全球垃圾邮件比例略有上升

反垃圾邮件软件厂商一直在努力保护计算机用户免遭各种垃圾邮件的骚扰和危害,但很多时候,他们对于垃圾邮件的源头却无能为力。这是因为这些厂商没有资源和权力去干涉垃圾邮件域名的注册和运营,也无法关闭那些为僵尸网络控制中心提供域名托管服务的服务器,从而摧毁用于发送垃圾邮件的僵尸网络。但是反垃圾邮件软件厂商却可以提供一些专业的打击垃圾邮件的建议。而想要真正抑制垃圾邮件的发展,则需要有效的反垃圾邮件立法以及执法机关的共同合作。     

基于域名系统流量的Fast-Flux僵尸网络检测方法

在僵尸网络中,为保持服务器的可用性和隐蔽性,与域名关联的Flux-Agent的IP地址需要不停地变动,而黑名单策略对于阻止Fast-Flux僵尸网络攻击已经失效。为解决该问题,基于域名系统流量的分析和识别技术,提出一种新的Fast-Flux僵尸网络检测方法,用于检测互联网中使用Fast-Flux技术的僵尸网络,且对域名的分析不局限于来自垃圾邮件、点击欺诈或黑名单列表的可疑域名。实验结果表明,该方法能够以较高的准确率检测Fast-Flux僵尸网络,并且有利于完善黑名单列表。     

基于垃圾邮件发送模型的僵尸网络监测

僵尸网络可以用于发送垃圾邮件,这意味着如果能够对垃圾邮件的发送行为进行建模,也能够很好地检测僵尸网络。本文提出几种垃圾邮件发送模型,对各种垃圾邮件发送行为进行了区分,基于主题特征产生的协同程度提出了僵尸网络指数,其中重点对其在僵尸网络监测效果进行了验证,发现这个模型和指数能够用于有效发现发送邮件的僵尸网络。     

Domain-flux僵尸网络域名检测

针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法。实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的域名。     

发动拒绝服务攻击 窃取用户敏感信息 僵尸网络横行 危害网络世界——CNCERT／CC狙击僵尸网络

从2004年开始至今，僵尸网络受到世界各地越来越多的重视。僵尸网络（恶意的Botnet）是当前流行的网络仿冒、拒绝攻击、发送垃圾邮件的支持平台。僵尸网络的控制者可以从这些攻击中获得经济利益，例如发送垃圾邮件、窃取个人信息、通过DDos攻击进行敲诈等，这也是僵尸网络日益发展的重要推动力。     

僵尸网络关键字

僵尸网络现在依然是一个比较热门的话题,在很多其他分类别的网络安全问题讨论中,都会涉及到僵尸网络的问题。例如分布式拒绝服务攻击、垃圾邮件、网络钓鱼等等,僵尸网络都是背后的主要"帮凶"。因此,针对僵尸网络的研究和探讨,     

僵尸网络中的关键问题

僵尸网络是一种复杂、灵活、高效的网络攻击平台,在互联网中分布非常广泛.僵尸网络使攻击者具备了实施大规模恶意活动的能力,如发送垃圾邮件、发动分布式拒绝服务攻击等.由于其危害日益严重,僵尸网络已经成为网络安全研究的热点之一.但是近年来,僵尸网络新的发展、变化,突破了以往对僵尸网络的认知.文中分析僵尸网络的现有研究,对僵尸网络进行了重新定义,并从网络结构、网络独立性和信息传递方式等角度对僵尸网络的类型进行了划分;然后,梳理了僵尸网络检测技术、测量技术和反制技术等方面的工作;最后,给出了僵尸网络的演化趋势和未来研究方向.     

僵尸网络及检测技术探索

通过综述僵尸网络的相关知识,提出基于行为与域关联的检测方法。对僵尸网络的行为流和域名查询流进行类聚,建立一种聚类联动的检测模型,以期突破基于特征的监测的局限性。本文分析了僵尸网络的相关知识和工作原理,重点分析基于Behavior-domain模型的僵尸网络检测方法。     

浅谈僵尸工具分析方法

网络上黑客泛滥,他们利用各种各样的僵尸工具控制僵尸（被植入控制程序的计算机）从而形成僵尸网络,对网络进行恶意行为,包括对某目标进行分布拒绝服务（DDoS）攻击,发送大量垃圾邮件,窃取密码,用户信息等重要资料。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络也是目前网络信息安全重点关心的一个话题。对僵尸网络和僵尸工具分析方法进行了介绍,并对网络上流行的僵尸工具的特征进行了分析统计,有助于发现网络上的僵尸网络及潜伏的黑客。     

卡巴斯基率先发布最强悍Flashfake专杀工具

日前,震惊互联网的针对MacOSX系统名为Flashfake(Flashback)的僵尸网络,感染了全球范围内670,000台计算机。针对这一僵尸网络的爆发,卡巴斯基实验室目前率先发布了一款具有针对性的最强悍专杀工具。据了解,本月初卡巴斯基实验室安全专家已经严密关注该僵尸网络,并对Flashfake恶意软件进行了逆向工程,注册了几个域名。这些域名可以被网络罪犯用来充当僵尸网络     

加强IT安全，还需执法保障

僵尸网络早已成为扰乱网民生活和危害IT安全的一大毒瘤,尽管世界各国执法机关已经采取措施陆续关闭过一些主要的僵尸网络,但现在每个月,仍然由成千上万的计算机加入僵尸网络。当前,大部分僵尸网络被用来散播垃圾邮件或者可以用来进行网络间谍活动的恶意软件。还有一些僵尸网络则被用来执行DDoS攻击或者作为从事其它网络犯罪活动的代理服务器。     

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.     

CNCERT/CC狙击僵尸网络

从2004年开始至今,僵尸网络受到世界各地越来越多的重视。僵尸网络(恶意的Botnet)是当前流行的网络仿冒、拒绝攻击、发送垃圾邮件的支持平台。僵尸网络的控制者可以从这些攻击中获得经济利益,例如发送垃圾邮件、窃取个人信息、通过DDos攻击进行敲诈等,这也是僵尸网络日益发展的     

一种基于Android系统的手机僵尸网络

提出一种基于Android系统的手机僵尸网络,设计命令控制信道及手机状态回收方式。分析僵尸手机的恶意行为,给出手机僵尸网络防劫持策略,包括多服务器策略、域名flux技术与身份认证系统,通过RSS及GZIP压缩技术降低僵尸程序消耗的网络流量。对手机僵尸网络的发展趋势及防御手段进行了讨论。     

僵尸网络规模趋于小型化、局部化和专业化

目前,僵尸网络由于发展迅速,已成为网络安全的最大隐患之一,也逐渐成为攻击的主要手段。攻击者既可以利用僵尸网络发起DDoS攻击、发送大量垃圾邮件和传播恶意代码等,也可以篡改或窃取被感染主机用户的敏感信息。为了不引起注意,躲避监测视线,从而更好地从事秘密活动,目前的僵尸网络规模总体上趋于小型化、局部化和专业化,主机数量为1千以内的僵尸网络居多。但是也存在规模巨大的僵尸网络,我们监测发现最大的曾经控制了境内外近130万台主机,这种被控制的巨大资源一旦被利用发动拒绝服务攻击,后果不堪设想。     

抓住病毒背后的黑手

垃圾邮件、网络拥堵、网站仿冒……如此多的网络威胁背后其实都隐藏着同样一只黑手——僵尸网络。杜跃进告诉我们,应对僵尸网络最重要的是从自身做起,提高企业的安全管理意识,保证自己是“干净”的,才有可能从被动防御转为积极应对。     

互联网治理尴尬博弈——当自由遭遇治理

网络犯罪、垃圾邮件、域名安全、网吧管理、网络知识产权保护等问题伴随着互联网飞速发展纷至沓来之时，互联网治理便不可避免。     

基于邮件特征匹配的Botnet检测方法

为降低特征提取的复杂度,提高分类速度,提出了一种基于邮件特征匹配的僵尸网络检测方法.不依赖于邮件具体内容和网络流量分析,通过对原始邮件进行概化,进而得到邮件特征值,然后利用海林格距离在僵尸网络邮件特征库中找到最匹配的值,从而检测发送垃圾邮件的僵尸网络类型.实验结果表明,该方法在预构建特征库的情况下对大量邮件进行分析,具有较高的效率和正确率.     

基于组行为特征的恶意域名检测

目前,僵尸网络广泛采用域名变换技术,以避免域名黑名单的封堵,为此提出一种基于组行为特征的恶意域名检测方法。该方法对每个检测周期内网络中主机请求的新域名集合、失效域名集合进行聚类分析,并将请求同一组新域名的主机集合作为检测对象,通过分析集合内主机在请求失效域名、新域名行为上是否具有组特性,提取出网络中的感染主机集合、C&C服务器使用的IP地址集合。对一ISP域名服务器监测的结果表明,该方法可准确提取出感染主机、C&C服务器IP地址。     

基于通信特征曲线动态时间弯曲距离的IRC僵尸网络同源判别方法

IRC僵尸网络(botnet)是攻击者通过IRC服务器构建命令与控制信道方式控制大量主机(bot)组成的网络.IRC僵尸网络中IRC服务器与bot连接具有很强的动态特性.相关研究采用IRC僵尸网络的服务器域名、服务器IP、控制者ID等信息度量IRC僵尸网络的相似性,再根据相似性值检测同源IRC僵尸网络,但这些信息并不能代表IRC僵尸网络的本质特征,因此误差较大.为识别使用不同IRC控制服务器的同源僵尸网络,提取僵尸网络的通信量特征曲线、通信频率特征曲线,基于通信特征曲线的动态时间弯曲距离判别同源的僵尸网络.为了减小计算量和增加判别准确率,根据通信特征曲线的特点,提取并利用曲线的峰、谷特征点;并提出改进的LB-PAA对动态时间弯曲距离的计算进行优化.实验验证了方法的有效性并计算了各类错误率.