一种p2p Botnet在线检测方法研究

文章详细分析了p2p僵尸网络的生命周期以及网络特征,利用改进的SPRINT决策树和相似度度量函数,提出了一种新的在线综合检测方法,并论述了虚拟机环境搭建、原型系统设计和实验结果分析.实验结果表明,检测方法是可行的,具有较高的效率和可靠性.

基于流角色检测P2P botnet

提出了一种基于流角色的实时检测P2P botnet的模型,该模型从流本身的特性出发,使其在检测P2Pbotnet时处于不同的角色,以发现P2P botnet的本质异常和攻击异常,同时考虑到了网络应用程序对检测的影响。为进一步提高检测精度,提出了一种基于滑动窗口的实时估算Hurst指数的方法,并采用Kaufman算法来动态调整阈值。实验表明,该模型能有效检测新型P2P botnet。

蜜罐先知型半分布式P2P Botnet的构建及检测方法

蜜罐技术在僵尸网络(botnet)的防御和检测中扮演着重要的角色。攻击者可能会利用已有的基于蜜罐防御技术的漏洞,即防御者配置蜜罐要担当一定的责任,不允许蜜罐参与真实的攻击,进而构建出可以躲避蜜罐的botnet。针对这一问题,提出了攻击者利用认证sensor组建的蜜罐先知型半分布式P2P botnet,针对此类botnet,提出了用高交互性蜜罐和低交互性蜜罐相结合的双重蜜罐检测技术,并与传统蜜罐技术做了比较。理论分析表明,该检测方法能够有效地弥补蜜罐防御技术的漏洞,提高了蜜罐先知型半分布式P2P botnet的检出率。

一种基于bot优先抽样的P2P botnet在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。

半分布式P2P Botnet的检测方法研究

Botnet近来已经是网络安全中最为严重的威胁之一,过去出现的Botnet大多数是基于IRC机制,检测方法也大都是针对这种类型的。随着P2P技术的广泛应用,半分布式P2P Botnet已经成为一种新的网络攻击手段。由于半分布式P2P Botnet的servent bot的分布范围大、网络直径宽而冗余度小,造成的危害已越来越大,对半分布式的Botnet的检测研究具有现实意义。阐述了半分布式P2P Botnet的定义、功能结构与工作机制,重点分析了目前半分布式P2P Botnet几种流行的检测方法,并进行了对比;最后,对半分布式P2P Botnet检测方法的发展趋势进行了展望。

半分布式P2P Botnet控制服务器的设计与实现

控制服务器是半分布式P2P Botnet的bot程序最为重要的核心部分。基于Socket非阻塞模式的select模型,设计并实现了半分布式P2P Botnet的控制服务器。详细介绍了控制服务器的主要功能模块及各模块之间的运行关系,阐述了控制服务器的工作流程及相关的关键数据结构。从僵尸网络的资源占用、传递速度和控制方式等方面,与传统的IRC Botnet、全分布式P2P Botnet做了比较。实验结果表明,开发的控制服务器不管是功能还是性能,均满足半分布式P2P Botnet的要求。

Detecting P2P Botnet by Analyzing Macroscopic Characteristics with Fractal and Information Fusion

Towards the problems of existing detection methods,a novel real-time detection method(DMFIF) based on fractal and information fusion is proposed.It focuses on the intrinsic macroscopic characteristics of network,which reflect not the "unique" abnormalities of P2P botnets but the "common" abnormalities of them.It regards network traffic as the signal,and synthetically considers the macroscopic characteristics of network under different time scales with the fractal theory,including the self-similarity and the local singularity,which don't vary with the topology structures,the protocols and the attack types of P2P botnet.At first detect traffic abnormalities of the above characteristics with the nonparametric CUSUM algorithm,and achieve the final result by fusing the above detection results with the Dempster-Shafer evidence theory.Moreover,the side effect on detecting P2P botnet which web applications generated is considered.The experiments show that DMFIF can detect P2P botnet with a higher degree of precision.

利用多维观测序列的KCFM混合模型检测新型P2P botnet

提出了一种新颖的综合考虑多维观测序列的实时检测模型——KCFM。通过抽取新型分散式P2Pbotnet的多个特征构成多维观测序列,使用离散Kalman滤波算法发现流量异常变化,将Multi-chart CUSUM作为差异放大器提高检测精度。实验表明,基于多维观测序列的KCFM模型能够有效地检测新型P2Pbotnet。

基于分形与自适应数据融合的P2P botnet检测方法

提出了一种基于分形与自适应数据融合的P2P僵尸网络检测方法。构建单分形特性、多分形特性检测传感器,利用大时间尺度下的自相似性和小时间尺度下的局部奇异性刻画网络流量特征,利用Kalman滤波器检测上述特性是否异常。为获得更精确的检测结果,提出了一种自适应数据融合方法,根据证据冲突程度自适应得选择DST(Dempster-Shafer Theory)、DSmT(Dezert-Smarandache Theory)对上述检测结果进行融合。而且,考虑到了P2P应用对检测的影响。实验结果表明该方法检测准确度较高。

基于流量相关性和数据融合的P2P botnet检测

提出了一种基于网络流量相关性和数据融合理论的实时检测P2Pbotnet方法,该方法主要关注P2P botnet的命令与控制机制(C&C)机制产生的本质流量——UDP流,它不会受P2Pbotnet的网络结构、协议和攻击类型的影响.首先分别用自相似性和信息熵来刻画UDP流的相关性特征,利用非参数CUSUM(cumulative sum)算法检测上述特征的变化以得到检测结果,然后利用Dempster-Shafer证据理论融合上述特征的检测结果.同时,采用TCP流量特征在一定程度上消除P2P应用程序对P2Pbotnet检测的影响.实验表明所提出的方法可有效检测新型P2Pbotnet.

Monitoring Peer-to-Peer Botnets:Requirements,Challenges,and Future Works

The cyber-criminal compromises end-hosts(bots)to configure a network of bots(botnet).The cyber-criminals are also looking for an evolved architecture that makes their techniques more resilient and stealthier such as Peer-to-Peer(P2P)networks.The P2P botnets leverage the privileges of the decentralized nature of P2P networks.Consequently,the P2P botnets exploit the resilience of this architecture to be arduous against take-down procedures.Some P2P botnets are smarter to be stealthy in their Commandand-Control mechanisms(C2)and elude the standard discovery mechanisms.Therefore,the other side of this cyberwar is the monitor.The P2P botnet monitoring is an exacting mission because the monitoring must care about many aspects simultaneously.Some aspects pertain to the existing monitoring approaches,some pertain to the nature of P2P networks,and some to counter the botnets,i.e.,the anti-monitoring mechanisms.All these challenges should be considered in P2P botnet monitoring.To begin with,this paper provides an anatomy of P2P botnets.Thereafter,this paper exhaustively reviews the existing monitoring approaches of P2P botnets and thoroughly discusses each to reveal its advantages and disadvantages.In addition,this paper groups the monitoring approaches into three groups:passive,active,and hybrid monitoring approaches.Furthermore,this paper also discusses the functional and non-functional requirements of advanced monitoring.In conclusion,this paper ends by epitomizing the challenges of various aspects and gives future avenues for better monitoring of P2P botnets.

动态自组织P2P僵尸网络的构建及其防御

僵尸网络作为大规模攻击活动的基础平台,严重威胁网络空间安全,从预测的角度对其开展研究具有重要的现实意义。针对现有研究在终端感知、身份识别和动态对抗中存在的不足,本文概括僵尸网络生命周期,总结P2P结构僵尸网络的脆弱点,建立P2P僵尸网络动态对抗模型,分析节点真实性判断和网络拓扑优化重构的重要性。在此基础上,从攻击者视角提出一种新颖的动态自组织P2P僵尸网络模型DSBot。该模型在架构设计上可扩展至各类目标设备,通过基于可信度矩阵和真实性验证的节点安全性评估机制增强终端对抗性,并提出分阶段感染策略。借鉴无线自组网和多智能体的思路和方法,刻画节点属性多维表示和基于状态标识的动态网络框架,以此为基础设计O(Ni)更新算法、均匀连接算法和节点主动移除算法,并结合相应的初始化和调整机制提出网络自组织重构策略,从而进一步提升网络的健壮性。其中,O(Ni)更新算法确保节点的可信度,均匀连接算法降低网络暴露风险,节点主动移除算法实时移除可疑节点。从平均等待时间、命令可达率、网络连接度和重构稳定时间等方面对DSBot模型进行评估。实验结果表明,DSBot模型在效率和韧性上可满足僵尸网络命令控制机制的基本需求。最后,从终端清除、命令控制服务器打击和命令控制过程等方面讨论了可能的防御策略。本文旨在通过预测新型僵尸网络模型来完善防御解决方案。

ENN-ADASYN-SVM算法检测P2P僵尸网络的研究

由于对组织或个人采取针对性的攻击,僵尸网络对因特网构成越来越严重的威胁.并且不同的加密方法以及隐蔽的通信信道使得p2p僵尸网络越来越难以检测.之前有很多基于分类检测算法的文献都有很高的整体正确率,但是单独类并没有很高的正确率.同时,之前的文献并没有考虑到正常的网络流量和僵尸网络流量严重不平衡的问题.为了解决以上两个问题,提出一种基于最近邻规则欠抽样方法(ENN)和ADASYN(Adaptive Synthetic Sampling)结合的不均衡数据SVM分类算法应用于P2P僵尸网络检测.实验结果表明,无论是僵尸网络还是正常的流量,该方法都具有很高的正确率,并能在短时间内达到很好的分类效果;较之其他算法,它更适合处理大规模网络实时环境中大量的原始数据,对统计数据依赖性小,对不均衡数据分类具有较好的鲁棒性.因此,基于不均衡数据ENN-ADASYN-SVM分类算法更适应于复杂多变的网络环境下的P2P僵尸网络检测.

一种基于社会网络分析的P2P僵尸网络反制策略

设计并实现了一种基于社会网络分析的P2P僵尸网络反制策略。该策略包括两个方面:第一,挖掘网络中的关键节点和桥梁节点,重点防护这两类节点;第二,挖掘网络中的社区结构,重点监控社区间的关键通讯。模拟实验表明,该策略能准确挖掘网络中的关键节点、桥梁节点和关键通讯边,挖掘桥梁节点和关键边的准确率分别达到了95%和93%。使用提出的策略可有效控制僵尸网络病毒和黑客攻击指令的传播,从而达到反制P2P僵尸网络的目的。

结构化对等网络中P2P僵尸网络传播模型

依赖结构化对等网传播的P2P僵尸是未来互联网面临的重要威胁.详细分析了两种典型的结构化P2P协议Chord和Kademlia的工作原理,在此基础上,使用数学建模的方法建立了结构化P2P僵尸网络的传播模型.该模型将Kademlia,Chord协议与双因子免疫机制、主机在线率等因素相结合,较为全面地研究了两种典型的结构化P2P网络中僵尸的传播机理,并使用软件仿真的方法模拟了节点超过百万时,结构化P2P网络中僵尸的传播行为,通过软件仿真得出的数据与理论数据进行对比,验证了模型的正确性.从实验结果可以看出:对于Kademlia和Chord两种结构化P2P网络,僵尸传播无论是双因子免疫模型还是结合双因子与主机在线率的模型,理论模型与仿真结果都非常吻合,体现了模型的准确性,为僵尸的检测与防御提供了理论依据.

P2P僵尸网络的传播建模与分析

为了有效控制自愿式P2P僵尸网络的大规模爆发,从动力学的角度研究了僵尸网络的传播规律。首先,根据僵尸网络的形成过程,建立了一个时滞微分方程模型;其次,通过详细的数学分析得出了有效控制僵尸网络的阈值表达式;最后,数值模拟验证了理论分析的正确性。理论分析和实验结果均表明,当基本再生数的值小于1时,僵尸网络可以被完全控制;否则,安全防御措施只能减小僵尸网络的规模。模拟结果还表明,降低僵尸程序的感染率或提高网络节点的免疫率,可以有效控制僵尸网络的爆发。实际网络管理中,可以通过不均匀分布网络节点、及时下载漏洞补丁等措施控制僵尸程序的传播。

非结构化P2P僵尸网络鲁棒性分析

僵尸网络结构的不断改进对网络安全造成了极大的威胁,如何深入研究其结构本身的固有性质对抵御该种攻击方式显得尤为重要。从复杂网络的角度模拟非结构化P2P僵尸网络,通过定义度量标准并应用网络中心化指标分析非结构化P2P僵尸网络面对节点失效时的鲁棒性。实验结果表明,非结构化P2P僵尸网络在面对随机节点失效时其鲁棒性较强,而面对高中心化节点失效时其鲁棒性将会迅速降低。

多阶段过滤的P2P僵尸网络检测方法

提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在局域网环境中的实验表明,该检测方法能够有效识别各种P2P僵尸网络,提高了检测效率和精度。

半分布式P2P僵尸网络的伪蜜罐检测方法

在攻击与防御的博弈中,半分布式P2P僵尸网络随着P2P的广泛应用已成为僵尸网络最主要的形式。为此,描述攻击者组建的半分布式P2P僵尸网络的构建原理和增长模型,提出蜜罐与流量分析技术相结合的"伪蜜罐"检测模型,即在主机出现网络异常时,关闭已知程序和服务,使主机向蜜罐身份靠近,并用流量分析技术检测的一种模型。实验结果表明,该检测方法能够有效地提高半分布式P2P僵尸网络的检出率。

P2P僵尸网络的快速检测技术

以僵尸网络为平台的攻击发展迅速,其控制协议与结构不断演变,基于P2P协议的分布式结构僵尸网络得到快速发展.现有的P2P僵尸网络检测技术大都通过分析历史网络流量信息来进行离线检测,很难保证检测结果的准确性,也较难满足实时性需求.针对这种情况,提出P2P僵尸网络快速检测技术,首先采用一种改进的增量式分类技术,在线分离出满足P2P协议的网络流量;然后利用P2P僵尸主机的通信模式具有行为相似性和周期性的特点,通过动态聚类技术和布尔自相关技术,快速检测出可疑僵尸主机.实验结果表明该技术能够高效实现P2P僵尸网络的快速检测.