中心式结构僵尸网络的检测方法研究被引量：5

Novel Method for Detecting Centralized Botnets

下载PDF

导出

摘要从近年发展趋势看,僵尸网络的结构正呈现多样化发展的趋势,中心式结构僵尸网络因控制高效、规模较大成为网络安全最大的威胁之一.中心式结构僵尸网络采用一对多的命令与控制信道,而且僵尸主机按照预定的程序对接收到的命令做出响应,因此,属于同一僵尸网络的受控主机的行为往往具有很大的相似性与同步性.针对中心式结构僵尸网络命令控制流量的特点,本文提出一种基于网络群体行为特点分析的检测方法并用于僵尸网络的早期检测与预警.实际网络流的实验表明,本方法能够有效检测当前流行的中心式结构僵尸网络. Botnet is a novel attack strategy evolved from traditional malware forms and imposes a serious threat on the network security.Especially,most of the existing botnets employ the centralized architecture which provides a simple,low-latency,anonymous and efficient real-time communication platform.The bots connect to a remote central server and wait for the commands from the botnet controller.The flows caused by the commands and the responses from the bots are generally very similar with each other and synchronous in time,because of the limited set of the commands and the programmed responses of the bots.The main contribution of this study is the development of a common detection mechanism aiming at the centralized botnets by monitoring the global correlated behaviors embedded in the command and control（CC） traffic.By conducting an experiment with real traffic data,it shows that this method is efficient in detecting the prevalent centralized botnets.

作者王涛余顺争

机构地区中山大学信息科学与技术学院电子与通信工程系

出处《小型微型计算机系统》 CSCD 北大核心 2010年第3期510-514,共5页 Journal of Chinese Computer Systems

基金国家"八六三"高技术研究发展计划项目专题课题(2007AA01Z449)资助国家自然科学基金-广东联合基金重点项目(U0735002)资助

关键词僵尸网络僵尸主机命令与控制信道群体行为 botnet bot control and command channel global correlated behaviors

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献10

1诸葛建伟,韩心慧,周勇林,叶志远,邹维.僵尸网络研究[J].软件学报,2008,19(3):702-715. 被引量：157
2Moheeb Abu Rajab, Jay Zarfoss, Andreas Terzis. A multifaceted approach to understanding the botnet phenomenon[ A]. In: Almeida JM, Almeida VAF, Barford P, eds. Proc. ofthe 6th ACM Internet Measurement Conf. ( IMC 2006) [ C ]. Rio de Janeiro: ACM Press, 2006, 41-52.
3Ncil Daswani, Michael Stoppclman. Google click quality and security teams[ C]. The Anatomy of Clickbot. A. In: Proc. of the 1st Workshop on Hot Topics in Understanding Botnets (HotBots 2007). Boston, 2007.
4Timothy Strayer W, Robert Walsh, Carl Livadas, et al. Detecting bomets with tight command and control[ C ]. The 31 st IEEE Conference on Local Computer Networks, Nov. 2006, 195- 202.
5Anestis Karasafidis, Brian Rexroad, David Hoeflin. Wide-scale botnet detection and characterization [ C ]. In USENIX Workshop on Hot Topics in Understanding Bomets (Hot-Bots07), 2007.
6Anagnostakis K G, Sidiroglou S, Akritidis P,et al. Detecting targeted attacks using shadow honeypots[ C]. In Proceedings of 14th USENIX Security Symposium, August 2005,129-144.
7Jan Goebel, Thorsten Holz. Rishi: Identify bot contaminated hosts by IRC nickname evaluation [ C ]. In : Proc. of the I st Workshop on Hot Topics in Understanding Botnets ( HotBots 2007 ). Boston, 2007.
8Gu Guo-fei, Zhang Jun-jie,Wenke Lee. BotSniffer: detecting botnet command and control channels in network traffic[ C]. In Proceedings of the 15th Annual Network and Distributed System Security Symposium (NDSS08), 2008.
9Rudi Cilibrasi, Paul M. B. Vit'anyi. Clustering by compression [J]. IEEE Transactions on Information Theory, APRIL 2005,51 (4) : 1523-1545.
10L da F Costa, Rodrigues F A, Travieso G, et al. Characterization of complex networks: a survey of measurements[ J]. Adv. Phys. 2007,56( 1 ) :167-242.

二级参考文献4

1文伟平,卿斯汉,蒋建春,王业君.网络蠕虫研究与进展[J].软件学报,2004,15(8):1208-1219. 被引量：187
2孙彦东,李东.僵尸网络综述[J].计算机应用,2006,26(7):1628-1630. 被引量：29
3诸葛建伟,韩心慧,周勇林,宋程昱,郭晋鹏,邹维.HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器[J].通信学报,2007,28(12):8-13. 被引量：44
4韩心慧,郭晋鹏,周勇林,诸葛建伟,邹维.僵尸网络活动调查分析[J].通信学报,2007,28(12):167-172. 被引量：14

共引文献156

1杜淑颖,杜鹏,丁世飞.基于CNN的假冒域名识别方法研究[J].中国科学技术大学学报,2020,50(7):1019-1025. 被引量：2
2胡树琪.租售“僵尸网络”控制权行为的刑法思索[J].新闻前哨,2018(3):63-64.
3王伟.基于相同度检测的僵尸网络防御模型研究[J].佳木斯教育学院学报,2012(5):468-469.
4宋元章,何俊婷,张波,王俊杰,王安邦.基于流角色检测P2P botnet[J].通信学报,2012,33(S1):262-269.
5王海龙,胡宁,龚正虎.Bot_CODA:僵尸网络协同检测体系结构[J].通信学报,2009,30(S1):15-22. 被引量：9
6蒿敬波,殷建平.蠕虫Agent的智能扫描技术[J].广西师范大学学报（自然科学版）,2008,26(1):249-252.
7张宇翔,孙继银.基于HoneyNet的军事信息网络主动防御能力实现[J].电脑与信息技术,2008,16(5):17-19.
8张焱,汪永益,余跃.一种基于蠕虫的规模BotNet传播策略[J].网络安全技术与应用,2008(12):58-60. 被引量：1
9沈利香.僵尸网络传播模式分析和防治对策[J].常州工学院学报,2008,21(6):38-42. 被引量：3
10张玺,唐和平.基于P2P协议的僵尸网络研究[J].计算机与数字工程,2009,37(2):94-97. 被引量：3

同被引文献33

1李江涛,姜永玲.P2P流量识别与管理技术[J].电信科学,2005,21(3):57-61. 被引量：43
2孙彦东,李东.僵尸网络综述[J].计算机应用,2006,26(7):1628-1630. 被引量：29
3Wang P, Sparks S, Zou C C. An Advanced HybridPeer to-Peer Botnet[C].//Proc. of the 1st Workshop on HotTopics in Understanding Botnets (HotBots 2007), Boston, 2007.
4STRAYER W T, WALSH R. Detecting botnets with tight com- mand and control [ C ]//Proceedings of the 31 st IEEE Conference on Local Computer Networks, Tampa, FL, 2006 : 200 - 202.
5GU G, PERDISCT R, ZHANG J, et al. BotMiner: Clusteringa- nalysis of network traffic for protocol - and structure - independent botnet detection[ C ]//Proceedings of the 17th USE - NIX Securi- ty Symposium ( Security' 08) , San Jose, CA,2008 : 139 - 154.
6Peter wurzinger, Leyla Bilge, Horsten Holz. Automatically generating models for hotnet detection [G]. Lecture Notes in Computer Science 5789: Computer Science, 2009: 232-249.
7WANG W, Fang B X. A novel approach to detect IRC based botnets [C]. Proceedings of the International Conference on Networks Security, Wireless Communications and Trusted Computing, 2009: 408-411.
8GU G, ZHANG J, Lee W. BotSniffer: detecting botnet command and control channels in network traffic [C]. Proc NDSS' 08, 2008.
9CNCERT/CC.CNCERT互联网安全威胁报告[EB/OL].2011/6.
10中国互联网协会.2011年第二季度中国反垃圾邮件状况调查报告[EB/OL].http://www.anti-spam.cn/pdf/2011_02.pdf.

引证文献5

1刘建波.基于流量分析的P2P僵尸网络检测[J].计算机与数字工程,2011,39(3):90-91. 被引量：8
2刘建波.基于动态聚类算法的IRC僵尸网络检测[J].哈尔滨商业大学学报（自然科学版）,2011,27(5):713-716. 被引量：1
3李庆朋,郑连清,杨仝,张串绒.僵尸网络关键技术及其防御研究[J].计算机工程与设计,2012,33(1):78-82. 被引量：1
4陈向东,李静蕾.僵尸网络攻击原理及检测技术研究[J].济南职业学院学报,2012(1):86-89.
5宋瑞龙.刍议僵尸网络检测方法[J].网络安全技术与应用,2015(5):57-58.

二级引证文献10

1邢婷,邢治国.FCM算法的一种数据智能预处理策略[J].哈尔滨商业大学学报（自然科学版）,2011,27(6):845-848.
2樊郁徽,徐宁.综合特征行为的P2P僵尸网络的检测算法[J].淮南师范学院学报,2012,14(3):33-35.
3张鹏飞.僵尸网络控制中心攻击转移模式分析[J].兰州文理学院学报（自然科学版）,2014,28(1):61-64. 被引量：1
4樊郁徽,徐宁.基于P2P僵尸主机网络行为的检测与监控方案设计[J].重庆文理学院学报（社会科学版）,2014,33(2):99-103. 被引量：1
5田腾浩.基于网络流量和恶意行为关联的僵尸网络检测模型[J].信息系统工程,2014,27(10):140-140.
6成淑萍,谭良.基于网络流量的僵尸网络动态检测模型[J].计算机工程,2014,40(11):106-112. 被引量：4
7李金猛,王剑,唐朝京.一种基于流量分析的P2P僵尸网络检测模型[J].现代电子技术,2015,38(19):106-109. 被引量：3
8朱常波,刘惠明,佟恬,班瑞.IP网业务支持系统数据应用分析[J].邮电设计技术,2017(10):5-9.
9成淑萍,袁小艳,廖小平,甘元彪.基于云计算安全环境的僵尸网络传播模型[J].计算机与数字工程,2018,46(9):1830-1833. 被引量：2
10成淑萍.基于特征相似性的僵尸云网络检测[J].计算机与数字工程,2019,47(3):628-630.

1周振吉,吴礼发,梁其川,李华波.一种混合式僵尸主机检测算法的设计与实现[J].微型机与应用,2010,29(16):57-60.
2李润恒,王明华,贾焰.基于通信特征提取和IP聚集的僵尸网络相似性度量模型[J].计算机学报,2010,33(1):45-54. 被引量：10
3杨望.Shadowserver:捕捉潜藏的僵尸网络[J].中国教育网络,2008(11):33-34.
4刘洋.基于分布式计算平台构建僵尸网络参考方案及可行性分析[J].河南科学,2009,27(11):1421-1424.
5王海龙,唐勇,龚正虎.僵尸网络命令与控制信道的特征提取模型研究[J].计算机工程与科学,2013,35(2):62-67. 被引量：9
6高胜.2012年9月网络安全监测数据分析[J].信息网络安全,2012(11):94-95.
7Web安全问答（2）[J].通信技术,2013(6):65-65.
8苏欣,张大方,罗章琪,曾彬,黎文伟.基于Command and Control通信信道流量属性聚类的僵尸网络检测方法[J].电子与信息学报,2012,34(8):1993-1999. 被引量：9
9尹涛,李世淙,庹宇鹏,张永铮.强抗毁性社交僵尸网络的构建及其防御[J].通信学报,2017,38(1):97-105. 被引量：3
10杜勤,吕光丽,苏忠,林繁,张少华.P2P僵尸网络研究与进展[J].计算机科学,2011,38(B10):66-71. 被引量：2

小型微型计算机系统

2010年第3期

浏览历史

内容加载中请稍等...

中心式结构僵尸网络的检测方法研究被引量：5

参考文献10

二级参考文献4

共引文献156

同被引文献33

引证文献5

二级引证文献10

相关作者

相关机构

相关主题

浏览历史

中心式结构僵尸网络的检测方法研究 被引量：5

参考文献10

二级参考文献4

共引文献156

同被引文献33

引证文献5

二级引证文献10

相关作者

相关机构

相关主题

浏览历史

中心式结构僵尸网络的检测方法研究被引量：5