Mobile botnet detection: a comprehensive survey

International Journal of Information Security - The number of people using mobile devices is increasing as mobile devices offer different features and services. Many mobile users install various...     

基于协议分析的IRC僵尸网络检测方法

IRC协议的利用使僵尸网络趋向智能化,给僵尸网络的检测带来很大难度。通过深入研究IRC僵尸网络运行机制和网络行为交互特征,提出了一种基于IRC协议分析的僵尸网络检测方法——BotDetector,采用流量预处理、IRC协议解析还原、控制命令的模式匹配等关键技术,BotDetector实现了高效、快速的IRC僵尸网络实时检测功能。实验结果表明,BotDetector对于IRC僵尸网络的检测行之有效。     

基于集成学习的僵尸网络在线检测方法

针对现有的僵尸网络研究工作所检测的僵尸网络生命周期的阶段较为单一的问题,提出基于集成学习的僵尸网络在线检测方法。首先,细粒度地标记僵尸网络多个阶段的流量,生成僵尸网络数据集;其次,结合多种特征选择算法生成包含23个特征的重要特征集和包含28个特征的次重要特征集,基于Stacking集成学习技术集成多种深度学习模型,并针对不同的初级分类器提供不同的输入特征集,得到僵尸网络在线检测模型;最后,将僵尸网络在线检测模型部署在网络入口处在线检测多种僵尸网络。实验表明,所提基于集成学习的僵尸网络在线检测方法能够有效地检测出多个阶段的僵尸网络流量,恶意流量检测率可达96.47%。     

基于DNS查询行为的Bot检测

提出一种基于DNS查询行为的检测方法。根据Bot的自动运行特性,从DNS查询的角度对主机中的进程进行初步过滤,缩小检测范围;分析Bot与其他进程的DNS反应行为模式的异同,构建Bot-DNS检测模型,在此基础上判断可疑进程是否为Bot。实验结果表明,该方法能够检测出处于生命周期早期阶段的Bot,且检测过程与Bot采用的协议结构无关,具有较好的检测效果。     

基于snort僵尸网络检测系统的设计与实现

为了准确检测僵尸网络等恶意流量,提出以snort为核心模块,通过对网络流量的抓取、分析,以及后端数据库和前端页面的相关设计,实现了一个入侵检测系统。该系统可以实时的监测网络流量从而快速检测出网络攻击行为,及时地发出警告信息,该系统具有良好的扩展性和可移植性。     

基于W-Kmeans算法的DNS流量异常检测

为了对DNS查询进行有效检测,及时发现DNS流量异常,提出了适合于检测DNS流量异常的权重Kmeans (WKmeans)算法.对CN顶级域2009年5月19日的原始查询日志抽取有用信息,提取相关的向量特征,对不同的向量特征赋予不同的权重值.利用W-Kmeans算法对查询日志进行聚类检测,并分析了算法各种参数选择的影响.5.19事件的DNS查询检测结果表明,W-Kmeans算法可以有效检测DNS流量异常的发生.     

基于Counting Bloom Filter的DNS异常检测

鉴于失败的DNS查询（failed DNS query）能提供恶意网络活动的证据,以DNS查询失败的数据为切入口,提出一种轻量级的基于Counting Bloom Filter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常,适用于僵尸网络、分布式拒绝服务（DDoS）攻击等异常检测的前期筛选和后期验证。     

基于流量切片的DNS隐蔽通道检测

针对DNS隐蔽信道(DCC)流量变形策略对现有检测方法的绕过性问题,提出了一种基于流量切片的DCC检测方法。该方法首先将实验环境出口流量基于滑动窗口分批,再基于主机端聚合形成流量切片,每个切片包含一个较短时间跨度中归属同一主机的DNS报文与Web报文,再对切片内DNS报文的数据量、请求行为、响应行为以及与Web报文的关联行为实施面向DCC检测的特征工程,并在此基础上建立DCC检测模型。对比实验表明,所构建的DCC检测模型在常规DCC流量切片集上检测准确性达到99.83%,误报率仅0.08%,在6类不同流量变形策略的变形DCC流量切片集上有平均95%以上的检出能力,远优于其他检测方案,证明了所提出的方法应对DCC流量变形的有效性。同时,该方法能在主机单个流量切片上对DCC通信作出有效检测,是一种具有良好实时性的检测方法。     

电力系统僵尸网络检测分析

为了应对电力系统中日趋严重的安全问题,阐述了僵尸网络在电力二次系统中部署和传播的可能性,分析了僵尸网络在活动时产生的报文特征和流量的行为特性,并针对电力二次系统僵尸网络的特点,提出了两种可部署于网络分析仪的僵尸网络检测方法,分别是基于深度包检测技术的异常协议识别方法和基于循环自相关和X-means聚类的流序列特征分析方法。实验证明,这两种方法均具有良好的检测效果,其中,异常协议识别方法在特定场景下将失效,而流序列特征分析方法具有更好的通用性。     

DCA算法在僵尸网络检测中的应用

Greensmith根据树突状细胞机理设计实现了树突状细胞算法DCA(Dendritic Cell Algorithm),并将其用于入侵检测系统中。实验结果表明,该算法具有较高的效率,并得到了广泛的应用。本文对DCA算法进行了描述并简要介绍了其在僵尸网络检测中的应用,具有实际意义。     

基于互联网上的DNS攻击方式与检测预防措施

DNS服务是一项基础网络服务,在Internet服务中占据着非常重要的地位,其安全性至关重要。本文从DNS的工作原理入手,介绍DNS的几种常见攻击方式,针对性地提出了域名服务器自身安全、事务签名、DNS安全扩展（DNSSEC）等检测和防御的方法。     

基于深度学习的视频异常检测方法综述

近年来,随着视频监控技术的广泛应用,对海量视频进行智能分析并及时发现其中的异常状态或事件的视频异常检测任务受到了广泛关注。对基于深度学习的视频异常检测方法进行了综述。首先,对视频异常检测问题进行概述,包括基本概念、基本类型、建模流程、学习范式及评价方式。其次,提出将现有基于深度学习的视频异常检测方法分为基于重构的方法、基于预测的方法、基于分类的方法及基于回归的方法4类并详细阐述了各类方法的建模思想、代表性工作及其优缺点。然后,在此基础上介绍了常用的单场景视频异常检测公开数据集和评估指标,并对比分析了代表性异常检测方法的性能。最后,总结全文并从数据集、方法及评估指标3方面对视频异常检测研究的未来发展方向进行了展望。     

基于深度学习的视觉目标检测技术综述

视觉目标检测旨在定位和识别图像中存在的物体,属于计算机视觉领域的经典任务之一,也是许多计算机视觉任务的前提与基础,在自动驾驶、视频监控等领域具有重要的应用价值,受到研究人员的广泛关注。随着深度学习技术的飞速发展,目标检测取得了巨大的进展。首先,本文总结了深度目标检测在训练和测试过程中的基本流程。训练阶段包括数据预处理、检测网络、标签分配与损失函数计算等过程,测试阶段使用经过训练的检测器生成检测结果并对检测结果进行后处理。然后,回顾基于单目相机的视觉目标检测方法,主要包括基于锚点框的方法、无锚点框的方法和端到端预测的方法等。同时,总结了目标检测中一些常见的子模块设计方法。在基于单目相机的视觉目标检测方法之后,介绍了基于双目相机的视觉目标检测方法。在此基础上,分别对比了单目目标检测和双目目标检测的国内外研究进展情况,并展望了视觉目标检测技术发展趋势。通过总结和分析,希望能够为相关研究人员进行视觉目标检测相关研究提供参考。     

基于智能合约的高对抗性僵尸网络研究

区块链技术的发展与应用使构建更为鲁棒和灵活的僵尸网络命令控制信道成为可能.为了更好地研究这类潜在的新型僵尸网络威胁,提出基于区块链智能合约的高对抗性僵尸网络模型——SCBot.SCBot模型采用分层混合拓扑结构,在僵尸子网层构建基于智能合约的命令传递信道,并建立可信度评估机制判别节点真实性,从流量和终端两大层面提升网络...     

基于深度学习的小目标检测综述

目标检测是计算机视觉研究领域的核心问题和最具挑战性的问题之一,随着深度学习技术的广泛应用,目标检测的效率和精度逐渐提升,在某些方面已达到甚至超过人眼的分辨水平.但是,由于小目标在图像中覆盖面积小、分辨率低和特征不明显等原因,现有的目标检测方法对小目标的检测效果都不理想,因此也诞生了很多专门针对提升小目标检测效果的方法....     

IRC僵尸网络检测方法研究

僵尸网络是互联网网络的重大安全威胁之一,本文对僵尸网络的工作机制进了详细介绍,对僵尸网络的通信特征进行了研究分析,提出了一种新的检测方案,详细阐述了僵尸网络通信过程和检测原理,并对关键技术进行了设计实现。     

基于域的P2P僵尸网络防御体系

针对当前传统安全技术不能对P2P环境下的僵尸网络进行有效防御的问题,在P2P僵尸网络病毒的一般性行为特征的基础上,设计了一种基于域的P2P僵尸网络的防御体系,并提出了利用僵局网络通信数据流特征向量的相似度分析解决因僵尸结点过少,无法检测出IP聚焦而无法识别僵尸结点的问题.该防御体系采用层次化结构,按P2P网络的逻辑地址段划分域,在城内采用将主机恶意行为与P2P流识别相结合的方法判别僵尸网络的通信数据流并提取特征向量.实验结果表明,该体系具有较高的性能和通用性.     

A survey on event detection based video summarization for cricket

Multimedia Tools and Applications - Nowadays, sports video analysis is gaining a lot of traction. Cricket is an exciting team sport to watch. Cricket is becoming more popular, but due to the...     

A comprehensive survey on deep learning based malware detection techniques

Recent theoretical and practical studies have revealed that malware is one of the most harmful threats to the digital world. Malware mitigation techniques have evolved over the years to ensure security. Earlier, several classical methods were used for detecting malware embedded with various features like the signature, heuristic, and others. Traditional malware detection techniques were unable to defeat new generations of malware and their sophisticated obfuscation tactics. Deep Learning is increasingly used in malware detection as DL-based systems outperform conventional malware detection approaches at finding new malware variants. Furthermore, DL-based techniques provide rapid malware prediction with excellent detection rates and analysis of different malware types. Investigating recently proposed Deep Learning-based malware detection systems and their evolution is hence of interest to this work. It offers a thorough analysis of the recently developed DL-based malware detection techniques. Furthermore, current trending malwares are studied and detection techniques of Mobile malware (both Android and iOS), Windows malware, IoT malware, Advanced Persistent Threats (APTs), and Ransomware are precisely reviewed.     

基于通信相似度的僵尸网络节点检测方法

目前,僵尸网络检测方法大多依靠对僵尸网络通信活动或通信内容的分析,前者对数据流的特征进行统计分析,不涉及数据流中的内容,在检测加密类型方面具有较强优势,但准确性较低;后者依赖先验知识进行检测,具有较强的准确度,但检测的通用性较低。因此,根据杰卡德相似度系数定义了通信相似度,并提出了一种基于用户请求域名系统（DNS,domain name system）的通信相似度计算方法,用于基于网络流量的僵尸网络节点检测。最后,基于Spark框架对所提出的方法进行了实验验证,实验结果表明该方法可以有效地用于僵尸网络节点检测。