基于无尺度网络的僵尸网络传播模型

主流传播模型不能准确反映僵尸程序在Internet中的传播特性。针对该问题,提出一种基于无尺度网络结构的僵尸网络传播模型。该模型考虑了Internet网络的增长特性和择优连接特性,能够反映实际网络中的无尺度特性,更符合真实Internet网络中僵尸程序的传播规律和感染特性。     

无尺度网络下的僵尸网络传播模型研究

僵尸网络是一种从传统恶意代码进化而来的新型攻击方式,已成为Internet安全的一个重大威胁。建立僵尸网络的传播模型已成为研究僵尸程序传播特性最有效的一种方法。当前建立的僵尸网络传播模型均是基于随机网络理论的,而实际的Internet是一个具有无尺度特性的复杂网络,因此,这些主流传播模型并不能完全准确反映僵尸程序在Internet的传播特性。提出了一种基于无尺度网络结构的僵尸网络传播模型,根据Internet的实际情况,结合网络流量阻塞这一Internet中的常态现象,重点考虑了真实Internet中节点的增长性和择优连接性。仿真结果表明,该模型不仅符合真实Internet网络中僵尸程序的传播规律和感染特性,而且能够反映出网络中出现拥塞时僵尸程序的感染特性。     

无尺度网络下具有免疫特征的僵尸网络传播模型*

结合无尺度的特性,考虑僵尸网络传播过程中部分主机的免疫特性,提出一种无尺度网络下具有免疫特征的僵尸网络传播模型。该模型基于Internet的实际情况,重点考虑了无尺度网络的拓扑结构,并结合了僵尸网络中部分脆弱主机由于提前从易感染的网络中被移除而具有免疫特征的情况。通过MATLAB进行仿真,仿真结果表明,这种传播模型更符合真实网络中僵尸网络的传播规律。     

无尺度网络下具有双因素的僵尸网络传播模型

随着网络技术的发展,僵尸网络逐渐成为Internet上最具威胁的攻击平台.而现今的网络是随机网络、无尺度网络等构成的一个复杂网络.结合无尺度的特性,考虑僵尸网络传播过程中部分主机的免疫特性与网络阻塞特征,提出一种无尺度网络下具有双因素的僵尸网络传播模型.该模型基于Internet的实际情况,重点考虑了无尺度网络的拓扑结构,并结合了僵尸网络中部分脆弱主机由于提前从易感染的网络中移除而具有的免疫特征情况与传播过程中的网络流量阻塞情况.Matlab仿真结果表明,这种传播模型更符合真实网络中僵尸网络的传播规律.     

具有免疫特征的僵尸网络传播模型

僵尸网络是一种从传统恶意代码进化而来的新型攻击方式,已成为Internet安全的一个重大威胁。僵尸网络传播模型是研究僵尸程序传播特性最常用的一种方法,当前僵尸网络的主流传播模型并没有考虑到部分主机的免疫特性,因而目前的这些主流传播模型对僵尸程序在Internet上的传播特性反应得不够准确。提出了一种新的具有免疫特征的僵尸网络传播模型。该模型基于Internet的实际情况,重点考虑了Internet中部分脆弱主机由于提前从易感染的网络中移除而具有免疫特征。仿真结果表明,基于免疫特征的僵尸网络传播模型更符合真实Interne网络中僵尸程序的传播规律和感染特性。     

僵尸网络传播模型分析

为了让僵尸网络传播模型是更符合Internet中的僵尸网络的传播特性,基于简单病毒传播模型深入分析僵尸程序的传播特性,考虑了僵尸程序在传播过程中存在的网络流量阻塞、提前免疫主机和感染后免疫主机等因素,提出了一个新的僵尸网络传播模型,并进行了仿真实验。实验结果表明,该模型更符合僵尸程序在复杂网络中的传播特性,有利于僵尸网络的传播行为的分析和传播趋势的预测。     

具有变化感染率的僵尸网络传播模型

僵尸网络对网络安全的威胁已经引起了众多安全研究专家的高度重视。数学建模是研究僵尸网络传播特性 的一种有效方法。现有的僵尸网络传播模型假设感染率是常量。事实上,大量僵尸病毒爆发时会引起网络拥塞,从而 导致感染变慢。针对这一特点,提出一个具有变化感染率的僵尸网络传播模型。根据Intetne、的实际情况,在模型中 加入了预先免疫特征项。最后通过matlab模拟对比了提出的模型与已有模型在反映僵尸网络感染时的差异。实验 结果表明,具有变化感染率的僵尸网络传播模型能更准确地反映实际网络中僵尸程序的传播规律。     

具有异构感染率的僵尸网络建模与分析

僵尸网络作为共性攻击平台,采用目前先进的匿名网络和恶意代码技术为APT攻击提供了大量有效资源。为了有效控制僵尸网络的大规模爆发,需研究其构建规律。考虑到在传播过程中僵尸网络的不同区域具有不同的感染率,结合疾病传播模型,提出了一种具有异构感染率的僵尸网络传播模型。首先,通过对僵尸网络稳态特征的分析,使用平均场方法从动力学角度研究了其传播特性;然后,在BA网络中通过模拟实验来分析异构感染率如何影响僵尸网络的传播阈值。实验结果表明, 该模型更符合真实情况,且僵尸程序传播阈值和异构感染率的关系与节点数量无关。     

基于加权网络的僵尸网络传播模型研究

主要研究不同网络拓扑下的僵尸网络Botnet传播行为,重点研究基于两种加权网络下的僵尸网络传播特性。基于经典加权网络(BBV网络)的演化规则,在随机权重的基础上,提出随机增量的加权演化模型;通过模型仿真,发现基于随机加权的网络与其它两种网络拓扑下僵尸网络相比,表现出更强的健壮性,这与建模时的理论分析完全一致。仿真结果表明,与无标度网络下的传播模型相比,基于加权网络的传播模型更符合僵尸网络在实际网络中的传播特性。     

无尺度半分布式P2P僵尸网络的构建

鉴于僵尸网络具有无尺度网络的增长性和择优连接性,提出一种无尺度半分布式P2P僵尸网络的构建方法。僵尸程序在初始时只感染少数几台主机,之后每台受感染主机根据节点度数选择要连接的节点,度数越大,节点被感染的概率越高。理论分析和仿真结果表明,利用该方法构建的僵尸网络具有无尺度网络的2个重要特性。     

复杂网络上具有多感染阶段的传染病传播模型

针对传染病传播模型缺乏多感染阶段的不足,结合SIR和SEIR两种传播模型的特性,提出了一种改进的具有多感染阶段的SIR传染病传播模型(即SInR模型)。该模型充分考虑了不同感染阶段的非均匀感染力对不同网络结构上传染病传播及传播阈值的影响;同时引入相对感染力及传播时间尺度的概念,从网络结构、网络规模及相对感染力方面进行了仿真研究。仿真中无标度网络采用BA模型的生成算法,而小世界网络采用WS模型的生成算法。由仿真可知,感染节点在整个感染过程中大致服从泊松分布,因此在SInR模型下无标度网络的传播速度更快,范围更广;相对感染力对于传染病的大规模爆发存在着一个阈值,当感染力大于阈值时传染病才能大范围地爆发传播,而小于阈值时传染病只会局域小范围传播直至消失,无标度网络的感染力阈值为0.2,小世界网络的感染力阈值为0.24;随着网络规模的增大,传播时间尺度也在增大,相应的传播速度就会降低。仿真结果表明:该模型下无标度网络传染病传播速度更快且影响范围更大;无标度网络的相对传染力的传播阈值小于小世界网络,设置合理阈值有利于降低传染病的传播影响力。     

基于统计特征的隐匿P2P主机实时检测系统

针对当前隐匿恶意程序多转为使用分布式架构来应对检测和反制的问题,为快速精确地检测出处于隐匿阶段的对等网络(P2P)僵尸主机,最大限度地降低其危害,提出了一种基于统计特征的隐匿P2P主机实时检测系统。首先,基于3个P2P主机统计特征采用机器学习方法检测出监控网络内的所有P2P主机;然后,再基于两个P2P僵尸主机统计特征,进一步检测出P2P僵尸主机。实验结果证明,所提系统能在5 min内检测出监控网内所有隐匿的P2P僵尸主机,准确率高达到99.7%,而误报率仅为0.3%。相比现有检测方法,所提系统检测所需统计特征少,且时间窗口较小,具备实时检测的能力。     

Effective bot host detection based on network failure models

Botnet is one of the most notorious threats to Internet users. Attackers intrude into a large group of computers, install remote-controllable software, and then ask the compromised computers to launch large-scale Internet attacks, including sending spam and DDoS attacks. From the perspective of network administrators, it is important to identify bots in local networks. Bots residing in a local network could increase the difficulty to manage the network. Compared with bots outside of a local network, inside bots can easily bypass access controls applied to outsiders and access resources restricted to local users.In this paper, we propose an effective solution to detect bot hosts within a monitored local network. Based on our observations, a bot often has a differentiable failure pattern because of the botnet-distributed design and implementation. Hence, by monitoring failures generated by a single host for a short period, it is possible to determine whether the host is a bot or not by using a well-trained model. The proposed solution does not rely on aggregated network information, and therefore, works independent of network size. Our experiments show that the failure patterns among normal traffic, peer-to-peer traffic, and botnet traffic can be classified accurately. In addition to the ability to detect bot variants, the classification model can be retrained systematically to improve the detection ability for new bots. The evaluation results show that the proposed solution can detect bot hosts with more than 99% accuracy, whereas the false positive rate is lower than 0.5%.     

一种基于邻居节点间相互影响和改进概率的社交网络信息传播模型

目前网络传播动力学的研究焦点之一是以经典的传染病动力学模型为基础,来研究特定网络的信息传播规律。本文针对社交网络中信息传播的特点,在传统的SIR模型基础上,加入新的一类假免疫节点,建立了SDIR模型。并考虑到邻居节点间的相互影响,定义了三个传播概率函数,对SDIR模型做了改进。通过对比不同条件下信息传播的过程,实验证明了信息不能覆盖全网络,Twitter比新浪微博有更好的信息传播效率的推测,并发现初始传播概率会对信息传播有重要影响。     

EFFORT: A new host–network cooperated framework for efficient and effective bot malware detection

Bots are still a serious threat to Internet security. Although a lot of approaches have been proposed to detect bots at host or network level, they still have shortcomings. Host-level approaches can detect bots with high accuracy. However they usually pose too much overhead on the host. While network-level approaches can detect bots with less overhead, they have problems in detecting bots with encrypted, evasive communication C&C channels. In this paper, we propose EFFORT, a new host–network cooperated detection framework attempting to overcome shortcomings of both approaches while still keeping both advantages, i.e., effectiveness and efficiency. Based on intrinsic characteristics of bots, we propose a multi-module approach to correlate information from different host- and network-level aspects and design a multi-layered architecture to efficiently coordinate modules to perform heavy monitoring only when necessary. We have implemented our proposed system and evaluated on real-world benign and malicious programs running on several diverse real-life office and home machines for several days. The final results show that our system can detect all 17 real-world bots (e.g., Waledac, Storm) with low false positives (0.68%) and with minimal overhead. We believe EFFORT raises a higher bar and this host–network cooperated design represents a timely effort and a right direction in the malware battle.     

Detecting P2P botnets by discovering flow dependency in C&C traffic

Botnets are widely used by attackers and they have evolved from centralized structures to distributed structures. Most of the modern P2P bots launch attacks in a stealthy way and the detection approaches based on the malicious traffic of bots are inefficient. In this paper, an approach that aims to detect Peer-to-Peer (P2P) botnets is proposed. Unlike previous works, the approach is independent of any malicious traffic generated by bots and does not require bots’ information provided by external systems. It detects P2P bots by focusing on the instinct characteristics of their Command and Control (C&C) communications, which are identified by discovering flow dependencies in C&C traffic. After discovering the flow dependencies, our approach distinguishes P2P bots and normal hosts by clustering technique. Experimental results on real-world network traces merged with synthetic P2P botnet traces indicate that 1) flow dependency can be used to detect P2P botnets, and 2) the proposed approach can detect P2P botnets with a high detection rate and a low false positive rate.