僵尸网络活动调查分析

僵尸网络已经成为网络攻击者首选的攻击平台，用以发起分布式拒绝服务攻击、窃取敏感信息和发送垃圾邮件等，对公共互联网的正常运行和互联网用户的利益造成了严重的威胁。较大规模地发现和监测实际僵尸网络的活动行为并对其规律进行深入调查分析，是更为全面地监测僵尸网络和对其实施反制的必要前提。通过对所监测的1961个实际僵尸网络的活动情况进行了深入调查和分析，从中给出了僵尸网络数量增长情况、控制服务器分布、僵尸网络规模、被控主机分布以及僵尸网络各种攻击行为的分析结果。     

基于僵尸网络流量特征的深度学习检测

僵尸网络作为一种新型攻击方式,如今已成为互联网安全领域面临的重大威胁。随着计算机网络的发展,僵尸网络逐渐从传统的基于IRC协议向基于HTTP协议转变。海量的HTTP数据流使得僵尸网络可以有效的隐藏自身,这给僵尸网络的检测和识别增加了难度。通过分析HTTP网络流量,获取僵尸网络流量特征,提出将深度学习应用于僵尸网络检测的方法。实验结果显示,该方法可以有效地、准确地从HTTP流量中检测僵尸网络。     

僵尸网络分析及其防御

近年来随着计算机网络技术的发展,网络攻击事件频繁发生,使网络安全受到极大挑战。僵尸网络以其强大的破坏性,成为计算机网络安全面临的最大安全威胁之一。通过分析比较僵尸网络的典型拓扑结构、特点和命令控制机制等,清晰揭示了僵尸网络及其网络行为过程和发展趋势,据此,给出通过检测、分析和阻断其命令控制机制的方法,防御反制僵尸网络的有效思路,为防御反制网络犯罪提供新的视角和参考。     

基于DNS流量分析识别加密货币矿工的研究和实现

随着加密货币的兴起，恶意挖矿在全球肆虐，成为国家整治的重点，而挖矿木马不断进化，以各种方式规避当前主流的挖矿监测手段。为解决这一问题，提出一种AI算法，基于运营商DNS流量、AAA日志和挖矿威胁情报数据，自动识别挖矿行为和矿工。通过模型训练和结果分析，选择使用GMM和Bisecting Kmeans混合模型对DNS查询和响应中的模式进行识别，实时准确地检测矿工及其行为规律。     

僵尸网络的演变与防御

本文简述了僵尸网络的定义,演变和最新的增长趋势,指出了其主要危害方式和影响。指出分层的防御是对应僵尸网络威胁的主要方式,并介绍了迈克菲研究室的最新研究成果——通过漏洞阻断、云安全和行为分析的模式对于僵尸网络在网络中的传播进行阻断。为僵尸网络的防御提供了有益的参考建议。     

基于覆盖率分析的僵尸网络控制命令发掘方法简

从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码空间。     

僵尸网络检测方法研究

僵尸网络是指由黑客通过多种传播手段入侵并控制的主机组成的网络.僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要.本文首先介绍了僵尸网络的结构,着重对僵尸网络的命令与控制信道进行了讨论,接着详细介绍了基于主机信息的、基于流量监测的和基于对等网络的僵尸网络检测方法,并进行了比较和讨论.     

僵尸网络的发现与控制

从僵尸网络基本概念入手，通过分析其工作原理和攻击特征，介绍了一些发现及控制方法，以及僵尸网络的发展趋势和未来的研究重点。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

一种基于流量分析的P2P僵尸网络检测模型

梳理了P2P流量识别与基于流量分析的P2P僵尸网络检测的若干方法,在深入分析其各自优点与局限性的基础上提出了一种复合检测系统模型CAID。CAID模型由捕获、分析、识别和检测四部分组成,该模型针对P2P僵尸网络,通过流量的获取、识别与分析构建了完整的检测预警机制,为后续处理打下了坚实基础。最后,对该模型进行了实验分析。     

Check Point协助CIO大战僵尸网络

如今,僵尸网络主要被当作一种进入企业的后门程序。一旦进入,黑客们就会以静默方式存在,并在被发现前窃取尽可能多的信息。但不幸的是,僵尸网络一般都比较隐秘,很多公司甚至都意识不到自己的计算机被感染了,而安全团队也经常不了解僵尸网络所带来的威胁。僵尸网络是攻击者出于恶意目的,传播僵尸程序以控制大量计算机,并通过一对多的命令与控制信道所组成的网络,它使得网络犯罪分子能控制计算机并进行非法活动,包括窃取数据、未经授权获取网络资源、发动拒绝服务攻击(DoS)或发送垃圾邮件等。     

基于P2P的僵尸网络及其防御

 僵尸网络作为网络犯罪活动的平台,正朝着P2P等分布式结构发展.研究僵尸网络的发展方向以及构建技术,有助于我们全面地了解僵尸网络活动的特点,从而更好地开展僵尸网络的检测和防范研究.本文分析了攻击者的需求,提出了一种基于层次化P2P网络技术的新型僵尸网络结构,并对这种僵尸网络的可行性和具体的传播、通讯、控制等各个方面进行了深入分析和探讨.在此基础上,我们通过模拟实验对各种防御策略的有效性进行了分析和评估,实验数据表明,在考虑实际可操作性条件下,现有的防御策略难以有效摧毁P2P结构僵尸网络.最后,我们讨论了这种新型僵尸网络可能的防御方法.     

基于深度学习的域名查询行为向量空间嵌入

提出一种新的分析DNS查询行为的方法,用深度学习机制将被查询域名和请求查询的主机分别映射到向量空间,域名或主机的关联分析转化成向量的运算。通过对2组真实的校园网DNS日志数据集的处理,发现该方法很好地保持了关联特性,使用降维处理以及聚类分析,不仅可以让人直观地发现隐含的关联关系,还有助于发现网络中的异常问题如botnet等。     

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击,僵尸网络对因特网安全已造成严重威胁。深入研究分析了僵尸网络的三种模型,并对僵尸网络的发现、追踪进行了探讨。     

流量自适应的移动僵尸网络云控机制研究

僵尸网络从传统恶意代码进化而来,随着智能手机的计算能力与移动互联网接入技术的快速发展,构建移动僵尸网络已成为一种潜在的威胁。针对移动互联网,提出一种具有流量自适应性的移动僵尸网络云控机制,通过分析用户的流量使用情况,在3G和Wi-Fi不同网络环境下采取不同的流量使用策略,使用自适应的调度算法执行僵尸指令。仿真实验证明,在确保僵尸网络命令有效执行的情况下,流量自适应调度算法可有效增强移动僵尸网络的隐蔽性和实时性。     

基于分布式的僵尸网络主动探测方法研究

僵尸网络是当前互联网上存在的一类严重安全威胁。传统的被动监控方法需要经过证据积累、检测和反应的过程,只能在实际恶意活动发生之后发现僵尸网络的存在。提出了基于僵尸网络控制端通信协议指纹的分布式主动探测方法,通过逆向分析僵尸网络的控制端和被控端样本,提取僵尸网络通信协议,并从控制端回复信息中抽取通信协议交互指纹,最后基于通信协议指纹对网络上的主机进行主动探测。基于该方法,设计并实现了ActiveSpear主动探测系统,该系统采用分布式架构,扫描所使用的IP动态变化,支持对多种通信协议的僵尸网络控制端的并行扫描。在实验环境中对系统的功能性验证证明了方法的有效性,实际环境中对系统扫描效率的评估说明系统能够在可接受的时间内完成对网段的大规模扫描。     

僵尸网络对互联网安全的威胁和治理措施

僵尸网络是指控制者通过传播恶意代码感染、控制与互联网相连接的计算机,从而形成的控制者和大量被感染主机之间的一个可一对多控制的网络。它可以控制大量僵尸主机实现分布式拒绝服务攻击、垃圾邮件发送、信息窃取等攻击目的。僵尸网络成为目前互联网发展的严重威胁,需要从法规条例、技术研究与实践、宣传教育、国际合作等方面加强对僵尸网络的治理,保证互联网的健康发展。     

僵尸网络检测研究

僵尸网络是一种严重威胁网络安全的攻击平台。文章先给出僵尸网络的定义,然后分析其工作机制,命令与控制机制。针对当前主流的僵尸网络检测方法,按照不同的行为特征进行分类,根据僵尸网络的静态特征、动态特征以及混合特征,对当前的主要检测方法进行了归纳、分析和总结。并在文章最后提出,建立一个完备的僵尸网络检测模型需要将僵尸网络的动态特征检测模型与静态特征检测模型相互结合,而这才是僵尸网络检测模型未来发展的重点。     

僵尸电脑会影响企业的业务发展吗？

网络犯罪者需要利用企业系统从而最大化僵尸电脑的效率,他们常常利用恶意和难以监测的程序来控制一些电脑,把这些受控制的电脑集中在一起,形成僵尸网络,从而为他们的犯罪服务。这些网络犯罪人员不仅通过僵尸网络使服务器崩溃或大量传播病毒,而且利用僵尸网络能够提供有效的、分布式的架构,对企业信息发动大规模的攻击以及垃圾邮件攻击。因此,     

P2P僵尸网络检测技术

僵尸网络是目前互联网安全最严重的威胁之一.与IRC僵尸网络比,基于P2P协议控制的僵尸网络具有更强的安全性、鲁棒性和隐蔽性.文章介绍了典型P2P僵尸网络的工作原理,对其对等点发现机制进行了分类,分析了每类机制的弱点,在此基础上给出了相应的僵尸网络检测方法.