僵尸网络检测技术研究进展

僵尸网络的肆虐给互联网带来了极大的威胁,使得僵尸网络检测技术成为近年来网络安全领域的热点研究课题.首先,在对已提出的检测技术进行归纳分析的基础上,概括了僵尸网络检测的基本过程,并对这些检测技术进行了分类;然后,按照僵尸网络生命周期不同阶段的分类方法,着重分析了每种检测技术的研究思路、操作流程和优缺点;接下来,总结了现有检测技术所使用的主要方法及相应算法,提出了评价指标,并对选取的代表性技术进行了比较;最后,探讨了僵尸网络检测的关键问题及今后的研究方向.

基于Command and Control通信信道流量属性聚类的僵尸网络检测方法

僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和C&C协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对C&C信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。

基于流相似性的两阶段P2P僵尸网络检测方法

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。

基于sinkhole的僵尸网络检测技术的研究和实现

僵尸网络是由众多的被恶意软件感染了的僵尸主机(或肉机)组成的,僵尸网络控制者通过命令和控制通道向僵尸主机下达命令在网络中执行种类繁多的恶意行为。僵尸网络已成为当前网络中最严重的安全问题,它造成的破坏性远大于蠕虫、木马和病毒。全球的安全组织投入了大量的时间和精力来研究对抗和检测僵尸网络的有效方法,但是就目前形势来看,主流的检测方法都有着比较严重的缺陷。文章在分析了当前主流僵尸网络检测方法的优势与不足的基础上,总结出基于特征的检测方法最为准确和高效,如果能够完善该方法的特征库,在特征库中加入未知类型僵尸网络的特征,则该方法的检测效果将大大提高并将得到广泛的应用。文章给出了4种sinkhole的检测方法,并设计了综合评估的方法对上述四种方法的检测结果统一进行分析评估,提高了对sinkhole检测的准确性。

基于snort僵尸网络检测系统的设计与实现

为了准确检测僵尸网络等恶意流量,提出以snort为核心模块,通过对网络流量的抓取、分析,以及后端数据库和前端页面的相关设计,实现了一个入侵检测系统。该系统可以实时的监测网络流量从而快速检测出网络攻击行为,及时地发出警告信息,该系统具有良好的扩展性和可移植性。

基于多特征的SMS僵尸网络检测模型

SMS(短信息服务)作为移动终端最常用的服务之一也成为了恶意软件的主要目标,其中SMS僵尸网络是最具威胁性的攻击。针对SMS僵尸网络日益活跃,本文提出了一种基于多特征的SMS僵尸网络检测模型,该检测模型拥有两个核心模块,第一个模块利用短消息第一类特征对被检测信息做一次快速筛选来提高检测效率;第二个模块则是基于贝叶斯分类算法利用短信息的第二类特征将短信分类鉴别。实验结果表明,本文提出的方法能对SMS僵尸网络有96%的检测准确率。

基于LSTM深度学习的僵尸网络检测模型

僵尸网络作为最具威胁的攻击平台之一,往往被用来发动大规模的网络攻击破坏活动。如何识别检测出僵尸网络,特别是未知的、潜伏期内的僵尸网络,是安全领域研究难点和热点。提出一种基于LSTM深度学习的僵尸网络检测模型,探究LSTM网络在僵尸网络检测领域的建模方法,研究该模型在基于网络流特征的僵尸网络检测性能,并与基于人工神经网络的检测方法进行比较。实验结果表明,文章提出的模型适用于高维空间信息模型的建立,提高了僵尸网络检测性能,提供了一种僵尸网络检测方法。该方法不关心网络流量内部载荷信息,不涉及网络流量隐私问题,且对采用私有加密协议的僵尸网络和未知的僵尸网络具有一定的检测能力。

僵尸网络检测研究

僵尸网络是一种严重威胁网络安全的攻击平台。文章先给出僵尸网络的定义,然后分析其工作机制,命令与控制机制。针对当前主流的僵尸网络检测方法,按照不同的行为特征进行分类,根据僵尸网络的静态特征、动态特征以及混合特征,对当前的主要检测方法进行了归纳、分析和总结。并在文章最后提出,建立一个完备的僵尸网络检测模型需要将僵尸网络的动态特征检测模型与静态特征检测模型相互结合,而这才是僵尸网络检测模型未来发展的重点。

大规模网络环境下僵尸网络检测研究

互联网面临安全隐患,而僵尸网络是最严重的隐患之一。介绍了高速网络环境下数据获取与还原,总结了僵尸网络检测的组织架构,在此基础上设计了僵尸网络检测系统,完成了IRC/HTTP Bot程序检测。在阶段性检测算法基础上设计了僵尸程序检测算法。运用该算法捕获并分析了15天内的监测数据,验证了该系统的有效性。

基于人工神经网络的DGA僵尸网络检测

基于DNS协议的僵尸网络大多采用域名生成算法(domain generation algorithm,DGA),该算法可以随机改变域名来隐藏自身。与传统检测方法相比,基于机器学习的检测可以获得更好的检测结果。因此,提出了一种基于人工神经网络的僵尸网络检测体系结构,可以帮助在线安全卫士监控网络流量,区分DGA域和普通域,通过测试朴素贝叶斯模型和用DGA的正常特征或DGA的N-gram特征训练的人工神经网络(artifi cial neural network,ANN)模型并用真实的数据集实现并评估该解决方案的实用性。结果表明,采用人工神经网络的新模型能够更好地区分DGA的域,能够正确地处理更多的域。

基于时空残差网络的僵尸网络检测方法

僵尸网络是僵尸主机(botmaster)远程控制的受感染主机集群。传统的僵尸网络检测方法相对简单,主要来自网络数据包、结构等大量传入信息进行处理和预处理来实现的,可能存在较低的检测率,难以适应当前互联网的快速发展。针对僵尸网络检测问题,提出了一种基于时空残差特征的僵尸网络检测模型Res-1DCNN-LSTM。利用多层1DCNN和LSTM并行提取僵尸网络的空域和时序特征,然后在层与层之间引入捷径连接技术(shortcut connections)。实验结果表明,在公开数据集上,二分类和多分类的正确率可达98.89%和87.53%,在精度、召回率和F1值方面具有良好的性能。

基于改进Transformer和强化学习的僵尸网络DGA域名检测

针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络中的卷积块,通过减少网络模型参数来降低模型的时间开销;其次,利用改进后的ResNet和ResNeXt网络将域名字符串映射到深度特征空间,构造多尺度特征,强化特征的表达能力;再次,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)对Transformer网络进行改进,在保持字符间相对位置的同时,进一步建立上下文的长距离依赖编码,并在此基础上引入注意力机制,强化模型对关键特征的捕获能力;最后,引入强化学习对模型进行微调,提高DGA域名的检测精度。在多个DGA域名数据集上进行测试验证,结果表明该模型在保持检测时间开销较小的基础上,具有更高的检测精度。

ENN-ADASYN-SVM算法检测P2P僵尸网络的研究

由于对组织或个人采取针对性的攻击,僵尸网络对因特网构成越来越严重的威胁.并且不同的加密方法以及隐蔽的通信信道使得p2p僵尸网络越来越难以检测.之前有很多基于分类检测算法的文献都有很高的整体正确率,但是单独类并没有很高的正确率.同时,之前的文献并没有考虑到正常的网络流量和僵尸网络流量严重不平衡的问题.为了解决以上两个问题,提出一种基于最近邻规则欠抽样方法(ENN)和ADASYN(Adaptive Synthetic Sampling)结合的不均衡数据SVM分类算法应用于P2P僵尸网络检测.实验结果表明,无论是僵尸网络还是正常的流量,该方法都具有很高的正确率,并能在短时间内达到很好的分类效果;较之其他算法,它更适合处理大规模网络实时环境中大量的原始数据,对统计数据依赖性小,对不均衡数据分类具有较好的鲁棒性.因此,基于不均衡数据ENN-ADASYN-SVM分类算法更适应于复杂多变的网络环境下的P2P僵尸网络检测.

利用确定性树突状细胞算法在线检测僵尸网络

将人工免疫系统算法应用于对僵尸网络的实时监测,提出一种基于确定性树突状细胞算法的在线检测模型.通过结合僵尸网络的特征定义行为信号,基于启发信息实现僵尸网络的主机端实时监测.使用标准数据集对模型的有效性进行实验验证,实验结果表明,该模型具有实时性、行为定义简单、可接受多种启发式信息定义的优势,且检测僵尸网络系统的漏报率与误报率均较低.

检测僵尸网络的贝叶斯算法的MapReduce并行化实现

僵尸网络严重威胁互联网的安全,目前主流的僵尸网络检测方法准确性较低,针对此问题,考虑贝叶斯算法具有较高的准确性,提出了基于Hadoop平台的MapReduce机制的贝叶斯算法。该方法以主机对作为分析对象,提取2个主机对通信的流量特征,将这些特征作为贝叶斯分类算法的输入,通过并行化计算贝叶斯算法训练阶段的先验概率和条件概率形成贝叶斯分类器,使其学会辨认僵尸网络的流量。在检测阶段利用训练阶段形成的贝叶斯分类器和并行化计算后验概率,实现检测僵尸网络。通过实验表明,该方法检测僵尸网络是有效的,检测正确率在90%以上,并且该方法较单机检测僵尸网络的贝叶斯算法效率有了较大的提高。

僵尸网络机理与防御技术

以僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一.虽然近年来这方面的研究取得了显著的进展,但是由于僵尸网络不断演化、越来越复杂和隐蔽以及网络和系统体系结构的限制给检测和防御带来的困难,如何有效应对僵尸网络的威胁仍是一项持续而具有挑战性的课题.首先从僵尸网络的传播、攻击以及命令与控制这3个方面介绍了近年来僵尸网络工作机制的发展,然后从监测、工作机制分析、特征分析、检测和主动遏制这5个环节对僵尸网络防御方面的研究进行总结和分析,并对目前的防御方法的局限、僵尸网络的发展趋势和进一步的研究方向进行了讨论.

面向规避僵尸网络流量检测的对抗样本生成

基于机器学习的僵尸网络流量检测是现阶段网络安全领域比较热门的研究方向,然而生成对抗网络(generative adversarial networks,GAN)的出现使得机器学习面临巨大的挑战。针对这个问题,在未知僵尸网络流量检测器模型结构和参数的假设条件下,基于生成对抗网络提出了一种新的用于黑盒攻击的对抗样本生成方法。该方法提取网络流量的统计特征,利用生成对抗网络思想,通过训练替代判别器和生成器,来拟合不同类型的黑盒僵尸网络流量检测器和生成可以规避黑盒僵尸网络流量检测器的对抗样本。生成的对抗样本是在原始僵尸网络流量的基础上添加不改变其攻击特性的微小扰动,从而降低僵尸网络流量的被检出率。实验结果表明,开源数据集N;aIoT中的僵尸网络流量样本经该方法重新生成后,将僵尸网络流量的平均被检出率降低了0.4818,且该方法适用于规避不同的僵尸网络检测算法以及由不同计算机设备构成的僵尸网络,具有良好的扩展性。

基于模糊聚类的僵尸网络识别技术

融合蠕虫、后门、木马等技术为一体的僵尸网络因其可被攻击者用于发送垃圾邮件、实施拒绝服务攻击、窃取敏感信息等,已成为高持续性威胁攻击的"后盾"。现有的僵尸网络检测方法多数局限于特定的僵尸网络类型,且不能有效处理边界附近的数据。为此,提出一种基于网络流量相似性的僵尸网络识别方法。该方法不依赖于数据包内容,可处理加密流量。通过提取数据集中流和包的统计特征,分别对每个特征进行模糊聚类,判别其模糊类别的特征边界,并基于最大隶属度原则判断是否存在僵尸网络流量,根据支持度和置信度筛选关联规则,从而确定具体的僵尸网络类型。实验结果表明,该方法可有效识别僵尸网络流量,并且能够对僵尸网络的类型进行预判。

基于垃圾邮件发送模型的僵尸网络监测

僵尸网络可以用于发送垃圾邮件,这意味着如果能够对垃圾邮件的发送行为进行建模,也能够很好地检测僵尸网络。本文提出几种垃圾邮件发送模型,对各种垃圾邮件发送行为进行了区分,基于主题特征产生的协同程度提出了僵尸网络指数,其中重点对其在僵尸网络监测效果进行了验证,发现这个模型和指数能够用于有效发现发送邮件的僵尸网络。