基于快速神经网络的HTTP僵尸网络检测算法

僵尸网络已成为目前互联网安全所面临的严重威胁之一.经过10余年发展,僵尸网络已从使用传统的IRC协议向HTTP协议进行转变,给检测及防御等方面造成了诸多困难.通过分析基于HTTP协议僵尸网络所产生流量,在得出相关TCP协议统计信息、僵尸活动的间隔时间等特征的基础上,提出将快速学习神经网络模型(Extreme Learning Machine,ELM)用于识别和检测HTTP僵尸网络.实验表明,该方法能有效从网络流量中检测出BlackEnergry,Bobax等HTTP僵尸网络.与决策树C4.5、SVM算法及传统的BP算法相比较,该方法具有较高的识别率和较低的误报率.     

一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

基于域名共现行为的僵尸网络行为追踪

针对局部行为特征信息偏少而使得僵尸网络行为难以全面追踪的问题,提出了一种基于域名共现行为的僵尸网络行为追踪方法.该方法通过域名共现评分算法计算待测域名与已知僵尸域名的域名共现行为来追踪其他僵尸域名,进而发现更多的僵尸主机;为提高域名评分准确性,还提出了过滤基于网络地址转换的主机域名访问、空间区分单个僵尸网络,以及基于观测时长共现行为统计3项改进措施.采集西安交通大学网络域名服务器的域名查询流量作为数据源进行了实验和测试,结果表明:基于改进的域名评分措施不仅将待测域名数量降为原来的1/4,且计算出的前10名域名共现评分更加合理,提高了追踪僵尸主机的准确性.     

基于元胞蚁群算法的僵尸网络传播特征研究

为了有效地研究僵尸网络传播过程中的特征变化,基于元胞蚁群算法提出了一种新的刻画方法BDCA(Botnet Detecting algorithm based on Cellular Ant).该方法首先定义了僵尸网络中普通节点、易感染节点和感染节点之间的转化关系,建立符合僵尸网络传播特征的数学模型,并利用元胞蚁群算法对上述模型进行求解,以此获得平衡条件下的最优解.最后,利用NS2进行仿真实验,深入分析了影响BDCA算法的关键因素.同时通过对比其他算法之间的性能状况,结果表明该算法具有较好的适应性.     

主动良性僵尸网络的建模与分析

随着全球网络安全形势越来越严峻,僵尸网络的攻击方式趋于多样化,传统的解决方法已经不能满足目前的防御需求.为了应对不断变化的僵尸网络,使用主动良性僵尸网络正成为一种新的解决方案.首先,基于主动良性僵尸网络的定义,提出了三种不同功能的主动良性僵尸网络,对它们进行了建模,在有延迟和无延迟的情况下对三种主动良性僵尸网络的传播模型进行了推导.最后,通过仿真实验来验证了传播模型,基于实验结果讨论了不同种类主动良性僵尸网络防御恶意僵尸网络的效果,得出如下结论:基于相同的感染条件,混合式的主动良性僵尸网络防御僵尸网络传播的效果最好.     

P2P僵尸网络的快速检测技术

以僵尸网络为平台的攻击发展迅速,其控制协议与结构不断演变,基于P2P协议的分布式结构僵尸网络得到快速发展.现有的P2P僵尸网络检测技术大都通过分析历史网络流量信息来进行离线检测,很难保证检测结果的准确性,也较难满足实时性需求.针对这种情况,提出P2P僵尸网络快速检测技术,首先采用一种改进的增量式分类技术,在线分离出满足P2P协议的网络流量;然后利用P2P僵尸主机的通信模式具有行为相似性和周期性的特点,通过动态聚类技术和布尔自相关技术,快速检测出可疑僵尸主机.实验结果表明该技术能够高效实现P2P僵尸网络的快速检测.     

基于树突细胞算法的P2P僵尸程序检测

随着僵尸网络带来越来越多的网络安全威胁,一种新的使用P2P协议的僵尸程序广泛出现。由于P2P僵尸网络不存在中心控制点而很难对其进行关闭或者追踪,从而使P2P僵尸网络的检测非常困难。为了应对这些威胁,根据免疫系统中的树突细胞的功能,提出了基于树突细胞算法用于检测个体主机中的僵尸程序的模型,并且给出了检测方法。用于检测P2P僵尸程序的原始数据通过APItrace工具获得,进程(包括正常进程和僵尸程序进程)的ID被映射为"抗原",进程所产生的行为数据被映射为"信号",它们组成了检测算法的时间序列输入数据并用于数据融合和相互关联。相关实验表明,文中所提出的方法可以实现P2P僵尸程序的检测。     

基于行为模式挖掘的网络入侵检测

基于系统模型DMIDS，提出了一种有效防范网络入侵的方法。该方法基于IP包信息挖掘出用户的频繁行为模式，能自动建立正常和异常的用户行为规则库；利用相似性匹配，能实时地检测出已知的和未知的攻击。详细介绍了用户频繁行为模式挖掘算法－－IDSPADE，实验结果表明该算法能够有效地发现多种网络入侵行为。和现有基于知识工程的方法相比，该方法具有更高的智能性和环境适应性。     

基于多维信息散度的僵尸网络快速检测方法

提出了一种基于多维度信息散度的僵尸网络快速检测方法.首先将网络流量中多个流量属性的概率分布按时间序列表征为多维信息散度向量,然后建立自回归滑动平均(ARMA)模型以检测该向量是否异常,藉此判断网络流量中是否含有僵尸网络CC(命令与控制)流量.实验表明:该方法不依赖先验知识,能高效准确地检测出网络流量中是否含有僵尸网络CC流量,具有很好的通用性、实时性以及较低的误检率.     

基于自适应学习算法的智能代理网络故障监测

提出一种基于自适应学习算法的故障监测智能代理,通过分段测量抽取描述网络正常行为的ＭＩＢ变量值并检测偏差,对学习获得的信息经由贝叶斯图加以组合,从而鉴别未知的或不可预见的故障．实验结果表明,智能监测代理系统能够在故障发生以前检测网络异常行为．     

基于自适应学习算法的智能代理网络故障监测

提出一种基于自适应学习算法的故障监测智能代理，通过分段测量抽取描述网络正常行为的ＭＩＢ变量值并检测偏差。对学习获得的信息经由贝叶斯图加以组合，从而鉴别未知的或不可预见的故障。实验结果表明，智能监测代理系统能够在故障发生以前检测网络异常行为。     

基于DNS通信数据挖掘的Botnet检测方法研究

利用僵尸网络(Botnet)进行的各种恶意活动如DDoS、垃圾邮件、网络钓鱼等成为一个现实且发展迅速的问题.本文提出了一种通过分析DNS通信检测僵尸网络的方法.因为DNS通信中包含的信息有限,通常不易区分一个DNS查询是由正常的还是恶意的活动引起,为此我们使用RIPPER算法对DNS通信数据进行挖掘.系统在真实校园网环境中的测试结果验证了此方法的有效性,给出了使用数据挖掘方法建立快速准确的僵尸网络检测系统的可能.     

基于SBKF-PNN融合的高填方渠道渗漏监测模型研究

针对目前高填方渠道渗漏检测方法通常单一、数据获取易受环境干扰、渗漏等级难以分类等问题,研究了基于SBKF-PNN融合的高填方渠道渗漏实时监测模型.首先建立基于土质高填方渠段的实验模型,设计了基于ZigBee和GPRS的渗漏信息无线传感网络,将高填方渠道的温度信息、湿度信息、GPS信息和渗流信息进行可移动获取;结合高填方渠道渗漏规律,分析传感器多源数据变化的规律及其关联度,定义了高填方渠道渗漏的等级模式,筛选了温度场、电势场和电磁场等多传感器信息作为渗漏监测量;然后应用贯序式块卡尔曼滤波(Sequential Block Kalman Filter,SBKF)方法对多传感器数据块进行处理,同时采用概率神经网络(Probabilistic Neural Network,PNN)算法进行渠道渗漏的等级分类;最后用大量的实测数据对SBKF-PNN模型进行训练,得到高填方渠道渗漏监测的反演模型,并将该反演模型应用到实际的高填方渗漏监测中.结果表明,基于SBKF-PNN的渗漏监测模型可实现多传感数据块的实时滤波,有效融合多种环境量的突变特征,能较准确地实现高填方渠道渗漏等级分类.     

基于测距的WSN节点复制攻击检测算法

现有的无线传感网节点复制攻击检测方法多依赖于网络中节点的精确位置信息和同步时钟信息,而在网络实际运行中往往很难保证实时有效的节点位置信息和同步时钟信息。提出了测距法来检测节点复制攻击,不需要精确定位和网络时钟同步;定义了三种检测准则,给出检测系统实现方案和算法流程图。实验表明,该系统实用、可靠。     

基于命令语法结构特征的IRC僵尸网络频道检测

僵尸频道是基于因特网在线聊天(Internet relay chat,IRC)协议僵尸网络传递控制命令,操纵整个网络的唯一途径。该文针对IRC僵尸网络频道检测问题,提出一种利用僵尸网络控制命令语法结构特征,实现检测僵尸网络频道的方法。使用可信系数描述频道中的字符串为僵尸网络控制命令的可能性,并结合可信系数,改进阈值随机游走(threshold random walk,TRW)算法,用以加快僵尸网络频道检测速度。实验结果表明:该方法对僵尸频道有很好的识别能力,检测效率明显提高。     

“克己复礼为仁”思想研究：概念、关系及路径选择

为解决智慧制造车间工件异常情况的实时监测问题,以及追踪工件加工过程的轨迹,提出基于RFID与复杂事件处理的实时监测方法.基于信息物理融合系统理念构建智慧制造车间的感知环境和定义各类事件模型,采用基于SMURF的综合方法清洗RFID数据,应用复杂事件处理技术监听工件的异常情况,并形成工件实时状态矩阵.仿真实验证明,该系统可以实现预期功能,为智慧制造车间的主动调度提供依据.     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

基于DNS通信数据挖掘的Botnet检测方法研究

利用僵尸网络（Botnet）进行的各种恶意活动如DDoS、垃圾邮件、网络钓鱼等成为一个现实且发展迅速的问题.本文提出了一种通过分析DNS通信检测僵尸网络的方法.因为DNS通信中包含的信息有限,通常不易区分一个DNS查询是由正常的还是恶意的活动引起,为此我们使用RIPPER算法对DNS通信数据进行挖掘.系统在真实校园网环境中的测试结果验证了此方法的有效性,给出了使用数据挖掘方法建立快速准确的僵尸网络检测系统的可能.     

基于流量图的僵尸网络检测技术分析

基于常见协议的僵尸网络通信图结构和特征, 对比分析了它们的功能和工作机制及现有基于流量图僵尸网络检测方法的使用环境、 实验数据、 结果和方法的优缺点, 并提出了僵尸网络检测技术的改进措施.     

移动僵尸网络的设计及分析

为了更好的对移动僵尸病毒传播方式及命令与控制网络进行研究,提出一种基于SMS-HTTP的移动僵尸网络模型。该文利用多差树结构和混合P2P结构建立高效的命令与控制网络,给出移动僵尸病毒传播算法、命令与控制网络构建算法和僵尸节点加入算法。通过对网络模型的度和高度的平衡,对网络的节点规模、联通性和安全性进行控制。实验环境中,当模型高度为6、度为8时,模型节点规模最多可达到21万。当模型节点规模为10万时,模型的连通率可在5跳内达到100%。结果表明:模型具有较好的可扩展性,可使模型具有较高的连通率和安全性。