浅谈僵尸工具分析方法

网络上黑客泛滥,他们利用各种各样的僵尸工具控制僵尸（被植入控制程序的计算机）从而形成僵尸网络,对网络进行恶意行为,包括对某目标进行分布拒绝服务（DDoS）攻击,发送大量垃圾邮件,窃取密码,用户信息等重要资料。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络也是目前网络信息安全重点关心的一个话题。对僵尸网络和僵尸工具分析方法进行了介绍,并对网络上流行的僵尸工具的特征进行了分析统计,有助于发现网络上的僵尸网络及潜伏的黑客。     

Spampot:基于分布式蜜罐的垃圾邮件捕获系统

Spampot是一个基于分布式低交互蜜罐的垃圾邮件捕获系统,在对SMTP,HTTP proxy和SOCKS协议分析研究的基础上,实现了集成开放中继(open relay)与开放代理(open proxy)服务的邮件蜜罐系统;建立了垃圾邮件发送者攻击行为特征库、新型垃圾邮件样本库、垃圾邮件发送者源IP地址黑名单库、垃圾邮件提取URL黑名单库等数据库系统.讨论了邮件蜜罐系统在实现和部署时应考虑的一些具体问题,使其既可以提高对垃圾邮件发送者的吸引力,又避免被反垃圾邮件组织列入黑名单,最大限度地降低蜜罐系统对网络资源的占用,从而可以维持蜜罐系统的长期运行和有效工作;在6个月的实际部署中捕获了大量的攻击行为和垃圾邮件样本,通过对数据进行分析,发现了垃圾邮件发送者行为新特征和垃圾邮件新技术,并发现了用于大规模发送垃圾邮件的僵尸网络.     

卡巴斯基：全球垃圾邮件比例略有上升

反垃圾邮件软件厂商一直在努力保护计算机用户免遭各种垃圾邮件的骚扰和危害,但很多时候,他们对于垃圾邮件的源头却无能为力。这是因为这些厂商没有资源和权力去干涉垃圾邮件域名的注册和运营,也无法关闭那些为僵尸网络控制中心提供域名托管服务的服务器,从而摧毁用于发送垃圾邮件的僵尸网络。     

CNCERT/CC狙击僵尸网络

从2004年开始至今,僵尸网络受到世界各地越来越多的重视。僵尸网络(恶意的Botnet)是当前流行的网络仿冒、拒绝攻击、发送垃圾邮件的支持平台。僵尸网络的控制者可以从这些攻击中获得经济利益,例如发送垃圾邮件、窃取个人信息、通过DDos攻击进行敲诈等,这也是僵尸网络日益发展的     

发动拒绝服务攻击 窃取用户敏感信息 僵尸网络横行 危害网络世界——CNCERT／CC狙击僵尸网络

从2004年开始至今，僵尸网络受到世界各地越来越多的重视。僵尸网络（恶意的Botnet）是当前流行的网络仿冒、拒绝攻击、发送垃圾邮件的支持平台。僵尸网络的控制者可以从这些攻击中获得经济利益，例如发送垃圾邮件、窃取个人信息、通过DDos攻击进行敲诈等，这也是僵尸网络日益发展的重要推动力。     

基于Spark Streaming的僵尸主机检测算法

随着宽带互联网的广泛应用,产生了同时针对互联网服务提供商和用户的新型威胁,僵尸网络。僵尸网络通过多类传播和感染程序,构建一个可一对多控制的网络,操控大量僵尸主机发起DDoS攻击、发送垃圾邮件、偷窃敏感数据和钓鱼等恶意行为。本文的目标是基于一种分布式实时处理框架,提出一种分布式的僵尸主机检测算法,该算法能够充分利用网络流量的统计数据IPFIX,在无需深度包解析的情况下,能够识别僵尸主机行为。同时,本文使用该算法实现了IPFIXScanner原型系统,系统的鲁棒性和可扩展性是设计该系统的核心原则。实验表明,IPFIXScanner原型在使用指定僵尸家族样本训练的情况下,对于特定类的僵尸主机能够获得较高的检出率和较低的误报率。在核心交换机上的测试结果表明,IPFIXScanner能够进行分布式的实时检测,加速比接近线性,验证了Spark Streaming引擎在分布式流处理方面的优势,以及用于僵尸主机检测方面的可行性。     

僵尸网络命令与控制信道的特征提取模型研究

僵尸网络发起的分布式拒绝服务攻击、垃圾邮件发送以及敏感信息窃取等恶意活动已经成为网络安全面临的重要威胁。命令与控制信道正是僵尸网络操纵这些恶意活动的唯一途径。利用命令与控制信道中攻击命令具有相对固定的格式和命令字的特点,基于现有的特征提取技术,针对边缘网络的可疑流量,提出了一个新型的特征提取模型。实验结果表明,该模型能够准确地提取出具有命令格式的特征,而且由这些特征转化的入侵检测规则能够有效识别感染的僵尸主机。     

垃圾邮件行为识别技术研究

对反垃圾邮件行为识别技术进行了研究。提出了一种基于会话层的垃圾邮件识别方法,在分析发送过程中的邮件行为特征基础上,提取出能够区分垃圾邮件和正常邮件的行为特征,并采用支持向量机分类算法建立行为特征识别模型,找出垃圾邮件行为规律。该方法在邮件正文发送之前对垃圾邮件进行过滤,能够有效地节省带宽。采用真实的邮件数据集合分别使用行为识别技术与基于内容的过滤技术进行实验,验证该技术具有较好的邮件分类能力。     

全球垃圾邮件比例略有上升

反垃圾邮件软件厂商一直在努力保护计算机用户免遭各种垃圾邮件的骚扰和危害,但很多时候,他们对于垃圾邮件的源头却无能为力。这是因为这些厂商没有资源和权力去干涉垃圾邮件域名的注册和运营,也无法关闭那些为僵尸网络控制中心提供域名托管服务的服务器,从而摧毁用于发送垃圾邮件的僵尸网络。但是反垃圾邮件软件厂商却可以提供一些专业的打击垃圾邮件的建议。而想要真正抑制垃圾邮件的发展,则需要有效的反垃圾邮件立法以及执法机关的共同合作。     

基于网络会话层的垃圾邮件行为识别

目前最流行的邮件内容过滤技术工作在网络应用层,通过对邮件内容的分析来判别邮件的合法性,无法避免由于垃圾邮件的泛滥而造成的网络带宽资源的浪费。针对这种情况,论文提出一种基于网络会话层的垃圾邮件行为识别方法。该方法运用决策树算法,对邮件发送过程中的网络会话层数据进行挖掘,发现垃圾邮件的行为规律,在垃圾邮件的内容数据发送前就对其实施过滤,有效地解决了垃圾邮件占用网络带宽的问题,是对当前各种垃圾邮件过滤技术的一个有益的补充。     

中文垃圾邮件变异特征检测研究

通过对比垃圾邮件的变化,以及对垃圾邮件制造者目的的分析,总结出中文垃圾邮件特性变异的趋势。针对中文垃圾邮件变异的几个重要特性,以及中文的语言特点,在反垃圾邮件系统中加入拼音转换模块、繁简体转换模块和正则表达式匹配模块。实验结果表明,该方法能够取得较高的垃圾邮件变异特征识别率。     

Behavioral analysis of botnets for threat intelligence

This paper examines the behavioral patterns of fast-flux botnets for threat intelligence. The Threat Intelligence infrastructure, which we have specifically developed for fast-flux botnet detection and monitoring, enables this analysis. Cyber criminals and attackers use botnets to conduct a wide range of operations including spam campaigns, phishing scams, malware delivery, denial of service attacks, and click fraud. The most advanced botnet operators use fast-flux infrastructure and DNS record manipulation techniques to make their networks more stealthy, scalable, and resilient. Our analysis shows that such networks share common lifecycle characteristics, and form clusters based on size, growth and type of malicious behavior. We introduce a social network connectivity metric, and show that command and control and malware botnets have similar scores with this metric while spam and phishing botnets have similar scores. We describe how a Guilt-by-Association approach and connectivity metric can be used to predict membership in particular botnet families. Finally, we discuss the intelligence utility of fast-flux botnet behavior analysis as a cyber defense tool against advanced persistent threats.     

Identifying botnets by capturing group activities in DNS traffic

Botnets have become the main vehicle to conduct online crimes such as DDoS, spam, phishing and identity theft. Even though numerous efforts have been directed towards detection of botnets, evolving evasion techniques easily thwart detection. Moreover, existing approaches can be overwhelmed by the large amount of data needed to be analyzed. In this paper, we propose a light-weight mechanism to detect botnets using their fundamental characteristics, i.e., group activity. The proposed mechanism, referred to as BotGAD (botnet group activity detector) needs a small amount of data from DNS traffic to detect botnet, not all network traffic content or known signatures. BotGAD can detect botnets from a large-scale network in real-time even though the botnet performs encrypted communications. Moreover, BotGAD can detect botnets that adopt recent evasion techniques. We evaluate BotGAD using multiple DNS traces collected from different sources including a campus network and large ISP networks. The evaluation shows that BotGAD can automatically detect botnets while providing real-time monitoring in large scale networks.     

基于复杂网络的垃圾短信过滤算法

对垃圾短信发送用户的识别和过滤具有十分重要的研究价值和社会意义. 随着新形式和内容的垃圾短信出现, 传统的关键字匹配和发送速度频率过滤方法无法有效地处理这一问题. 在对短信发送/接收网络形式化表达的基础上, 以真实短信发送和接收以及通话关系数据为例, 统计和分析了短信发送网络的网络特性. 进一步分析和挖掘了垃圾短信用户在网络上发送接收的异常模式和行为, 并以此提出了一个基于语音关联程度和短信回复比率的过滤算法(NASFA算法). 通过实验和分析表明, 本文的算法能够高效地识别垃圾短信发送用户, 同时能够有效地控制将正常用户误识别为垃圾短信用户的比率.     

拓扑相似性垃圾邮件行为识别技术研究

对基于流的垃圾邮件行为识别技术进行了研究。根据垃圾邮件与正常邮件通信拓扑具有较大差异的特性,引入相似度的概念,提出了一种基于拓扑相似性的垃圾邮件行为识别方法。该方法以收发件人联系表来表征收发件人,计算用户相似度以此将邮件用户划分为多个邮件用户群,通过计算邮件收发件人归属判别邮件是否为垃圾邮件。采用一个辅助分类器方便对原始邮件用户进行判别和分组,最后用真实的邮件集进行实验,结果证明基于拓扑结构相似性分类方法有较好的分类能力。     

对垃圾邮件过滤技术的问题研究

近年来,电子邮件方便人们的生活,同时,也有大量的垃圾邮件不断涌现,随之也出现了各种垃圾邮件过滤技术。文中主要介绍基于信件源垃圾邮件过滤技术和基于内容的垃圾邮件过滤技术,通过对这两种技术的介绍,分析了垃圾邮件过滤技术的优缺点,并对垃圾邮件过滤技术中存在的问题进行了讨论。垃圾邮件发送者不断改变发送策略以逃避过滤技术的过滤,垃圾邮件发送策略也不断的更新。文中对近年来垃圾邮件发送的新策略进行了详细的阐述,讨论目前垃圾邮件过滤技术研究中遇到的问题和挑战。     

A Learning Model to Detect Android C&C Applications Using Hybrid Analysis

Smartphone devices particularly Android devices are in use by billions of people everywhere in the world. Similarly, this increasing rate attracts mobile botnet attacks which is a network of interconnected nodes operated through the command and control (C&C) method to expand malicious activities. At present, mobile botnet attacks launched the Distributed denial of services (DDoS) that causes to steal of sensitive data, remote access, and spam generation, etc. Consequently, various approaches are defined in the literature to detect mobile botnet attacks using static or dynamic analysis. In this paper, a novel hybrid model, the combination of static and dynamic methods that relies on machine learning to detect android botnet applications is proposed. Furthermore, results are evaluated using machine learning classifiers. The Random Forest (RF) classifier outperform as compared to other ML techniques i.e., Naïve Bayes (NB), Support Vector Machine (SVM), and Simple Logistic (SL). Our proposed framework achieved 97.48% accuracy in the detection of botnet applications. Finally, some future research directions are highlighted regarding botnet attacks detection for the entire community.     

基于协同过滤的垃圾邮件过滤系统

针对当前垃圾邮件过滤技术中邮件性质评价难及邮件附件判断难的问题,提出协同过滤模型,设计一个多层次垃圾邮件过滤系统。该系统针对垃圾邮件一般群发给多人的特点,提取用户的操作和阅读速度进行反馈,利用他人的反馈结果进行协同过滤。实验和分析结果表明,协同过滤技术有效地提高了垃圾邮件过滤的召回率。     

垃圾邮件行为识别技术的研究与实现*

针对目前垃圾邮件制造者不断利用新技术和新方法,使垃圾邮件的内容和发送手段等都发生了明显的变化,对传统基于内容的反垃圾邮件技术提出了严峻挑战的问题,提出了一种主动式的垃圾邮件行为识别技术.通过分析当前垃圾邮件的通信行为和MTA通信原理,提出了追踪源头认证、信誉验证和质询验证行为识别技术,详细阐述了它们在MTA通信连接的不同阶段对垃圾邮件进行识别与拦截的方法,并给出了整个行为识别算法.最后设计了一个可扩展性良好的垃圾邮件过滤网关并进行了实验.实验结果表明,提出的识别技术真正实现了与内容无关、语言类型无关的邮件实时过滤,并具有良好的效率和准确率.