基于垃圾邮件发送模型的僵尸网络监测

僵尸网络可以用于发送垃圾邮件,这意味着如果能够对垃圾邮件的发送行为进行建模,也能够很好地检测僵尸网络。本文提出几种垃圾邮件发送模型,对各种垃圾邮件发送行为进行了区分,基于主题特征产生的协同程度提出了僵尸网络指数,其中重点对其在僵尸网络监测效果进行了验证,发现这个模型和指数能够用于有效发现发送邮件的僵尸网络。     

基于SVM的Fast-flux僵尸网络检测技术研究

近些年出现的采用Fast-flux技术的僵尸网络,给网络安全带来了极大的威胁.因此,有效检测Fast-flux僵尸网络就成为网络安全研究者关注的热点问题.目前的检测方法都存在误报率较高的问题.针对这个不足,通过对Fast-flux僵尸网络数据进行分析,选取Fast-flux僵尸网络的六个典型特征,提出了基于SVM的Fast-flux僵尸网络的检测方法.实验表明,基于SVM的Fast-flux僵尸网络检测方法明显地降低误报率.     

基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.     

基于终端行为特征的IRC僵尸网络检测

目前已有的IRC僵尸网络检测算法存在两个问题:需要先验知识以获取匹配模式,无法满足实时处理需求.为解决这两个问题,文中提出了基于昵称和命令序列这两个终端行为特征的IRC僵尸网络检测算法.文中提出三种属性分别从内容、组成和结构三方面互补的刻画两个昵称的相似性,给出两个昵称相似性的量化因子,根据这量化因子生成弹性TRW算法以进行IRC僵尸网络实时检测.文中还在分析僵尸终端登录服务器的行为的基础上,提出了基于命令序列相似性的检测算法.算法评估实验证明两个算法行之有效.最后将这两个算法用于大规模网络环境中实时检测IRC僵尸网络,在两周内检测到162个僵尸频道.     

僵尸网络检测技术研究

由于全球网络都在遭受日益广泛的僵尸网络所带来的威胁,因此,必须加大对其防治.僵尸网络检测的方法分为三个部分:“僵尸网络静态特征检测技术”、“僵尸网络动态特征检测技术”、“僵尸网络混合特征检测技术”,分别指出了僵尸网络静态特征检测技术的缺陷就是误报率高、僵尸网络动态特征检测技术缺乏先验性和处理数据量大等缺点,最后指出,把...     

基于通信流量特征的隐秘P2P僵尸网络检测

针对目前基于网络的P2P僵尸网络检测中特征建模不完善、不深入的问题, 以及僵尸网络中通信具有隐蔽性的特点, 提出一种对通信流量特征进行聚类分析的检测方法。分析P2P僵尸网络在潜伏阶段的通信流量统计特征, 使用结合主成分分析法和X-means聚类算法的两阶段聚类方法对特征数据集进行聚类分析, 进而达到检测P2P僵尸网络的目的。实验结果表明, 该方法具有较高的检测率和较好的识别准确性, 并保证了较快的执行效率。     

社交僵尸网络发展综述

随着社交平台的发展,社交媒体网络逐渐成为攻击者进行僵尸网络渗透的理想平台。社交僵尸网络利用社交平台自动化程度高、灵活性强与普及度高等特性构建隐蔽信道进行通信,以达到窃取社交平台用户信息、散布不良信息污染网络环境、引导控制舆论等目的。传统的僵尸网络检测机制无法有效地检测社交僵尸网络,为社交媒体的安全性带来极大的挑战。从社交僵尸网络的概念入手,阐述社交僵尸网络在不同社交平台上的发展脉络和发展趋势,研究不同社交媒体上的社交僵尸网络攻击原理和群体特征以及隐蔽型社交僵尸网络的隐蔽手段。在此基础上,将社交僵尸网络的检测方法分为服务器端检测方法和客户端检测方法,并对近年来出现的基于隐写技术和基于机器学习的检测方法进行分析,同时给出社交僵尸网络的反制技术和接管方法的研究现状及发展思路,并对该领域的未来研究方向进行展望。     

僵尸网络及检测技术探索

通过综述僵尸网络的相关知识,提出基于行为与域关联的检测方法。对僵尸网络的行为流和域名查询流进行类聚,建立一种聚类联动的检测模型,以期突破基于特征的监测的局限性。本文分析了僵尸网络的相关知识和工作原理,重点分析基于Behavior-domain模型的僵尸网络检测方法。     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

一种新型智能僵尸粉甄别方法

为更有效地甄别微博僵尸粉,提出一种基于微博注册用户名特征提取的智能分类方法.以新浪微博作为研究平台,通过对微博用户数据进行分析,构建标准匹配库,提取用户名特征向量,再分别利用支持向量机(SVM)和人工神经网络(ANN)方法对特征集合进行分类.实验结果表明,将用户名特征提取与SVM、ANN相结合,僵尸粉甄别准确率均高于92％.     

智能手机上僵尸网络综述

僵尸网络是桌面电脑平台上重要的安全威胁。随着智能手机的发展,这一安全威胁出现在智能手机平台。在分析传统僵尸网络传播原理和控制方式的基础上,对智能手机僵尸网络的传播、控制、攻击方式及威胁等进行了深入研究,详细论述了通过SMS构建僵尸网络控制信道的方式。最后,对智能手机僵尸网络的防御手段进行了阐述。     

僵尸网络的分类及其检测技术

作为攻击者手中一个强有力的攻击平台,僵尸网络为攻击者提供了灵活、高效且隐蔽的控制和攻击方式。研究僵尸网络的构建技术以及发展趋势,有助于全面地了解僵尸网络活动的特点,从而更好地开展对僵尸网络的检测和防范研究。该文介绍了僵尸网络的分类及检测技术,提出了僵尸网络的应对方法与措施,并对僵尸网络的发展进行了探讨。     

僵尸网络传播模型分析

为了让僵尸网络传播模型是更符合Internet中的僵尸网络的传播特性,基于简单病毒传播模型深入分析僵尸程序的传播特性,考虑了僵尸程序在传播过程中存在的网络流量阻塞、提前免疫主机和感染后免疫主机等因素,提出了一个新的僵尸网络传播模型,并进行了仿真实验。实验结果表明,该模型更符合僵尸程序在复杂网络中的传播特性,有利于僵尸网络的传播行为的分析和传播趋势的预测。     

基于Kademlia的新型半分布式僵尸网络

使用Kademlia协议的僵尸网络可利用海量合法流量隐藏攻击行为,但单纯使用Kademlia容易被防火墙拦截。针对该问题,设计一种基于Kademlia的新型半分布式僵尸网络。通过将Hybrid Botnet的主干部分由非结构化网络改为Kademlia网络,使之能规避防火墙,同时网络流量较小,通过仿真实验证明新型僵尸网络较传统网络具有更好的流量特性和鲁棒性。并给出3种抵御新型网络的防御措施。     

一种新型P2P Botnet的分析与检测

Botnet是一种新型网络攻击方式,它为攻击者提供了灵活高效的命令与控制机制,对Internet安全造成了巨大的威胁。该文概要介绍了Botnet技术,分析了基于P2P技术的Botnet的特点,并对一种新型P2P Botnet进行了深入的分析和研究,提出了对新型P2P Botnet的检测方法。     

基于计算机网络对抗的僵尸网络研究与进展*

阐述僵尸网络的研究状况,给出其基本定义、结构和实现过程。通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指出僵尸网络研究中存在的问题与进一步研究的建议。     

僵尸网络综述

僵尸网络（Botnet）是由Bot组成的可通信、可被攻击者控制的网络。Botnet对今天网络构成越来越大的威胁,由于组成Botnet的主机数量非常庞大,由Botnet发起的攻击的破坏性非常惊人。介绍了Botnet的定义、历史及所带来的危害,同时介绍了研究Botnet的方法,并给出了应对Botnet的措施,最后简要地论述和分析了Botnet的变化趋势。     

The effects of feature selection on the classification of encrypted botnet

Many applications today are using an encrypted channel to secure their communication and transactions. Though, their security is often challenged by adversaries such as Botnet. Botnet leverages the encrypted channel to launch attacks and amplify the impact of attacks. The numbers of Botnet attacks over an encrypted channel are increasing and continue to cause a great loss of money. This study proposes an encrypted Botnet detection technique based on packet header analysis. This technique does not require deep packet inspection and intense traffic analysis. However, the proposed technique requires the analysis of the features taken from the packet header, which are essential for detection. The study endeavors to show that features selected can significantly affect the classification of encrypted Botnet. Therefore, in this paper, the researchers focus on the effects of feature selection on the classification of encrypted Botnet. The researchers use different classification mode (full training and 10-fold cross-validation) mainly by using seven features (7-features) and three features (3-features). Seven features are the number of features extracted from the packet header, and after the feature selection, only three features out of the seven features have weight (value). Therefore, the three features are the most significant features from the seven features that have been extracted. Generally, the result shows that classification with three most significant features provides higher true positive compared to the 7-features classification. Different machine learning algorithms have been used for the classification. Relatively, the results show that the True Positives are higher for 3-features classification than 7-features classification.

     

半分布式P2P Botnet的检测方法研究*

Botnet近来已经是网络安全中最为严重的威胁之一,过去出现的Botnet大多数是基于IRC机制,检测方法也大都是针对这种类型的。随着P2P技术的广泛应用,半分布式P2P Botnet已经成为一种新的网络攻击手段。由于半分布式P2P Botnet的servent bot的分布范围大、网络直径宽而冗余度小,造成的危害已越来越大,对半分布式的Botnet的检测研究具有现实意义。阐述了半分布式P2P Botnet的定义、功能结构与工作机制,重点分析了目前半分布式P2P Botnet几种流行的检测方法,并进行了对     

一种高鲁棒性的新型P2P僵尸网络

提出一种利用认证sensor组建的蜜罐先知型半分布式P2P僵尸网络(Botnet),通过连接比C(p)和度数比D(p)2个度量函数,并在peer-list更新过程中使用不同数量servent bots,讨论其鲁棒性的变化。结果表明,与传统Botnet相比,该类Botnet具有较高的鲁棒性。