僵尸网络检测

包大小
-加权移动平均值 -加权移动变化值 Your site here
网络
检测
3、机器学习方法——IRC 、机器学习方法
相关文献： Using Machine Learning Techniques to Identify Botnet Traffic 启发式过滤 与命令控制流的过滤方法类似，对一个已经的僵尸网络的流进行学习 第一阶段：区分IRC流量与非IRC流量 朴素贝叶斯分类器(效果最好) 贝叶斯网络分类器 J48决策树 第二阶段：区分正常IRC通信与僵尸网络控制流 朴素贝叶斯分类器 贝叶斯网络分类器(效果最好) J48决策树
过滤掉非TCP数 据流、连接失败 的包； 过滤高比特的数 据流、非聊天数 据包、40字节以 下的数据包；
区分IRC数据流 和非IRC数据流； 平均数据包大小； 平均比特率； 平均包率； 持续时间；
包传送间隔
-最近的传送间隔 -加权移动平均值 -加权移动变化值
一个流看作5维空间里的一 个点.前3个维度是包的传送 间隔,第4,5维是数据包的大 小
扫描 水平扫描—一个端口 垂直扫描—一个IP 块扫描—多个端口多个IP
Your site here
DNSŠk 测 Šk 检测 检
1、将DNS系统作为一个 、 系统作为一个IDS 系统作为一个
相关文献：The Domain Name Service as an IDS： How DNS can be used for detecting and monitoring badware in a network 采集DNS数据 一是通过在DNS服务器上运行日志程序将收到的查询请求记录到数据库 中，但如果客户端不使用本地的DNS服务器则采集不到； 另一种方法是在网络流量中过滤出DNS通信，处理后记录到数据库中， 这样不论客户端是否使用本地DNS服务器都可被采集到。 分析DNS数据 查询已知的恶意域名 监测被感染主机的查询 异常查询（新查询的域名） 域名解析时间差 不常用的查询(MX/AXFR)
Your site here
聚类分析模型
通信流特征分析
表1典型的流特征
start/end pkts Bytes duration ppf abpp abps apps 个数 流中平均每 包字节 流中平均每 秒字节 流中平均每 秒数据包 ppf(单位：个) abpp (单位：字节/包) abps (单位：字节/秒) apps(单位：个/秒) 1825 912 0.5 2367460 65 76 3 2367460 开始时间和 结束时间 流中双方传 输的数据包总数 流中双方传 输的总字节数 流持续时间 流中数据包
Your site here
我的毕设—基于数据流的僵尸网络检测 我的毕设 基于数据流的僵尸网络检测
检测模型构建： 无论是哪种结构的 僵尸网络都存在通 通 信流和活动数据流 信流 活动数据流
1、推式C&C结构
2、 拉式C&C结构 3、 分布式C&C结构
Your site here
Hale Waihona Puke Baidu
流量监测模型
通信监测平台捕获网络数据流，并记录通信双方的IP。本文只关 注TCP/UDP数据流。日志中的信息是为了聚类阶段做准备，每个数 据流记录的信息应该包括这些项：时间、持续时间、源IP、目的IP、 源端口、目的端口、双方传输的包的数量和字节数。 活动监测平台通过分析被监测网络的出境数据流，检测内部主机 执行的恶意活动。由于僵尸网络控制者常常发起漏洞扫描、垃圾邮 件、二进制下载、缓冲区溢出等恶意活动[41,42,43][l1] ，所以活动监测 平台主要关注上述四类活动。
Your site here
网络
检测
4、基于行为的网络流数据检测 、
相关文献： Detecting Botnets Based on Their Behaviors perceived from Netflow Data 根据恶意活动签名检测僵尸网络 DDoS TCP SYN flooding—使用SYN控制包检测 UDP flooding—陡增的流量 垃圾邮件 1.计算入境的SMTP流/出境的SMTP流，小于0.005的留下 2.对外连接大于200的IP留下 3.如果idle time>80%, 该IP留下 4.过滤后的IP计算以下值
扫描活动： score ( h1) = score (h 2) = score ( h3) = 0 + ϕ ( AS ) *1 = 0 + 2 *1 = 2; 下载活动： score( h1) = score(h 2) = score(h3) = 0 + ϕ ( AL) *1 = 0 + 1*1 = 1; 垃圾邮件： score(h1) = score(h 2) = score(h3) = 0 + ϕ ( AE ) *1 = 0 + 2 *1 = 2; score ( h1) = score (h 2) = score ( h3) = 0 + ϕ ( AD ) *1 = 0 + 2 *1 = 2; DDoS：
3、BotProbe系统 、 系统——因果关联 系统 因果关联
相关文献：Active Botnet Probing to Identify Obscure Command and Control Channels 非人为引起的
Your site here
BotHunter和BotProbe针对单个bot，botminer和botsniffer针对bot群
Your site here
DNSŠk 测 Šk 检测 检
2、DNS通信数据挖掘 、 通信数据挖掘
相关文献：基于DNS通信数据挖掘的Botnet检测方法研究 DNS数据采集 在DNS服务器上运行日志程序记录查询请求 网络流量中过滤出DNS通信 训练数据 数据挖掘算法 ripper算法 算法的基本思想 : 训练过程分为两部分 : 根据贪心原则(greedy)采用启发式方法(heuristics)利用信息增益的手段构造一个 最初的规则集合 ; 通过一个优化过程剪除(prune)规则集合并提高规则集合的准确性. 分类过程: 文档满足某个规则就认为它属于该类.
Your site here
活动聚类模型
Your site here
关联模型
目的：找出两个类群的联系，进一步证明一个主机是属于某个僵尸网络的。
score ( h ) =
ϕ ( AS ) = 2
∑ ϕ ( A m )ϕ ( A n )
m ,n m>n
Am ∩ An Am ∪ An
+ ∑ ϕ ( A i)
优点：对于有扫描和DDoS活动的使用不同协议的僵尸网络都能检测 优点： 不足：对于没有执行扫描和DDoS活动的僵尸网络无法检测 不足：
2、命令控制流——IRC 、命令控制流
相关文献：Detecting Botnets with Tight Command and Control
过滤时期
分类时期
关联时期
LOGO
Botnet Detection
滨工业 学（ 网络与
）
Contents
1 2 3 4 网络 检测
DNSŠk 测 Šk 检测 检 罐 网 检测
Your site here
检测
-
针对IRC协议 称—针对 针对 协议
Rishi系统 系统
相关文章：Rishi : Identify bot contaminated host s by IRC nickname evaluation 僵尸程序必须采取一定随机策略避免昵称的重复， 固定串+ 特殊字符+ 随机串 USA|016887436，bmdut _13，RBOT|XP|48124 根据已存在的昵称模式与捕获的昵称匹配 昵称评分系统
2、BotSniffer系统 、 系统——水平关联 系统 水平关联
相关文献：BotSniffer Detecting Botnet Command and Control Channels 协议分析模块
BotMiner系统 系统——水平关联 系统 水平关联
相关文献：BotMiner Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection 通信流分析模块 同一僵尸网络内的bot间的协作性和相似性
Your site here
通信聚类算法--K均值算法 均值算法 通信聚类算法
特征向量表示： 使用12小时作为一个时间长度，为了近似的描述出fph的分布情况，我们将 轴划分为12个区间，向量 V = [1,20,1,0,0,0,0,0,0,0,0,0] ppf, abpp, abps类似表示
fph
优点：简单高效，准确率高，漏报率也高 优点： 不足： 只对IRC协议的僵尸网络有效 不足：
对于无规律生成的昵称无法检测
Your site here
检测
IRC botnet
PING/PONG数据包的比例 Bot连接服务器后到加入频道的时间差
HTTP botnet
与服务器周期性的连接
P2P botnet
所以关注流量特征：ppf,abpp,apps 考虑到僵尸网络具有时区性，增加一个流量特征fph(flow per hour)
Your site here
通信聚类模型
职能：负责读取通信监测平台生成的日志文件并将具有类似通信模式的主机 群聚类到一起
用于聚类的四个流量特征 1、每小时流量数(the number of flows per hour，缩写为fph)：计算 中 的TCP/IP数据流的个数。 2、每个数据流的数据包个数(the number of packets per flow，缩写为 ppf)：计算 每个中数据流发出的数据包总数。 3、平均每个数据包的字节数(the average number of bytes per packets，缩写为abpp)：每个 传输的总字节数除以fj发送的数据包的总数。 4、平均每秒字节数(the average number of bytes per second，缩写为 abps)： 中每个 传送的字节总数除以 的持续时间后的总和。
Your site here
阈值确定
实验环境：3台可控僵尸主机 h
1
阈值 取1
− h
3
，3台正常主机 h
4
− h6
。
因为正常主机没有任何恶意活动，公式右边第一项和第二项都为0 。
score ( h 4 ) = score ( h 5 ) = score ( h 6 ) = 0
情况1：同一个僵尸网络的所有僵尸主机执行同样的恶意活动
i, j
A i ∩ fj A i ∪ fj
ϕ ( AL) = 1
ϕ ( AE ) = 2
ϕ ( AD ) = 2
公式前半部分所表示的是一个主机同时执行了2个恶意活动的分数，两个集合的 交集除以两个集合的并集，表示2个恶意活动都出现的统计情况；后半部分表示 fj流分类 中出现恶意活动 的分布情况。 score值大于某个阈值时，就表示进行了主机 进行恶意活动与通信活动，我们就 score 认为是一个可疑僵尸主机，倘若 ， ( h i ) > θ , score ( h j ) > θ ，而且hi和hj 属于同一 个流分类 ，则他们属于同一个僵尸网络
表2僵尸程序与正常客户端流量特征对比
流量特征 start/end (pcap记录时间) pkts (单位：个) Bytes(单位：字节) duration(单位：秒) 僵尸程序 1213026691/ 1213076148 1768 121264 49457 正常客户端 1274611864/ 1274650539 4875 378750 48675
暂无
Your site here
网络
检测
1、TCP扫描权重 、 扫描权重——IRC,HTTP,P2P 扫描权重
相关文献：An algorithm for anomaly-based botnet detection. 计算TCP扫描权重的公式 w = (Ss + Fs + Rr)/Tsr 公式计算所有TCP控制报文数（SYN 包、FIN包、RESETS包）占总TCP报文数 的比例
Your site here
罐 检测
Gu,GuoFei
1、BotHunter系统 、 系统——垂直关联 系统 垂直关联
相关文献：BotHunter Detecting Malware Infection Through IDS-Driven Dialog Correlation http://www.bothunter.net/可免费下载安装软件 bot感染生命周期中各个阶段的对话