僵尸网络的检测与防范策略

僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要。介绍了僵尸网络的概念、类型以及危害,论述基于IRC协议以及P2P控制方式的检测方法,提出了防范措施。     

混合结构P2P僵尸网络构架

近期,互联网中出现很多基于僵尸网络的攻击手段,为更好地防范来自网络的攻击,提出一种可能即将出现的混合结构P2P僵尸网络构架。本构架基于Chord协议,通过将多个Superbot组成一个虚拟节点,增强了僵尸网络稳定性。同时设计算法实现Superbot的自动筛选、生成、组合与更新。测试证明,该构架的稳定性和抗摧毁能力高于其他僵尸网络。     

综合特征行为的P2P僵尸网络的检测算法

通过对基于P2P协议的僵尸主机的运行机制的研究,将其生存周期划分为三个特征阶段,综合每个阶段P2P僵尸主机所表现出的不同特征行为,提出综合特征行为的P2P僵尸网络的检测算法。通过对捕获的网络出口流量采取离线检测与在线检测相结合的方法,逐层分步对P2P僵尸主机进行筛检并定位,能够有效降低误报率,并将处于攻击阶段的P2P僵尸主机进行及时隔离,降低P2P僵尸网络的危害。     

僵尸网络特性与发展研究分析

僵尸网络是近年来兴起的危害计算机网络的重大安全威胁之一,笔者剖析了僵尸网络的功能结构,对CNCERT/CC采集的僵尸网络发展规模及控制端口数据进行了归纳并做出了相应的分析.     

僵尸网络的危害及研究方法

僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要。介绍了僵尸网络的概念、类型以及危害,论述基于IRC协议下的Botnet的研究方法。     

关于僵尸网络若干问题的探讨

僵尸网络不是一种单纯的安全事件,它作为攻击者搭建的一个攻击平台,使攻击者可以在此平台上进行DDoS、Spam各种攻击行为.本探讨了僵尸网络的发展历史和典型代表,以及可能产生的危害,并提出相关问题的解决方法思路.     

美国十大通缉僵尸网络

互联网上的僵尸网络攻击日益猛烈,网络犯罪团伙利用感染的僵尸计算机发送垃圾邮件、窃取个人资料、进行点击欺诈以及进行网站的拒绝服务攻击。以下是美国十大通缉僵尸列表,排名依据来自于安全公司Damballa对各僵尸网络的统计数据。     

僵尸网络研究系列文章之六僵尸网络用于DDoS攻击的案例分析

利用僵尸网络,黑客可以控制数百到上万台普通用户的计算机。通过客户端僵尸程序,进行窃取私人信息、DDoS攻击等恶意行为。其中,僵尸网络发起的DDoS攻击,是以分布在整个互联网上的正常用户的访问方式出现。因此,对它的防范及追踪更加困难。     

浅析"僵尸网络"

本文通过对僵尸网络(botnet)的发展、网络结构、控制服务器构建、bot传播方式、危害等方面的分析,全面介绍了僵尸网络,并对企业和个人预防僵尸网络提出了解决办法     

电子阅览室ARP病毒的分析与防治

介绍ARP协议在网络中的作用和工作过程．分析利用它进行的攻击原理及造成的危害．提出几种防御ARP攻击的解决方案。     

浅述僵尸网络

近年来,从传统蠕虫和木马发展形成的僵尸网络逐渐成为攻击者手中最有效的攻击平台,甚至可以成为网络战的武器,因此,关注僵尸网络已有研究成果与发展趋势都十分必要.将僵尸网络的发展历程概括为5个阶段,分析各阶段特点和代表性僵尸网络.对僵尸网络进行形式化定义并依据命令控制信道拓扑结构将其划分为4类.同时,将当前僵尸网络研究热点归纳为检测、追踪、测量、预测和对抗5个环节,分别介绍各环节的研究状况,并对每个环节的研究进展进行归纳和分析.通过研究僵尸网络在攻防对抗中的演进规律,提取僵尸网络存在的不可绕过的脆弱性.最后,综合分析当前僵尸网络研究现状,并展望僵尸网络发展趋势.     

ARP协议漏洞分析

近年来,ARP欺骗攻击已经成为危害网络正常稳定运行的主要问题。详述了ARP协议的工作原理,剖析了ARP协议的漏洞所在之处,给出了相应的防范措施。     

速变网络的自动化智能检测方法

僵尸网络是信息安全防范的重要方面,黑客为了掩饰僵尸网络的存在,利用速变网络技术隐藏攻击主机的真实网络位置.研究利用速变网络的特点,设计一种智能化速变网络检测方法,该方法针对速变网络技术的特征找出辨识特征量,进行检测与追踪,在系统可接受的时间、空间复杂度下设计速变网络检测的最佳速变网络反应对方法.该检测方法不仅可以有效减少检测时间,而且对于不同网络类型中的速变网络检测都有较高成功率.     

基于网络行为特征与Dezert-Smarandache理论的P2P僵尸网络检测（英文）

为提升对新型P2P僵尸的检测精度,提出了一种基于网络行为特征和Dezert-Smarandache理论的P2P僵尸检测方法.该方法主要关注P2P僵尸的本质异常特征,即网络行为特征,该特征不受拓扑结构、协议和攻击类型的影响.首先,利用局部奇异性和信息熵对网络行为特征进行多方面的描述;然后,利用卡尔曼滤波器对网络行为特性进行异常检测;最后,用Dezert-Smarandache理论对上述检测结果进行融合以得到最终检测结果.实验结果表明:所提方法可有效检测新型P2P僵尸;相比其他方法,其漏报率和误报率较低,分别为0.09和0.12.     

局域网ARP攻击及应对策略浅析

ARP协议欺骗是网络欺骗行为之一,文章阐述了ARP协议工作的原理,分析利用其进行的攻击原理及造成的危害,并针对ARP病毒攻击对其防范方法进行分析与探讨．     

Shadowserver：捕捉潜藏的僵尸网络

暗影服务器基金会（Shadowserver Foundation,后文简称ShadowServer）是一个研究如何对抗僵尸网络的组织。僵尸网络（botnet）是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,可以被利用发起拒绝服务（DDoS）攻击、发送垃圾邮件、传播恶意代码,是目前网络攻击的基本手段和资源平台。根据2007年CNCERT／CC抽样监测结果,     

一种新型的P2P僵尸网络检测模型

僵尸网络已经给当前的计算机网络安全带来严重的安全威胁,特别是僵尸网络在融合对等网络作为通信技术之后,僵尸网络大大提高了其生存能力,为有效降低采用P2P技术的僵尸网络带来的安全威胁,如何有效检测出基于P2P技术的僵尸网络成为一个热点。针对这种现状提出了一种基于P2P技术的Botnet检测模型。     

基于状态协议分析技术的入侵检测研究

计算机和互联网技术正在改变人类社会的面貌,与之伴随而来的是信息和网络安全的问题.入侵检测是一种积极主动防御的网络技术,它通过对系统或网络中的若干关键点的信息进行检测分析,从而发现是否有违反安全策略的行为,提供了对内部供给、对外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵.按照检测技术,入侵检测系统可以分为异常检测和特征检测.文章比较了各种入侵检测技术,提出了利用基于状态的协议分析技术检测多步骤等复杂攻击的有效性,但面对高速发展的网络,也提出了这种深度检测的技术存在着的弊端.     

Shadowseryer:捕捉潜藏的僵尸网络

暗影服务器基金会(ShadowserverFoundlation,后文简称ShadowServer)是一个研究如何对抗僵尸网络的组织. 僵尸网络(botnet)是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,可以被利用发起拒绝服务(DDoS)攻击、发送垃圾邮件、传播恶意代码,是目前网络攻击的基本手段和资源平台.根据2007年CNCERT/CC抽样监测结果,僵尸网络控制的境内外主机数达623万个,其中我国大陆有362万个,并有1万多个境外控制服务器对我国大陆地区的主机进行控制.     

需从管理策略控数据外泄

针对当前日益严重的信息安全隐患,日前,赛门铁克资深首席信息安全技术顾问林育民在接受在线访谈时表示,在2008年,赛门铁克平均每天监控到75000个僵尸网络的电脑,比2007年成长了31％。针对这些攻击事件做进一步的统计和分析发现,90％的攻击事件是有组织性的攻击,而且是针对特定目标的攻击。