一种抗污染的混合P2P僵尸网络

基于Peer-list的混合型P2P僵尸网络代表了一类高级僵尸网络形态,这种僵尸网络的优势是可抵抗传统P2P僵尸网络易受的索引污染（Index Poisoning）攻击和女巫（Sybil）攻击,然而却引入了新的问题——易受Peer-list污染攻击。本文提出一种新颖的混合P2P僵尸网络设计模型,在僵尸网络构建和Peer-list更新的整个生命周期中引入信誉机制,使得Peer-list污染攻击难以发挥作用。实验证明该模型具备很强的抗污染能力和很高的健壮性,因此对网络安全防御造成了新的威胁。最后,我们提出了若干可行的防御方法。本文旨在增加防御者对高级僵尸网络的理解,以促进更有效的网络防御。     

P2P僵尸网络安全机制研究

结合当前P2P僵尸网络研究状况,归纳、总结出P2P僵尸网络的定义、属性及其特点,针对P2P僵尸网络的工作原理提出相应的安全机制,使之有效防范僵尸网络的攻击。     

基于数据挖掘策略的P2P僵尸网络检测方法研究

僵尸网络由一群被病毒感染的计算机组成,它严重的威胁着Internet的安全。其原理是黑客把病毒植入到目标计算机,然后黑客通过Internet控制这些计算机来实施DDoS攻击、盗取认证信息、分发垃圾邮件和其他恶意行为。通过仿P2P软件,P2P僵尸网络用多个主控制器来避免单点丢失（single pointof failure）,并且使用加密技术使得各种各样的misuse detection技术失效。与正常网络行为不同的是,P2P僵尸网络建立了大量不占用带宽的会话,这就使它不会暴露在异常检测技术下。本文采用P2P僵尸网络不同于正常网络行为的特征作为数据挖掘的参数,然后对这些参数进行聚类并加以区分来获得可接受精度范围内可信任的结果。为了证明该方法在发现僵尸网络主机上的有效性,我们在实际的网络环境中进行了验证测试。     

中小型局域网中P2P僵尸网络的检测

传统的僵尸网络大多是基于IRC协议的集中式结构,但越来越多的僵尸网络开始转向了分布式的P2P结构,针对IRC信道的检测方法已经不适用于新型的P2P僵尸网络。提出一种面向中小型局域网,根据流量统计特性和恶意攻击活动相结合的P2P僵尸网络检测方法。这种方法对采用随机端口,数据加密等新型手段的Botnets可以进行有效检测。     

基于P2P僵尸网络检测系统的设计与实现

近年来僵尸网络成为互联网最严重威胁之一,研究僵尸网络检测技术具有现实意义。讨论了P2P僵尸网络的组成和工作机制,分析P2P僵尸网络的检测方法,提出一P2P僵尸网络检测系统设计方案。     

P2P僵尸网络研究*

为了更好地探索研究新型P2P僵尸网络的跟踪、检测与反制方法,介绍了P2P僵尸网络的基本定义和演化历史,对P2P僵尸网络的分类和工作机制进行研究,分析P2P僵尸网络的拓扑结构及其逃避检测的方法,报告对P2P僵尸网络进行跟踪、检测与反制的研究现状,并对各种方法的性能进行了比较。最后对P2P僵尸网络的发展与进一步研究提出展望。     

P2P僵尸网络研究

P2P僵尸网络是一种新型网络攻击方式,因其稳定可靠、安全隐蔽的特性被越来越多地用于实施网络攻击,给网络安全带来严峻挑战.为深入理解P2P僵尸网络工作机理和发展趋势,促进检测技术研究,首先分析了P2P僵尸程序功能结构,然后对P2P僵尸网络结构进行了分类,并分析了各类网络结构的特点;在介绍了P2P僵尸网络生命周期的基础上,着重阐述了P2P僵尸网络在各个生命周期的工作机制;针对当前P2P僵尸网络检测研究现状,对检测方法进行了分类并介绍了各类检测方法的检测原理;最后对P2P僵尸网络的发展趋势进行了展望,并提出一种改进的P2P僵尸网络结构.     

P2P僵尸网络研究

僵尸网络是近年来网络安全最严重的威胁之一.P2P僵尸网络是在传统僵尸网络基础上发展起来的,其命令与控制机制具有隐蔽性和健壮性,使检测和防范变得更加困难.本文对P2P僵尸网络的构建、命令与控制机制、检测与反制技术进行了研究与分析.     

半分布式P2P僵尸网络的伪蜜罐检测方法

在攻击与防御的博弈中,半分布式P2P僵尸网络随着P2P的广泛应用已成为僵尸网络最主要的形式。为此,描述攻击者组建的半分布式P2P僵尸网络的构建原理和增长模型,提出蜜罐与流量分析技术相结合的“伪蜜罐”检测模型,即在主机出现网络异常时,关闭已知程序和服务,使主机向蜜罐身份靠近,并用流量分析技术检测的一种模型。实验结果表明,该检测方法能够有效地提高半分布式P2P僵尸网络的检出率。     

基于P2P协议的僵尸网络研究

僵尸网络已成为网络安全领域最为关注的危害之一。日前,使用P2P协议的僵尸网络逐渐兴起。在分析Slapper蠕虫的基础上,研究了P2P僵尸网络的拓扑结构、功能结构与控制机制,并指出了P2P僵尸网络的发展趋势。     

基于重组的半分布式僵尸网络抗打击技术

僵尸网络防御技术的不断涌现对僵尸网络生存能力提出了严峻的挑战,为了改善僵尸网络的生存能力,从攻击者角度提出一种适用于半分布式僵尸网络的基于重组的抗打击技术。通过对僵尸网络生存状态的感知和对存活节点的探查,实现了半分布式僵尸网络在遭受严重打击导致拓扑结构破碎情况下,寻回存活节点并将其重组为新的僵尸网络。通过实验验证了该技术的有效性,证明其能够有效增强半分布式僵尸网络的生存能力     

基于流量分析的P2P僵尸网络检测

通过对P2P僵尸运行协议及其机制的深入研究,提出一种基于流量分析的检测算法。在三层交换机上抓取流量,按照流量数据的相同元素划分集合并得到三个向量（源地址、目的地址和包大小）集合,合理定义时间滑动窗口,基于连接成功率检测算法动态分析快速定位僵尸网络,为僵尸网络的检测提供依据。     

动态自组织P2P僵尸网络的构建及其防御

僵尸网络作为大规模攻击活动的基础平台,严重威胁网络空间安全,从预测的角度对其开展研究具有重要的现实意义。针对现有研究在终端感知、身份识别和动态对抗中存在的不足,本文概括僵尸网络生命周期,总结P2P结构僵尸网络的脆弱点,建立P2P僵尸网络动态对抗模型,分析节点真实性判断和网络拓扑优化重构的重要性。在此基础上,从攻击者视角提出一种新颖的动态自组织P2P僵尸网络模型DSBot。该模型在架构设计上可扩展至各类目标设备,通过基于可信度矩阵和真实性验证的节点安全性评估机制增强终端对抗性,并提出分阶段感染策略。借鉴无线自组网和多智能体的思路和方法,刻画节点属性多维表示和基于状态标识的动态网络框架,以此为基础设计O(N_i)更新算法、均匀连接算法和节点主动移除算法,并结合相应的初始化和调整机制提出网络自组织重构策略,从而进一步提升网络的健壮性。其中,O(N_i)更新算法确保节点的可信度,均匀连接算法降低网络暴露风险,节点主动移除算法实时移除可疑节点。从平均等待时间、命令可达率、网络连接度和重构稳定时间等方面对DSBot模型进行评估。实验结果表明,DSBot模型在效率和韧性上可满足僵尸网络命令控制机制的基本需求。最后,从终端清除、命令控制服务器打击和命令控制过程等方面讨论了可能的防御策略。本文旨在通过预测新型僵尸网络模型来完善防御解决方案。     

结构化对等网络中P2P 僵尸网络传播模型

依赖结构化对等网传播的P2P僵尸是未来互联网面临的重要威胁.详细分析了两种典型的结构化P2P协议Chord和Kademlia的工作原理,在此基础上,使用数学建模的方法建立了结构化P2P僵尸网络的传播模型.该模型将Kademlia,Chord协议与双因子免疫机制、主机在线率等因素相结合,较为全面地研究了两种典型的结构化P2P网络中僵尸的传播机理,并使用软件仿真的方法模拟了节点超过百万时,结构化P2P网络中僵尸的传播行为,通过软件仿真得出的数据与理论数据进行对比,验证了模型的正确性.从实验结果可以看出:对于Kademlia和Chord两种结构化P2P网络,僵尸传播无论是双因子免疫模型还是结合双因子与主机在线率的模型,理论模型与仿真结果都非常吻合,体现了模型的准确性,为僵尸的检测与防御提供了理论依据.     

基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.     

基于聚类技术的僵尸网络检测方案

现有僵尸网络检测方案需要先验知识以获取匹配模式,无法满足实时处理的要求。为此,从分析僵尸网络的特点出发,通过比较僵尸频道消息字符串的相似度,提出基于聚类技术的僵尸网络检测方案。实验结果表明,该方案能有效检测隐藏在正常网络数据流中的僵尸频道。