APT多维度分析和防御研究

“APT多维度分析及防御研究”需要遵循两大原则,即“广谱检测”和“精准定位”的策略。所谓“广谱检测”就是设计的检测方法不局限适用于某一特定的类型的僵尸网络、木马或者蠕虫。“精准定位”就是要求检测结果具有较高的准确性,不仅能确定有无,还要定位感染主机。为了满足上面两个原则,需要将多种检测方法整合到一起,多种检测方法在功能上互相补充,在结果上互相印证,才能获得较理想的结果。     

P2P僵尸网络跨域体系结构的构建与评估

针对现有P2P僵尸网络抗追踪性较差的问题,提出了一种P2P僵尸网络跨域体系结构（CRA）.CRA将僵尸主机间的通信严格限制在不同的域之间,并引入IP伪造技术隐藏通信的源IP.考虑到监控全球互联网的不可行性以及IP溯源的困难性,现实中防御者将很难对CRA展开追踪.模拟实验结果表明,较之当前主流的P2P僵尸网络体系结构,CRA具备更好的抗追踪性和鲁棒性.     

Toward a Monopoly Botnet Market

ABSTRACT

Economics play an increasingly important role in fighting cyber crimes. While the arms race against botnet problems has achieved limited success, we propose an approach attacking botnets through affecting a botnet market structure. The characteristics of the present underground botnet market suggest that it functions effectively as perfectly competitive. Competitive markets are usually efficient. We argue that less competition in the botnet market is actually preferred. Our economic analysis suggests that monopoly reduces the overall market output of botnets. Using a model of market structure evolution, we identify key forces that affect the botnet market structure and propose possible ways such as defaming botnet entrants to reduce competition, which ultimately reduce the size and output of the botnet market. The analysis provides useful insight to botnet defenders as a guidance on an efficient allocation of defending resources by attacking more on new entrants to the botnet market relative to the existing botmasters.     

隐蔽式网络攻击综述

近年来,随着信息化的推进,国民经济各行各业对网络的依赖性明显增强,网络信息安全问题成为关系国家和社会安全的突出问题。受经济利益驱动,加上各国之间的博弈在网络空间的体现不断加强,具有高技术性、高隐蔽性和长期持续性的网络攻击成为当前网络安全面临的主要挑战之一。文章对这种隐蔽式网络攻击进行了介绍和描述,分析其主要特点和对当前安全体系的挑战。在此基础上综述了国内外隐蔽式网络攻击检测等方面的最新研究进展。最后,对关键技术问题进行了总结,并展望了本领域未来的研究方向。     

基于量子计算的僵尸网络周期性通信行为检测算法

僵尸网络需要在控制者和受控主机之间维持周期性通信,如果能够有效识别僵尸网络的周期性通信行为,就能够以此为基础实现僵尸网络检测。尽管一些算法提出了基于周期性通信行为的僵尸网络检测方法,但是如何在海量数据中实现僵尸网络的快速检测仍然是一个问题。基于量子计算的僵尸网络周期性通信行为检测算法,是在已有算法的基础上引入量子计算来提高周期性通信检测算法的速度。实验结果表明,改进后的算法与已有算法相比,拥有相同的检测精度,与此同时,能够使用较少的查询次数完成僵尸网络检测,能够有效提高僵尸网络检测的速度。     

基于Webshell的僵尸网络研究

以Web服务器为控制目标的僵尸网络逐渐兴起,传统命令控制信道模型无法准确预测该类威胁。对传统Webshell控制方式进行改进,提出一种树状拓扑结构的信道模型。该模型具备普适和隐蔽特性,实验证明其命令传递快速可靠。总结传统防御手段在对抗该模型时的局限性,分析该信道的固有脆弱性,提出可行的防御手段。     

基于异常行为监控的僵尸网络发现技术研究

僵尸网络作为近年来危害互联网的重大安全威胁之一,引起了研究者的广泛关注。论文通过分析僵尸网络工作过程中各阶段表现出的异常行为特征,提出了基于异常行为监控的僵尸网络发现技术,详细阐述了僵尸网络发现系统的原理及系统框架结构,并对其关键技术进行了设计实现。     

面向规避僵尸网络流量检测的对抗样本生成

基于机器学习的僵尸网络流量检测是现阶段网络安全领域比较热门的研究方向,然而生成对抗网络（generative adversarial networks,GAN）的出现使得机器学习面临巨大的挑战。针对这个问题,在未知僵尸网络流量检测器模型结构和参数的假设条件下,基于生成对抗网络提出了一种新的用于黑盒攻击的对抗样本生成方法。该方法提取网络流量的统计特征,利用生成对抗网络思想,通过训练替代判别器和生成器,来拟合不同类型的黑盒僵尸网络流量检测器和生成可以规避黑盒僵尸网络流量检测器的对抗样本。生成的对抗样本是在原始僵尸网络流量的基础上添加不改变其攻击特性的微小扰动,从而降低僵尸网络流量的被检出率。实验结果表明,开源数据集N_BaIoT中的僵尸网络流量样本经该方法重新生成后,将僵尸网络流量的平均被检出率降低了0.481?8,且该方法适用于规避不同的僵尸网络检测算法以及由不同计算机设备构成的僵尸网络,具有良好的扩展性。     

基于智能合约的高对抗性僵尸网络研究

区块链技术的发展与应用使构建更为鲁棒和灵活的僵尸网络命令控制信道成为可能。为了更好地研究这类潜在的新型僵尸网络威胁,提出基于区块链智能合约的高对抗性僵尸网络模型——SCBot。SCBot 模型采用分层混合拓扑结构,在僵尸子网层构建基于智能合约的命令传递信道,并建立可信度评估机制判别节点真实性,从流量和终端两大层面提升网络的对抗性。模拟构建小型的僵尸网络集群,对SCBot的命令传递效率和鲁棒性进行了对比实验,并从经济成本角度分析其在现实环境中的可行性。最后对该类型僵尸网络的防御策略做简要分析和讨论。     

基于流量摘要的僵尸网络检测

随着僵尸网络的日益进化,检测和防范僵尸网络攻击成为网络安全研究的重要任务.现有的研究很少考虑到僵尸网络中的时序模式,并且在实时僵尸网络检测中效果不佳,也无法检测未知的僵尸网络.针对这些问题,本文提出了基于流量摘要的僵尸网络检测方法,首先将原始流数据按照源主机地址聚合,划分适当的时间窗口生成流量摘要记录,然后构建决策树、随机森林和XGBoost机器学习分类模型.在CTU-13数据集上的实验结果表明,本文提出的方法能够有效检测僵尸流量,并且能够检测未知僵尸网络,此外,借助Spark技术也能满足现实应用中快速检测的需要.