超级会员免费看
基于流量周期性的有效僵尸网络检测特征选择
1. 引言
如今,网络安全面临的威胁日益增加,常见的攻击包括垃圾邮件、分布式拒绝服务(DDoS)和网络钓鱼等。攻击者利用高速网络连接,开发新的攻击方法,感染不同位置的机器,同时避免被检测。因此,开发一种高效的方法来检测攻击者的恶意活动并防止网络主机感染变得至关重要。
僵尸网络是由被感染的机器(称为僵尸程序)组成的网络。僵尸程序是安装在易受攻击主机上的恶意程序,可通过下载恶意文件、访问受感染网站等方式安装。通常,用户启动机器时,僵尸程序会被初始化,然后通过命令和控制(C&C)通道接收来自僵尸网络控制者的命令,执行恶意操作。C&C 通道是僵尸程序与其他类型恶意软件的区别所在,而且在攻击执行之前会有 C&C 通信流量,检测这些流量有助于在攻击目标之前发现僵尸程序。
僵尸网络的 C&C 通道机制不断发展,采用了多种架构(如集中式、P2P 和混合式)和不同协议(如 IRC、HTTP),以创建更复杂、健壮和隐蔽的通信模型。例如,新一代僵尸网络使用标准 HTTP 协议和端口 80 来模仿正常的 Web 流量,绕过当前的网络安全系统。HTTP 僵尸网络与 C&C 服务器的周期性通信可以被利用来检测它们。
2. 相关工作
有许多僵尸网络检测技术,其中基于网络的检测方法是一种有效的方法。早期,网络中会设置蜜罐来捕获恶意软件并了解其行为。基于网络被动监控的僵尸网络检测和分析技术可进一步分为基于签名的技术、基于异常的技术、基于 DNS 的技术和基于挖掘的技术。
- 基于签名的检测技术只能检测已知形式的僵尸程序,对未知僵尸程序无效。
- 基于异常的检测技术通过分
订阅专栏 解锁全文
扫一扫
810
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
