通过matlab模拟对比了提出的模型与已有模型在反映僵尸网络感染时的差异。实验 结果表明，具有变化感染率的僵尸网络传播模型能更准确地反映实际网络中僵尸程序的传播规律。  

无尺度网络下具有双因素的僵尸网络传播模型

随着网络技术的发展,僵尸网络逐渐成为Internet上最具威胁的攻击平台.而现今的网络是随机网络、无尺度网络等构成的一个复杂网络.结合无尺度的特性,考虑僵尸网络传播过程中部分主机的免疫特性与网络阻塞特征,提出一种无尺度网络下具有双因素的僵尸网络传播模型.该模型基于Internet的实际情况,重点考虑了无尺度网络的拓扑结构,并结合了僵尸网络中部分脆弱主机由于提前从易感染的网络中移除而具有的免疫特征情况与传播过程中的网络流量阻塞情况.Matlab仿真结果表明,这种传播模型更符合真实网络中僵尸网络的传播规律.  

一种基于Android系统的手机僵尸网络

提出一种基于Android系统的手机僵尸网络，设计命令控制信道及手机状态回收方式。分析僵尸手机的恶意行为，给出手机僵尸网络防劫持策略，包括多服务器策略、域名flux技术与身份认证系统，通过RSS及GZIP压缩技术降低僵尸程序消耗的网络流量。对手机僵尸网络的发展趋势及防御手段进行了讨论。