科技网

当前位置: 首页 >数码

德研发出僵尸网络检测新技术成功率高达77

数码
来源: 作者: 2019-05-17 01:50:33

新政把滴滴绑在起跑线出行创新或失掉下个十
2012红顶奖揭晓海尔摘得冰洗两项大奖凸
售价到达一亿元史上最贵的iPhone5开

近日,德国哥廷根大学傅晓明教授领导的研究团队与美国加利福尼亚大学圣巴巴拉分校合作,成功开发出了国际上第一个不需要深度包检测,完全基于纯络层包头信息的僵尸络检测新方法。

僵尸络(Botnet)是一种恶意软件,它通过在多个用户主机或服务器中隐秘安装计算机程序,攻击计算机,使其自动执行某些指令,从而向互联主机大量发送垃圾邮件、盗取受感染计算机信息、发起络分布式拒绝访问攻击(DDoS)等。僵尸络目前已成为影响互联安全炒辣子鸡的做法
的1大主因。

探测和关闭僵尸络越来越困难

迄今为止,用于检测并减轻僵尸络效应的技术可以分为两类:基于络的方法和基于主机的方法。基于主机的方法主要依靠安装反病毒软件进行络监测。这种方法一方面需要用户具有高级计算机管理能力,以便对病毒库日常更新并正确清算病毒;而另一方面却常常没法检测到僵尸络感染。例如,研究人员在1万台感染了财务/银行类特洛伊木马Zeus的计算机中发现,高达71%的计算机安装了最新反病毒软件,而且55%的计算机还始终保持日常病毒库更新。

目前国际上开发的基于络的大部分僵尸检测方法通过获取并分析各主机之间的数据通信包,不需要在所有用户机上安装反病毒软件,而是分析数据包中的内容,因此相对比较有效。基于络的僵尸分析办法包括简单的模式匹配、分析受感染的计算机和僵尸后台主控机之间的通讯(即僵尸络的命令与控制,C C)。然而,随着那些有专门躲避探测功能,并使用特制加密码运行的僵尸络的出现,探测和关闭僵尸络变得越来越困难。

这背后深层次的缘由是,各种僵尸络不再以恶作剧为主,而更多的用于恶性攻击和络经济犯罪等目的,从而采取了更智能的办法以防止被各种反病毒软件轻易追踪和消除。

新方法大大提升僵尸络检测成功率

针对僵尸软件设计者最近开始对C C进行模糊化或加密处理,致使对僵尸通讯包的分析越来越难采用深度包检测的情况,德国哥廷根大学傅晓明教授大学生毕业后档案怎么办
领导的研究团队与美国加利福尼亚大学圣巴巴拉分校合作,开发了一种不需要深度包或内容分析,完全基于纯络层包头信息的僵尸络检测新方法——BotFinder。

在接受科技采访时,该研究团队负责人傅晓明教授说:“这一新方法的主要原理是抽取僵尸络产生的数据流量特征,基于统计学分析和机器学习方法针对不同的‘僵尸络家族’进行分析,然后对实际的络流量进行检测。”

傅晓明教授表示,通过BotFinder在某大型运营商通过NetFlow获取的包括250多亿个数据流的实际络数据(约0.5PB字节)进行评价,发现BotFinder比目前基于内容检测的系统BotHunter效果更好,能够检测到高达77%的僵尸。而根据僵啤酒小龙虾的做法
尸络家族的不同,BotFinder检测成功率为49%到100%不等,同时假阳性概率非常低,相比之下BotHunter检测成功率仅为0到24%。在上述实验中,BotFinder发现某种僵尸感染了其中542台主机。

傅晓明教授说:“作为一种新颖、高效的纯络层僵尸络检测技术,BotFinder可以比较方便地部署在运营商的边界路由器上。如果和主机上的反病毒软件一起使用,BotFinder甚至能提供更好的歹意软件检测效果。”该研究成果已发表在近期举行的计算机络界顶级会议之一——美国计算机协会新兴络实验与技术国际会议(ACM CoNEXT)上。(驻德国 李山)

孩子嗓子痒咳嗽吃什么药
孩子嗓子痒咳嗽吃什么药
孩子嗓子痒咳嗽吃什么药

相关推荐