基于组特征过滤器的僵尸主机检测方法的研究

提出了一种基于组特征过滤器的检测方法,使用多个成员特征对内网主机数据分组进行过滤,以O(tmn)的空间开销为代价,应对短特征串和特征串的分组分散问题,并能与传统的特征匹配算法相兼容.模拟实验证明了该检测算法的正确性和有效性.     

僵尸网络检测算法的比较研究

僵尸网络是由许多台被恶意代码感染控制并与互联网相互连接的计算机所组成,其正步入快速发展期,并已对因特网安全造成了严重威胁。文章针对目前国际上主流僵尸网络检测算法进行分析和比较,给出每种检测算法的优点和不足。     

Analysis on the time-domain characteristics of botnets control traffic

Botnets are networks composed with malware-infect ed computers.They are designed and organized to be controlled by an adversary.As victims are infected through their inappropriate network behaviors in most cases,the Internet protocol(IP) addresses of infected bots are unpredictable.Plus,a bot can get an IP address through dynamic host configuration protocol(DHCP),so they need to get in touch with the controller initiatively and they should attempt continuously because a controller can’t be always online.The whole process is carried out under the command and control(C&C) channel.Our goal is to characterize the network traffic under the C&C channel on the time domain.Our analysis draws upon massive data obtained from honeynet and a large Internet service provider(ISP) Network.We extract and summarize fingerprints of the bots collected in our honeynet.Next,with the fingerprints,we use deep packet inspection(DPI) Technology to search active bots and controllers in the Internet.Then,we gather and analyze flow records reported from network traffic monitoring equipments.In this paper,we propose a flow record interval analysis on the time domain characteristics of botnets control traffic,and we propose the algorithm to identify the communications in the C&C channel based on our analysis.After that,we evaluate our approach with a 3.4 GB flow record trace and the result is satisfactory.In addition,we believe that our work is also useful information in the design of botnet detection schemes with the deep flow inspection(DFI) technology.     

一种p2p Botnet在线检测方法研究

文章详细分析了p2p僵尸网络的生命周期以及网络特征,利用改进的SPRINT决策树和相似度度量函数,提出了一种新的在线综合检测方法,并论述了虚拟机环境搭建、原型系统设计和实验结果分析.实验结果表明,检测方法是可行的,具有较高的效率和可靠性.     

D-BitBot:比特币网络双向通信的P2P僵尸网络模型

公有区块链网络（如比特币、以太坊等）具有匿名、难以被关闭的特点,被用于僵尸网络的通信模型研究中,但现有研究中的方法存在网络扩展代价高和回传通道易被溯源的问题.针对上述问题,本文提出D-BitBot,一种基于比特币网络双向通信的点对点(P2P)僵尸网络模型构建方法.该方法使用比特币测试网络作为回传信道,可有效降低数据回收的成本和网络扩展的代价,且能提高回传信道抗溯源的能力;为解决传统僵尸网络上线方式的单点故障缺陷,本文提出一种基于比特币区块链的节点上线机制;另外,为抵御路由表节点注入攻击和僵尸网络节点爬取,本文提出一种基于IP地址加盐哈希排序的节点列表交换算法.实验结果表明,在仿真环境中的D-BitBot上线率达到100%,且具有良好的鲁棒性;在节点请求和节点爬取测试中,本文所提出的算法能有效抵御路由表节点注入攻击和降低现有爬取算法的节点发现率.最后,本文基于3个不同的层面提出可能的抵御方式,并针对本文采用信道的鲁棒性对进行相应的分析和论述.     

基于统计特征的隐匿P2P主机实时检测系统

针对当前隐匿恶意程序多转为使用分布式架构来应对检测和反制的问题,为快速精确地检测出处于隐匿阶段的对等网络(P2P)僵尸主机,最大限度地降低其危害,提出了一种基于统计特征的隐匿P2P主机实时检测系统。首先,基于3个P2P主机统计特征采用机器学习方法检测出监控网络内的所有P2P主机;然后,再基于两个P2P僵尸主机统计特征,进一步检测出P2P僵尸主机。实验结果证明,所提系统能在5 min内检测出监控网内所有隐匿的P2P僵尸主机,准确率高达到99.7%,而误报率仅为0.3%。相比现有检测方法,所提系统检测所需统计特征少,且时间窗口较小,具备实时检测的能力。     

P2P僵尸网络研究

僵尸网络是近年来网络安全最严重的威胁之一.P2P僵尸网络是在传统僵尸网络基础上发展起来的,其命令与控制机制具有隐蔽性和健壮性,使检测和防范变得更加困难.本文对P2P僵尸网络的构建、命令与控制机制、检测与反制技术进行了研究与分析.     

僵尸网络活跃度的网络威胁预测模型研究

当前的僵尸网络预测模型大多是基于网络流量监控,而未考虑僵尸网络的规模和僵尸机的活跃度.根据僵尸网络的特点提出一种僵尸网络威胁预测模型,该预测模型综合考虑了僵尸网络的规模和活跃度,仿真实验表明这种预测模型能够对网络潜在的威胁作出较为准确的预测,提高了网络的安全性.     

蜜罐先知型半分布式P2P Botnet的构建及检测方法

蜜罐技术在僵尸网络（botnet）的防御和检测中扮演着重要的角色。攻击者可能会利用已有的基于蜜罐防御技术的漏洞,即防御者配置蜜罐要担当一定的责任,不允许蜜罐参与真实的攻击,进而构建出可以躲避蜜罐的botnet。针对这一问题,提出了攻击者利用认证sensor组建的蜜罐先知型半分布式P2P botnet,针对此类botnet,提出了用高交互性蜜罐和低交互性蜜罐相结合的双重蜜罐检测技术,并与传统蜜罐技术做了比较。理论分析表明,该检测方法能够有效地弥补蜜罐防御技术的漏洞,提高了蜜罐先知型半分布式P2P botnet的检出率。     

一种基于社会网络分析的P2P僵尸网络反制策略

设计并实现了一种基于社会网络分析的P2P僵尸网络反制策略.该策略包括两个方面:第一,挖掘网络中的关键节点和桥梁节点,重点防护这两类节点;第二,挖掘网络中的社区结构,重点监控社区间的关键通讯.模拟实验表明,该策略能准确挖掘网络中的关键节点、桥梁节点和关键通讯边,挖掘桥梁节点和关键边的准确率分别达到了95%和93%.使用提出的策略可有效控制僵尸网络病毒和黑客攻击指令的传播,从而达到反制P2P僵尸网络的目的.