一种基于分层聚类方法的木马通信行为检测模型

木马是互联网安全最严重的威胁之一.现有的木马检测方法主要受到3个方面的限制:1)无法检测新出现的木马实例;2)必须随着木马的改变实时地更新;3)消耗了大量的计算资源.针对上述情况,这里从网络层和传输层两个层面分析了木马的网络通信行为,并提取了能够有效描述其网络行为的4个特征.然后采用分层聚类方法建立了木马通信检测模型,并利用实际的网络流量数据进行了评估.实验结果显示,该模型具有较高的准确率和较低的误报率,很好地验证了检测模型的有效性.

2016年12月网络安全监测数据发布

1木马僵尸监测数据分析1.1境内木马或僵尸程序受控主机分析2016年12月,中国境内（以下简称境内）215万余个IP地址对应的主机被木马或僵尸程序控制,与11月的近134万个相比增长60.9%。2016年1月至2016年12月,境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示。

2014年10月网络安全监测数据发布

1木马僵尸监测数据分析 1.1中国境内木马或僵尸程序受控主机分析 2014年10月，中国境内（以下简称境内）近67万个I P地址对应的主机被木马或僵尸程序控制，与上月的104万个相比下降36.0%。2013年11月至2014年10月，境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示。

2018年6月网络安全监测数据发布

2018年6月,中国境内（以下简称境内）56万余个IP地址对应的主机被木马或僵尸程序控制,与5月的70万余个相比下降19.9%.2017年7月至2018年6月,境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示.

2014年8月网络安全监测数据发布

1 木马僵尸监测数据分析 1．1中国境内木马或僵尸程序受控主机分析 2014年8月，中国境内（以下简称境内）114厅余个IP地址对应的主机被木马或僵尸程序控制，与上月的近140万个相比下降18．3％．

2015年10月网络安全监测数据发布

1木马僵尸监测数据分析1.1境内木马或僵尸程序受控主机分析2015年10月,中国境内（以下简称境内）221万余个IP地址对应的主机被木马或僵尸程序控制,与9月的258万余个相比下降14.3%。2014年11月至2015年10月,境内被木马或僵尸程序控制的主机IP数量月度统计如图1所示。境内木马或僵尸程序受控主机的地区分布情况如图2所示,其中数量最多的地区分别是辽宁省340,142个（占境内15.4%）、广东省233,574个（占境内10.6%）和山东省228,671个（占境内10.3%）。

Anomaly-based model for detecting HTTP-tunnel traffic using network behavior analysis

Increasing time-spent online has amplified users' exposure to the threat of information leakage.Although existing security systems(such as firewalls and intrusion detection systems) can satisfy most of the security requirements of network administrators,they are not suitable for detecting the activities of applying the HTTP-tunnel technique to steal users' private information.This paper focuses on a network behavior-based method to address the limitations of the existing protection systems.At first,it analyzes the normal network behavior pattern over HTTP traffic and select four features.Then,it presents an anomaly-based detection model that applies a hierarchical clustering technique and a scoring mechanism.It also uses real-world data to validate that the selected features are useful.The experiments have demonstrated that the model could achieve over 93%hit-rate with only about 3%falsepositive rate.It is regarded confidently that the approach is a complementary technique to the existing security systems.

强抗毁性社交僵尸网络的构建及其防御

为打击僵尸网络,保障网络空间安全,提出一种新型的具备强抗毁性的社交僵尸网络(DR-SNbot),并给出了针对性的防御方法。DR-SNbot基于社交网络搭建命令与控制服务器(C&C-Server,command and control server),每个C&C-Server对应一个不同的伪随机昵称,并利用信息隐藏技术将命令隐藏在日志中发布,进而提出一种新型的命令与控制信道。当C&C-Server不同比例地失效时,DR-SNbot会发出不同等级的预警,通知攻击者构建新的C&C-Server,并自动修复C&C通信以保障其强抗毁性。在实验环境中,即使当前C&C-Server全部失效,DR-SNbot仍能在短期内修复C&C通信,将控制率维持在100%。最后,基于伪随机僵尸昵称与合法昵称在词法特征上的差异性,提出一种僵尸昵称检测方法,可有效检测社交僵尸网络利用自定义算法批量生成的伪随机僵尸昵称。实验结果表明,该方法召回率达到93%,准确率达到96.88%。

2018年2月网络安全监测数据分析

1网络安全基本态势2018年2月,互联网网络安全状况整体评价为良。我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。在我国互联网网络安全环境方面,木马或僵尸程序控制服务器IP地址数量、仿冒境内网站的IP数量和网络安全事件报告总数较上月有所下降,其他各类网络安全事件数量均有不同程度的下降。总体上,2月公共互联网网络安全态势较上月有所好转,评价指数在良的区间。

网络安全监测数据分析——2015年9月

首先分析了2015年9月的网络安全基本态势,其次通过数据总结了重要联网信息系统安全,最后统计了恶意代码活动监测数据、网站安全监测数据、漏洞数据和事件接收情况,对公共网络安全进行了全面分析。