P2P僵尸网络研究与进展

由于基于IRC协议的僵尸网络存在单点失效的天然缺陷,越来越多的僵尸网络转而使用非集中式命令与控制信道。基于P2P协议的僵尸网络就是其中最重要的一种。P2P僵尸网络经过10多年的发展,技术已经完全成熟,它们具有更强的弹性和鲁棒性,更难以被清除,被认为是新一代的僵尸网络。阐述了P2P僵尸网络的发展历程,详细分析了功能结构、分类方法和工作过程,介绍了P2P僵尸网络传播模型和跟踪、检测、防御方法的研究进展。     

电力系统僵尸网络检测分析

为了应对电力系统中日趋严重的安全问题,阐述了僵尸网络在电力二次系统中部署和传播的可能性,分析了僵尸网络在活动时产生的报文特征和流量的行为特性,并针对电力二次系统僵尸网络的特点,提出了两种可部署于网络分析仪的僵尸网络检测方法,分别是基于深度包检测技术的异常协议识别方法和基于循环自相关和X-means聚类的流序列特征分析方法。实验证明,这两种方法均具有良好的检测效果,其中,异常协议识别方法在特定场景下将失效,而流序列特征分析方法具有更好的通用性。     

基于聚类分析的僵尸网络识别系统

僵尸网络是一种恶意的攻击平台,为攻击者提供了灵活、高效并且隐蔽的控制和攻击方式,对网络安全造成了严重威胁,尤其是我国大陆地区。本文从僵尸网络的基本要素着手,把握其本质特征,介绍了一种基于聚类分析技术的僵尸网络识别系统。它独立于僵尸网络的协议和结构,具有较好的适应性和较高的识别率。     

基于协议分析的IRC僵尸网络检测方法

IRC协议的利用使僵尸网络趋向智能化,给僵尸网络的检测带来很大难度。通过深入研究IRC僵尸网络运行机制和网络行为交互特征,提出了一种基于IRC协议分析的僵尸网络检测方法——BotDetector,采用流量预处理、IRC协议解析还原、控制命令的模式匹配等关键技术,BotDetector实现了高效、快速的IRC僵尸网络实时检测功能。实验结果表明,BotDetector对于IRC僵尸网络的检测行之有效。     

基于Kademlia协议的高生存性P2P僵尸网络

为了提高僵尸网络的生存能力,通过对现有反僵尸网络技术的分析,从攻击者角度提出了一种基于Kademlia协议的高生存性P2P僵尸网络,通过设计一套通信加密认证和节点身份认证机制提高了僵尸网络的生存能力,理论分析表明该机制可以较为有效地应对伪造命令攻击和女巫攻击,并通过实验证明了新型僵尸网络的高生存性。     

僵尸网络及检测技术探索

通过综述僵尸网络的相关知识,提出基于行为与域关联的检测方法。对僵尸网络的行为流和域名查询流进行类聚,建立一种聚类联动的检测模型,以期突破基于特征的监测的局限性。本文分析了僵尸网络的相关知识和工作原理,重点分析基于Behavior-domain模型的僵尸网络检测方法。     

基于P2P协议的僵尸网络研究

僵尸网络已成为网络安全领域最为关注的危害之一。日前,使用P2P协议的僵尸网络逐渐兴起。在分析Slapper蠕虫的基础上,研究了P2P僵尸网络的拓扑结构、功能结构与控制机制,并指出了P2P僵尸网络的发展趋势。     

基于域的P2P僵尸网络防御体系

针对当前传统安全技术不能对P2P环境下的僵尸网络进行有效防御的问题,在P2P僵尸网络病毒的一般性行为特征的基础上,设计了一种基于域的P2P僵尸网络的防御体系,并提出了利用僵局网络通信数据流特征向量的相似度分析解决因僵尸结点过少,无法检测出IP聚焦而无法识别僵尸结点的问题.该防御体系采用层次化结构,按P2P网络的逻辑地址段划分域,在城内采用将主机恶意行为与P2P流识别相结合的方法判别僵尸网络的通信数据流并提取特征向量.实验结果表明,该体系具有较高的性能和通用性.     

一种提高僵尸网络鲁棒性的对等网络拓扑结构

通过对现有的基于P2P技术的僵尸网络进行综述,通过研究分析发现,现有的P2P技术已不能满足僵尸网络的需求,为此我们在充分借鉴非结构化对等协议、结构化对等协议的基础上,提出了一种具有新型拓扑结构的对等网络协议AATP。经过实验表明,AATP具有良好的抗网络波动性。     

中小型局域网中P2P僵尸网络的检测

传统的僵尸网络大多是基于IRC协议的集中式结构,但越来越多的僵尸网络开始转向了分布式的P2P结构,针对IRC信道的检测方法已经不适用于新型的P2P僵尸网络。提出一种面向中小型局域网,根据流量统计特性和恶意攻击活动相结合的P2P僵尸网络检测方法。这种方法对采用随机端口,数据加密等新型手段的Botnets可以进行有效检测。     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

结构化对等网络中P2P 僵尸网络传播模型

依赖结构化对等网传播的P2P僵尸是未来互联网面临的重要威胁.详细分析了两种典型的结构化P2P协议Chord和Kademlia的工作原理,在此基础上,使用数学建模的方法建立了结构化P2P僵尸网络的传播模型.该模型将Kademlia,Chord协议与双因子免疫机制、主机在线率等因素相结合,较为全面地研究了两种典型的结构化P2P网络中僵尸的传播机理,并使用软件仿真的方法模拟了节点超过百万时,结构化P2P网络中僵尸的传播行为,通过软件仿真得出的数据与理论数据进行对比,验证了模型的正确性.从实验结果可以看出:对于Kademlia和Chord两种结构化P2P网络,僵尸传播无论是双因子免疫模型还是结合双因子与主机在线率的模型,理论模型与仿真结果都非常吻合,体现了模型的准确性,为僵尸的检测与防御提供了理论依据.     

僵尸网络(BOTNET)监控技术研究

僵尸网络(BOTNET)是互联网网络的重大安全威胁之一,本文对僵尸网络的蔓延、通信和攻击模式进行了介绍,对僵尸网络发现、监测和控制方法进行了研究.针对目前最主要的基于IRC协议僵尸网络,设计并实现一个自动识别系统,可以有效的帮助网络安全事件处理人员对僵尸网络进行分析和处置.     

多阶段过滤的P2P僵尸网络检测方法

提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在局域网环境中的实验表明,该检测方法能够有效识别各种P2P僵尸网络,提高了检测效率和精度。     

僵尸网络的危害及研究方法

僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要。介绍了僵尸网络的概念、类型以及危害,论述基于IRC协议下的Botnet的研究方法。     

基于关联关系和MapReduce的僵尸网络检测

现有僵尸网络检测方法的计算量较大,导致检测效率低,而云计算的强大数据处理和分析能力为僵尸网络的检测提供了新的思路和解决方案。为此,设计并实现一种基于MapReduce模型的并行僵尸网络检测算法,基于云协同和流间关联关系对僵尸网络进行检测。提取流间关联关系,将具有关联关系的流聚集到同一个集合中,计算主机的分数,若分数大于阈值则判断为可疑的僵尸主机。实验结果表明,该算法对P2P僵尸网络的检测率能够达到90%以上,误报率控制在4%以下,并且随着云服务器端计算节点的增多,其处理云客户端上传数据及检测僵尸网络的效率更高。     

P2P僵尸网络研究*

为了更好地探索研究新型P2P僵尸网络的跟踪、检测与反制方法,介绍了P2P僵尸网络的基本定义和演化历史,对P2P僵尸网络的分类和工作机制进行研究,分析P2P僵尸网络的拓扑结构及其逃避检测的方法,报告对P2P僵尸网络进行跟踪、检测与反制的研究现状,并对各种方法的性能进行了比较。最后对P2P僵尸网络的发展与进一步研究提出展望。     

僵尸网络模型研究

本文首先深入剖析了僵尸网络内部工作机制,根据僵尸网络工作机制将僵尸刚络划分为IRC僵尸网络模型、P2P僵尸网络模型、HTTP僵尸网络模型．并就当前的IRC、HTTP以及P2P式三种僵尸网络模型进行了深入地研究。     

IRC僵尸网络检测方法研究

僵尸网络是互联网网络的重大安全威胁之一,本文对僵尸网络的工作机制进了详细介绍,对僵尸网络的通信特征进行了研究分析,提出了一种新的检测方案,详细阐述了僵尸网络通信过程和检测原理,并对关键技术进行了设计实现。     

基于通信流量特征的隐秘P2P僵尸网络检测

针对目前基于网络的P2P僵尸网络检测中特征建模不完善、不深入的问题, 以及僵尸网络中通信具有隐蔽性的特点, 提出一种对通信流量特征进行聚类分析的检测方法。分析P2P僵尸网络在潜伏阶段的通信流量统计特征, 使用结合主成分分析法和X-means聚类算法的两阶段聚类方法对特征数据集进行聚类分析, 进而达到检测P2P僵尸网络的目的。实验结果表明, 该方法具有较高的检测率和较好的识别准确性, 并保证了较快的执行效率。