智能手机上僵尸网络综述

僵尸网络是桌面电脑平台上重要的安全威胁。随着智能手机的发展,这一安全威胁出现在智能手机平台。在分析传统僵尸网络传播原理和控制方式的基础上,对智能手机僵尸网络的传播、控制、攻击方式及威胁等进行了深入研究,详细论述了通过SMS构建僵尸网络控制信道的方式。最后,对智能手机僵尸网络的防御手段进行了阐述。     

移动僵尸网络综述

随着智能终端的普及和4G通信的高速发展,移动僵尸网络的生存环境已经成熟,逐渐威胁到移动互联网的基础设施和移动网民的财产安全。现有的防御措施对这类攻击不再适用,移动僵尸网络已成为移动网络面临的重要安全问题之一。移动僵尸网络的构建依赖于移动恶意软件的传播,因此文章首先介绍了手机恶意软件的发展,随后介绍了移动僵尸网络的演化发展历程。控制与命令信道是僵尸网络研究中攻防双方争夺控制权的关键点,也是僵尸网络构建技术中重要的一环,同样也是区别于恶意软件的重要特征,移动僵尸网络不同于传统的僵尸网络,在控制与命令信道的选择上也略有差异,因此文章对移动僵尸网络的命令与控制信道进行了深入的剖析,重点讨论了短信、蓝牙、HTTP、Web2.0和一些特殊的命令与控制信道国内外研究现状。还进一步探讨了移动僵尸网络不同的传播载体、传播方式和的传播模型的发展,从经典传播模型、围绕蓝牙技术和短信技术的传播模型到更能反映移动僵尸网络特性的时空传播模型,都给出了相应的说明,并介绍了用于研究移动僵尸网络的仿真与模拟工具。最后文章结合实际的情况给出了移动僵尸网络的防御政策,为打击移动网络犯罪提供技术支撑与保障。     

僵尸网络检测及防御技术研究

近年来随着计算机网络技术的发展,网络攻击事件层出不穷,而僵尸网络攻击以其强大的破坏性占据了目前网络攻击手段的领军位置,成为了目前计算机网络安全面临的最大的安全威胁之一。本文阐述了僵尸网络及其网络行为过程和发展趋势,对传统的IRC僵尸网络和新型的P2P僵尸网络的特点、检测方法和防御策略进行了研究与分析。     

聚类分析技术在IRC僵尸网络检测系统中的应用

僵尸网络是当前互联网中重大安全威胁之一,黑客通过在互联网中传播僵尸病毒,将大量计算机变成自己可控制的僵尸计算机,从而实现攻击。本文以僵尸网络中最常见的IRC僵尸网络为例,分析了IRC僵尸网络的工作原理,提出利用聚类分析技术中的马氏距离算法和欧氏距离算法对IRC僵尸网络进行检测。     

IRC僵尸网络检测方法研究

僵尸网络是互联网网络的重大安全威胁之一,本文对僵尸网络的工作机制进了详细介绍,对僵尸网络的通信特征进行了研究分析,提出了一种新的检测方案,详细阐述了僵尸网络通信过程和检测原理,并对关键技术进行了设计实现。     

一种基于社交网络的移动僵尸网络研究

随着移动互联网的快速发展,僵尸网络正在从传统互联网络向移动网络过渡,移动僵尸网络已成为未来移动互联网安全急需关注的热点方向.而社交网络业务在移动互联网上的广泛应用以及实时异步松耦合的通信特点,为移动僵尸网络提供了控制能力更强、隐蔽性更好的控制信息平台载体.提出了一种基于社交网络控制的移动僵尸网络,僵尸控制者(Botmaster)通过公共社交网络服务器控制整个僵尸网络;在服务器的逻辑层,僵尸网络呈现多账号的P2P结构,同时僵尸网络的拓扑结构可由Botmaster自主定义,在此基础上,根据实际应用场景提出两种通用网络拓扑生成算法,通过仿真分析,证明了基于社交网络控制的移动僵尸网络具有良好的隐蔽性、健壮性和灵活性.     

手机僵尸网络RootSmart肆虐

近日,巴斯基实验室发表恶意软件分析报告,其中显示移动威胁成为了一大重点,用户将面临更加严峻的智能手机威胁。中国的病毒编写者创建了名为RootSmart的手机僵尸网络。这类僵尸网络中包含的被感染手机设备数量从10,000到30.000台不     

手机僵尸网络命令与控制机制的研究

手机僵尸网络已成为通信网络安全的主要威胁之一。该文对手机僵尸网络的体系结构作了一定的阐述,重点分析了现有的几种命令与控制机制,并对性能作了对比。最后,对手机僵尸网络的研究作出了展望。     

手机僵尸网络命令与控制机制的研究

手机僵尸网络已成为通信网络安全的主要威胁之一。该文对手机僵尸网络的体系结构作了一定的阐述,重点分析了现有的几种命令与控制机制,并对性能作了对比。最后,对手机僵尸网络的研究作出了展望。     

僵尸网络(BOTNET)监控技术研究

僵尸网络(BOTNET)是互联网网络的重大安全威胁之一,本文对僵尸网络的蔓延、通信和攻击模式进行了介绍,对僵尸网络发现、监测和控制方法进行了研究.针对目前最主要的基于IRC协议僵尸网络,设计并实现一个自动识别系统,可以有效的帮助网络安全事件处理人员对僵尸网络进行分析和处置.     

僵尸网络机理与防御技术

以僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一.虽然近年来这方面的研究取得了显著的进展,但是由于僵尸网络不断演化、越来越复杂和隐蔽以及网络和系统体系结构的限制给检测和防御带来的困难,如何有效应对僵尸网络的威胁仍是一项持续而具有挑战性的课题.首先从僵尸网络的传播、攻击以及命令与控制这3个方面介绍了近年来僵尸网络工作机制的发展,然后从监测、工作机制分析、特征分析、检测和主动遏制这5个环节对僵尸网络防御方面的研究进行总结和分析,并对目前的防御方法的局限、僵尸网络的发展趋势和进一步的研究方向进行了讨论.     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

一种抗污染的混合P2P僵尸网络

基于Peer-list的混合型P2P僵尸网络代表了一类高级僵尸网络形态,这种僵尸网络的优势是可抵抗传统P2P僵尸网络易受的索引污染（Index Poisoning）攻击和女巫（Sybil）攻击,然而却引入了新的问题——易受Peer-list污染攻击。本文提出一种新颖的混合P2P僵尸网络设计模型,在僵尸网络构建和Peer-list更新的整个生命周期中引入信誉机制,使得Peer-list污染攻击难以发挥作用。实验证明该模型具备很强的抗污染能力和很高的健壮性,因此对网络安全防御造成了新的威胁。最后,我们提出了若干可行的防御方法。本文旨在增加防御者对高级僵尸网络的理解,以促进更有效的网络防御。     

CloudBot: Advanced mobile botnets using ubiquitous cloud technologies

The mobile botnet is a collection of compromised mobile devices that can remotely receive commands from the botmaster. Exploiting unique features of mobile networks and smartphones, mobile botnets pose a severe threat to mobile users, because smartphones have become an indispensable part of our daily lives and carried a lot of private information. With the development of cloud computing technologies, botmaster can utilize ubiquitous cloud technologies to construct robust and scalable C&C (command and control) channel for mobile botnet. In this paper, we propose Cloudbot, a novel mobile botnet, which outperforms existing mobile botnets in terms of robustness, controllability, scalability, and stealthiness. Although the basic idea of using cloud technologies seems straightforward, we explore the design space of exploiting such services and tackle several challenging issues to overcome the limitations of existing mobile botnets. We have implemented CloudBot by exploiting popular push services and cloud storage services, and evaluated it through extensive experiments. The results demonstrate not only the feasibility of CloudBot but also its advantages, such as stealthiness, robustness, and performance.     

A novel method of mining network flow to detect P2P botnets

Botnets are a serious threat to cyber-security. As a consequence, botnet detection has become an important research topic in network protection and cyber-crime prevention. P2P botnets are one of the most malicious zombie networks, as their architecture imitates P2P software. Characteristics of P2P botnets include (1) the use of multiple controllers to avoid single-point failure; (2) the use of encryption to evade misuse detection technologies; and (3) the capacity to evade anomaly detection, usually by initiating numerous sessions without consuming substantial bandwidth. To overcome these difficulties, we propose a novel data mining method. First, we identify the differences between P2P botnet behavior and normal network behavior. Then, we use these differences to tune the data-mining parameters to cluster and distinguish normal Internet behavior from that lurking P2P botnets. This method can identify a P2P botnet without breaking the encryption. Furthermore, the detection system can be deployed without altering the existing network architecture, and it can detect the existence of botnets in a complex traffic mix before they attack. The experimental results reveal that the method is effective in recognizing the existence of botnets. Accordingly, the results of this study will be of value to information security academics and practitioners.     

中心式结构僵尸网络的检测方法研究

从近年发展趋势看,僵尸网络的结构正呈现多样化发展的趋势,中心式结构僵尸网络因控制高效、规模较大成为网络安全最大的威胁之一.中心式结构僵尸网络采用一对多的命令与控制信道,而且僵尸主机按照预定的程序对接收到的命令做出响应,因此,属于同一僵尸网络的受控主机的行为往往具有很大的相似性与同步性.针对中心式结构僵尸网络命令控制流量的特点,本文提出一种基于网络群体行为特点分析的检测方法并用于僵尸网络的早期检测与预警.实际网络流的实验表明,本方法能够有效检测当前流行的中心式结构僵尸网络.     

The SIC botnet lifecycle model: A step beyond traditional epidemiological models

Botnets, overlay networks built by cyber criminals from numerous compromised network-accessible devices, have become a pressing security concern in the Internet world. Availability of accurate mathematical models of population size evolution enables security experts to plan ahead and deploy adequate resources when responding to a growing threat of an emerging botnet. In this paper, we introduce the Susceptible-Infected-Connected (SIC) botnet model. Prior botnet models are largely the same as the models for the spread of malware among computers and disease among humans. The SIC model possesses some key improvements over earlier models: (1) keeping track of only key node stages (Infected and Connected), hence being applicable to a larger set of botnets; and (2) being a Continuous-Time Markov Chain-based model, it takes into account the stochastic nature of population size evolution. The SIC model helps the security experts with the following two key analyses: (1) estimation of the global botnet size during its initial appearance based on local measurements; and (2) comparison of botnet mitigation strategies such as disinfection of nodes and attacks on botnet’s Command and Control (C&C) structure. The analysis of the mitigation strategies has been strengthened by the development of an analytical link between the SIC model and the P2P botnet mitigation strategies. Specifically, one can analyze how a random sybil attack on a botnet can be fine-tuned based on the insight drawn from the use of the SIC model. We also show that derived results may be used to model the sudden growth and size fluctuations of real-world botnets.     

僵尸网络中的关键问题

僵尸网络是一种复杂、灵活、高效的网络攻击平台,在互联网中分布非常广泛.僵尸网络使攻击者具备了实施大规模恶意活动的能力,如发送垃圾邮件、发动分布式拒绝服务攻击等.由于其危害日益严重,僵尸网络已经成为网络安全研究的热点之一.但是近年来,僵尸网络新的发展、变化,突破了以往对僵尸网络的认知.文中分析僵尸网络的现有研究,对僵尸网络进行了重新定义,并从网络结构、网络独立性和信息传递方式等角度对僵尸网络的类型进行了划分;然后,梳理了僵尸网络检测技术、测量技术和反制技术等方面的工作;最后,给出了僵尸网络的演化趋势和未来研究方向.     

面向可扩展僵尸网络的安全控制方法

僵尸网络是互联网面临的主要威胁之一。当前,网络服务类型多样、安全漏洞频出、以物联网设备为代表的海量联网设备部署更加有利于僵尸网络全球扩展。未来僵尸网络将更加具有跨平台特性和隐匿性,这给网络空间带来了严重的安全隐患。因此,针对僵尸网络自身开展深入研究,可以为新的僵尸网络防御研究提供研究对象,对于设计下一代网络安全防护体系具有重要意义。提出一种基于HTTP的可扩展僵尸网络框架来解决僵尸网络自身存在的兼容性、隐匿性与安全性问题,该框架基于中心式控制模型, 采用HTTP 作为僵尸网络通信协议,并对通信内容进行基于对称密码学的块加密。进一步地,提出了一种面向多平台架构的僵尸网络安全控制方法,该方法利用源码级代码集成与交叉编译技术解决兼容性问题,引入动态密钥加密通信机制克服传统僵尸网络流量存在规律性和易被分析的不足,设计服务器迁移与重连机制解决中心式僵尸网络模型存在的单点失效问题,以提高僵尸网络存活率。3 个不同控制性水平场景下的仿真实验结果表明,僵尸网络的规模与其命令与控制（C＆amp;C,command and control）服务器服务负载之间存在线性关系;此外,在僵尸网络规模相同的条件下,越高的控制性会带来越高的吞吐量和越大的系统负载,从而验证了所提方法的有效性和现实可行性。     

基于流量摘要的僵尸网络检测

随着僵尸网络的日益进化,检测和防范僵尸网络攻击成为网络安全研究的重要任务.现有的研究很少考虑到僵尸网络中的时序模式,并且在实时僵尸网络检测中效果不佳,也无法检测未知的僵尸网络.针对这些问题,本文提出了基于流量摘要的僵尸网络检测方法,首先将原始流数据按照源主机地址聚合,划分适当的时间窗口生成流量摘要记录,然后构建决策树、随机森林和XGBoost机器学习分类模型.在CTU-13数据集上的实验结果表明,本文提出的方法能够有效检测僵尸流量,并且能够检测未知僵尸网络,此外,借助Spark技术也能满足现实应用中快速检测的需要.