僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的.僵尸网络正步入快速发展期,对因特网安全已造成严重威胁,对中国大陆造成的危害尤为严重.介绍了僵尸网络的演化过程和基本定义,深入剖析了僵尸网络的功能结构与工作机制,讨论了僵尸网络的命令与控制机制和传播模型,并归纳总结了目前跟踪、检测和防御僵尸网络的最新研究成果,最后探讨了僵尸网络的发展趋势和进一步的研究方向.     

流量自适应的移动僵尸网络云控机制研究

僵尸网络从传统恶意代码进化而来,随着智能手机的计算能力与移动互联网接入技术的快速发展,构建移动僵尸网络已成为一种潜在的威胁。针对移动互联网,提出一种具有流量自适应性的移动僵尸网络云控机制,通过分析用户的流量使用情况,在3G和Wi-Fi不同网络环境下采取不同的流量使用策略,使用自适应的调度算法执行僵尸指令。仿真实验证明,在确保僵尸网络命令有效执行的情况下,流量自适应调度算法可有效增强移动僵尸网络的隐蔽性和实时性。     

僵尸网络检测方法研究

僵尸网络是指由黑客通过多种传播手段入侵并控制的主机组成的网络.僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要.本文首先介绍了僵尸网络的结构,着重对僵尸网络的命令与控制信道进行了讨论,接着详细介绍了基于主机信息的、基于流量监测的和基于对等网络的僵尸网络检测方法,并进行了比较和讨论.     

Resource monitoring for the detection of parasite P2P botnets

Detecting botnet behaviors in networks is a popular topic in the current research literature. The problem of detection of P2P botnets has been denounced as one of the most difficult ones, and this is even sounder when botnets use existing P2P networks infrastructure (parasite P2P botnets). The majority of the detection proposals available at present are based on monitoring network traffic to determine the potential existence of command-and-control communications (C&C) between the bots and the botmaster. As a different and novel approach, this paper introduces a detection scheme which is based on modeling the evolution of the number of peers sharing a resource in a P2P network over time. This allows to detect abnormal behaviors associated to parasite P2P botnet resources in this kind of environments. We perform extensive experiments on Mainline network, from which promising detection results are obtained while patterns of parasite botnets are tentatively discovered.     

基于主机行为特征的恶意软件检测方法

针对僵尸、远控木马等恶意软件检测问题, 提出一种基于主机行为的异常检测模型。该模型通过持续性分析算法, 判断主机与外部特定目标的通信行为是否具有周期性或连续性, 提取出可疑的网络行为, 并根据网络行为的触发、启动等异常检测规则对这些可疑的网络行为进行分析, 判断主机是否感染恶意软件。实验结果表明, 该模型可有效检测出感染恶意软件的主机, 并具有很低误报率。     

针对某高校一次网络攻击后的安全防御思考

近年的互联网络攻击日益增多,其攻击方式种类,技术革新速度远远超过了网络防御技术发展,各种类型的僵尸网络攻击数据流给网络管理人员带来了更大的挑战,提出了更高的要求。本文以一次针对某高校的持续僵尸网络攻击为案例,记录了其攻击过程,概述了其攻击原理,陈述了高校采取的针对型防御措施。最后总结了网络攻击的趋势,针对性的从用户和运营商角度提出一些改进应对思路,以期提供更稳定优质的网络服务。     

非结构化P2P僵尸网络鲁棒性分析

僵尸网络结构的不断改进对网络安全造成了极大的威胁,如何深入研究其结构本身的固有性质对抵御该种攻击方式显得尤为重要。从复杂网络的角度模拟非结构化P2P僵尸网络,通过定义度量标准并应用网络中心化指标分析非结构化P2P僵尸网络面对节点失效时的鲁棒性。实验结果表明,非结构化P2P僵尸网络在面对随机节点失效时其鲁棒性较强,而面对高中心化节点失效时其鲁棒性将会迅速降低。     

面向可扩展僵尸网络的安全控制方法

僵尸网络是互联网面临的主要威胁之一。当前,网络服务类型多样、安全漏洞频出、以物联网设备为代表的海量联网设备部署更加有利于僵尸网络全球扩展。未来僵尸网络将更加具有跨平台特性和隐匿性,这给网络空间带来了严重的安全隐患。因此,针对僵尸网络自身开展深入研究,可以为新的僵尸网络防御研究提供研究对象,对于设计下一代网络安全防护体系具有重要意义。提出一种基于HTTP的可扩展僵尸网络框架来解决僵尸网络自身存在的兼容性、隐匿性与安全性问题,该框架基于中心式控制模型, 采用HTTP 作为僵尸网络通信协议,并对通信内容进行基于对称密码学的块加密。进一步地,提出了一种面向多平台架构的僵尸网络安全控制方法,该方法利用源码级代码集成与交叉编译技术解决兼容性问题,引入动态密钥加密通信机制克服传统僵尸网络流量存在规律性和易被分析的不足,设计服务器迁移与重连机制解决中心式僵尸网络模型存在的单点失效问题,以提高僵尸网络存活率。3 个不同控制性水平场景下的仿真实验结果表明,僵尸网络的规模与其命令与控制（C＆amp;C,command and control）服务器服务负载之间存在线性关系;此外,在僵尸网络规模相同的条件下,越高的控制性会带来越高的吞吐量和越大的系统负载,从而验证了所提方法的有效性和现实可行性。     

僵尸网络命令与控制信道的特征提取模型研究

僵尸网络发起的分布式拒绝服务攻击、垃圾邮件发送以及敏感信息窃取等恶意活动已经成为网络安全面临的重要威胁。命令与控制信道正是僵尸网络操纵这些恶意活动的唯一途径。利用命令与控制信道中攻击命令具有相对固定的格式和命令字的特点,基于现有的特征提取技术,针对边缘网络的可疑流量,提出了一个新型的特征提取模型。实验结果表明,该模型能够准确地提取出具有命令格式的特征,而且由这些特征转化的入侵检测规则能够有效识别感染的僵尸主机。