僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾...僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和C&C协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对C&C信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。展开更多
移动僵尸网络进行恶意扣费、泄露隐私信息等恶意行为,给移动用户构成了巨大隐患.通过构建实用的移动僵尸网络,可以更好地了解其工作机制,从而提出直接有效的防御策略.提出结合短信(SMS)和HTTP协议作为移动僵尸网络的命令与控制(Command ...移动僵尸网络进行恶意扣费、泄露隐私信息等恶意行为,给移动用户构成了巨大隐患.通过构建实用的移动僵尸网络,可以更好地了解其工作机制,从而提出直接有效的防御策略.提出结合短信(SMS)和HTTP协议作为移动僵尸网络的命令与控制(Command and Control,C&C)的通信信道的设计方法,设计了一种移动僵尸程序HybirdBot.在减少消耗的同时确保命令信息能准确接收和高效执行,又能将僵尸网络流量隐藏在其他良性的HTTP流量中.实验结果表明,HybirdBot命令执行时间基本控制在1s以内,运行时CPU占用率只达1-2%,平均每条命令所产的流量也只有0.62kb.证明该移动僵尸网络具有高效性,隐匿性好而且消耗少,最后本文还提出了几种防御策略.展开更多
为打击僵尸网络,保障网络空间安全,提出一种新型的具备强抗毁性的社交僵尸网络(DR-SNbot),并给出了针对性的防御方法。DR-SNbot基于社交网络搭建命令与控制服务器(C&C-Server,command and control server),每个C&C-Server对应...为打击僵尸网络,保障网络空间安全,提出一种新型的具备强抗毁性的社交僵尸网络(DR-SNbot),并给出了针对性的防御方法。DR-SNbot基于社交网络搭建命令与控制服务器(C&C-Server,command and control server),每个C&C-Server对应一个不同的伪随机昵称,并利用信息隐藏技术将命令隐藏在日志中发布,进而提出一种新型的命令与控制信道。当C&C-Server不同比例地失效时,DR-SNbot会发出不同等级的预警,通知攻击者构建新的C&C-Server,并自动修复C&C通信以保障其强抗毁性。在实验环境中,即使当前C&C-Server全部失效,DR-SNbot仍能在短期内修复C&C通信,将控制率维持在100%。最后,基于伪随机僵尸昵称与合法昵称在词法特征上的差异性,提出一种僵尸昵称检测方法,可有效检测社交僵尸网络利用自定义算法批量生成的伪随机僵尸昵称。实验结果表明,该方法召回率达到93%,准确率达到96.88%。展开更多
文摘僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和C&C协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对C&C信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。
文摘移动僵尸网络进行恶意扣费、泄露隐私信息等恶意行为,给移动用户构成了巨大隐患.通过构建实用的移动僵尸网络,可以更好地了解其工作机制,从而提出直接有效的防御策略.提出结合短信(SMS)和HTTP协议作为移动僵尸网络的命令与控制(Command and Control,C&C)的通信信道的设计方法,设计了一种移动僵尸程序HybirdBot.在减少消耗的同时确保命令信息能准确接收和高效执行,又能将僵尸网络流量隐藏在其他良性的HTTP流量中.实验结果表明,HybirdBot命令执行时间基本控制在1s以内,运行时CPU占用率只达1-2%,平均每条命令所产的流量也只有0.62kb.证明该移动僵尸网络具有高效性,隐匿性好而且消耗少,最后本文还提出了几种防御策略.
文摘为打击僵尸网络,保障网络空间安全,提出一种新型的具备强抗毁性的社交僵尸网络(DR-SNbot),并给出了针对性的防御方法。DR-SNbot基于社交网络搭建命令与控制服务器(C&C-Server,command and control server),每个C&C-Server对应一个不同的伪随机昵称,并利用信息隐藏技术将命令隐藏在日志中发布,进而提出一种新型的命令与控制信道。当C&C-Server不同比例地失效时,DR-SNbot会发出不同等级的预警,通知攻击者构建新的C&C-Server,并自动修复C&C通信以保障其强抗毁性。在实验环境中,即使当前C&C-Server全部失效,DR-SNbot仍能在短期内修复C&C通信,将控制率维持在100%。最后,基于伪随机僵尸昵称与合法昵称在词法特征上的差异性,提出一种僵尸昵称检测方法,可有效检测社交僵尸网络利用自定义算法批量生成的伪随机僵尸昵称。实验结果表明,该方法召回率达到93%,准确率达到96.88%。