摘要：针对伪装后僵尸网络主机难以检测的问题,提出一种基于图重构和子图挖掘的僵尸网络检测方法(GR-SGM)。首先,将网络数据转化为图数据,并对其进行重构以此增强主机节点特征表示;其次,基于重构图中拓扑结构、节点的特征和位置变化设计僵尸网络子图评分函数,以此捕捉伪装后的特征,提取出僵尸网络子图,并对原始图和重构图进行预检测,以提高检测的准确率和效率,减少重构误差;最后,对预检测结果和僵尸网络子图进行综合评分,以获取完整的僵尸网络信息。在ISCX2014僵尸网络数据集和CICIDS2017僵尸网络数据集上的实验结果表明:GR-SGM的检测准确率分别达到99.98%和99.91%,F 1分别达到99.94%和99.65%,相较于其他僵尸网络检测模型,GR-SGM能更加高效准确地识别僵尸网络节点,同时具有更低的误报率。

摘要：通过分析僵尸网络内部的通信行为,提取了相同僵尸网络的通信特征,利用这些特征定义了僵尸网络之间关系的云模型,并设计了基于云模型的僵尸网络关系分析算法。通过典型僵尸程序样本的评测结果表明,即使对采用加密通信和无固定通信时间间隔的僵尸程序,该算法仍然能够有效地识别出这些僵尸网络之间的关系。通过与相关研究工作的对比表明,该算法在分析的准确度、僵尸网络的类型和加密通信等方面均优于相关研究成果。

摘要：为了能够快速掌握指纹特征并及时准确检测新型僵尸网络,对指纹特征提取算法进行了研究.在已有算法的基础上依据僵尸网络指纹特征分布的特点,提出了适用于该指纹特征自动提取的算法及系统设计框架,使其能够自适应地对不同功能的数据流分别进行指纹特征提取.实验结果表明,改进后算法获取的有效指纹特征数要远远优于改进前算法提取的有效特征数,从而能够更好地检测僵尸网络的众多变种.

摘要：近年来,随着僵尸网络的发展,它所带来的安全威胁越来越严重,因此成为了国内外的研究重点。僵尸网络仿真是深入开展僵尸网络研究的基础,也是当前研究的热点。提出一种基于测试床的僵尸网络仿真方案。该方案利用可扩展语言对仿真场景进行定制描述,以此为基础,仿真系统通过仿真场景的封装、仿真场景的自动化配置、数据的采集与展示等关键技术和模块,实现了仿真场景可定制、仿真环境可自动部署、仿真过程可控制等仿真实验功能。最后,通过典型场景的仿真实验验证了该系统的有效性,并对仿真环境自动部署等功能的效率进行了评估。

摘要：僵尸网络分析实验是南开大学信息安全专业本科生课程"恶意代码分析"的重要组成部分,其目的是帮助学生加深对僵尸网络工作机制的理解,掌握恶意代码的分析方法与技术。该文从南开大学信息安全专业实验室的实验条件出发,设计了僵尸网络分析的实验教学环境,结合代表性样本Zeus分析实例对实验的内容和步骤进行了讨论。

摘要：利用僵尸网络发送垃圾邮件是网络黑产领域常见的攻击手段,近年来随着区块链技术的广泛应用,借助数字货币实现匿名转账的新型勒索邮件攻击也逐渐兴起,给网络空间安全带来极大威胁.本研究以北京大学邮件系统为研究对象,设计了一套面向勒索欺诈邮件僵尸网络的分析框架,基于知识抽取实现勒索欺诈邮件的检测,采用预训练模型对邮件发送僵尸网络进行聚类分析,进一步探索攻击者利用加密货币的洗钱网络.在真实数据集上的实验结果表明,相比经典的邮件过滤模型,该框架可有效检测新型勒索欺诈邮件,抽取文本中的结构化语义信息,为勒索欺诈邮件等网络攻击行为的取证、溯源提供了思路.

摘要：僵尸网络是当前互联网上存在的一类严重安全威胁。传统的被动监控方法需要经过证据积累、检测和反应的过程,只能在实际恶意活动发生之后发现僵尸网络的存在。提出了基于僵尸网络控制端通信协议指纹的分布式主动探测方法,通过逆向分析僵尸网络的控制端和被控端样本,提取僵尸网络通信协议,并从控制端回复信息中抽取通信协议交互指纹,最后基于通信协议指纹对网络上的主机进行主动探测。基于该方法,设计并实现了ActiveSpear主动探测系统,该系统采用分布式架构,扫描所使用的IP动态变化,支持对多种通信协议的僵尸网络控制端的并行扫描。在实验环境中对系统的功能性验证证明了方法的有效性,实际环境中对系统扫描效率的评估说明系统能够在可接受的时间内完成对网段的大规模扫描。

摘要：针对僵尸网络传播过程中的节点转化关系,基于元胞退火算法提出了一种刻画方法 (botnet detecting algorithm based on cellular annealing,BDCA)。通过定义僵尸网络中普通节点、易感染节点和感染节点之间的转化关系,建立平衡条件下的最优目标函数,并利用元胞退火算法对目标函数进行求解。利用OPNET进行仿真实验,对比分析了该算法与其它算法之间的性能状况,并深入研究了影响BDCA算法的关键因素。实验结果表明了该算法具有较好的适应性。

摘要：僵尸网络(BOTNET)是互联网网络的重大安全威胁之一,本文对僵尸网络的蔓延、通信和攻击模式进行了介绍,对僵尸网络发现、监测和控制方法进行了研究。针对目前最主要的基于IRC协议僵尸网络,设计并实现一个自动识别系统,可以有效的帮助网络安全事件处理人员对僵尸网络进行分析和处置。

摘要：针对现有僵尸网络检测体系结构中协同功能的不足,提出一个层次协同模型,能够在信息、特性以及决策3个级别上进行信息共享与配合联动。基于该模型,提出一个僵尸网络协同检测体系结构——Bot_CODA,并设计了一个新型的特性提取模块,能够从多种数据中提取僵尸网络的内在特性。通过典型案例分析,表明Bot_CODA能够有效提高检测精度,增强检测能力。