CN103401838A - 一种基于僵尸程序传播行为的僵尸网络预防方法 - Google Patents
一种基于僵尸程序传播行为的僵尸网络预防方法 Download PDFInfo
- Publication number
- CN103401838A CN103401838A CN2013102739615A CN201310273961A CN103401838A CN 103401838 A CN103401838 A CN 103401838A CN 2013102739615 A CN2013102739615 A CN 2013102739615A CN 201310273961 A CN201310273961 A CN 201310273961A CN 103401838 A CN103401838 A CN 103401838A
- Authority
- CN
- China
- Prior art keywords
- model
- botnet
- user
- network
- social contact
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于僵尸程序传播行为的僵尸网络预防方法,包括:建立用户社交网络访问模型和可疑链接点击模型;建立僵尸网络传播防御博弈模型;建立目标网络用户社交网络结构模型。在此基础上,将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中,给出耦合模型的仿真系统,并基于建立的目标网络用户社交网络结构运行仿真系统,进而为目标网络提供防御措施。本发明针对基于社交网络的僵尸网络预防问题,通过建立耦合目标网络用户行为的僵尸网络传播防御博弈模型,评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户,为目标网络预防僵尸程序的传播和攻击提供防御措施,从而提高网络安全性能。
Description
技术领域
本发明涉及网络安全技术领域,具体是一种基于僵尸程序传播行为的僵尸网络预防方法。
背景技术
僵尸网络是可被攻击者通过命令与控制信道远程控制的可协同的计算机群,依据僵尸网络的工作机制,僵尸网络的活动主要分为传播、攻击、命令与控制这三个阶段。利用僵尸网络,攻击者可以发起分布式拒绝服务攻击、在线身份窃取、垃圾邮件、木马和间谍软件批量分发等网络攻击。作为攻击者手中最有效的通用攻击平台,各种僵尸网络的数量呈逐年指数级增长,各种攻击活动也越来越频繁,已经成为目前互联网络上最为严重的安全威胁之一。
目前,僵尸网络的检测、测量和对抗等防御技术都是事后响应技术,在攻击被检测到之后才能做出响应,但此时已为时过晚,可能已经造成严重的损失,缺乏主动性和对攻击的预测能力。此外,随着电子邮件网络、P2P内容共享网络、即时聊天网络和在线社交网站等社交网络的广泛使用, 出现一种基于社交网络传播与控制的僵尸网络。这类僵尸网络不仅能够通过各种方式诱惑用户点击进行传播,更具有欺骗性和隐蔽性;而且能基于社交网络搭建控制能力更强、隐蔽性更好的命令与控制信道,给僵尸网络的防御带来了很大的难度。
申请号为201310011764.6的专利公开了一种面向社交网络的恶意代码传播预测方法及系统,主要方案可概括为:(1)利用爬虫程序采集真实社交网络数据信息,并基于统计学原理进行处理;(2)提取数据信息统计特征,计算对基于社交网络传播的恶意代码传播行为进行建模所需的相关特征值;(3)将相关特征值输入模拟仿真平台,基于随机过程对面向社交网络传播的恶意代码传播行为进行建模;(4)根据模型输出数据,分析和预测面向社交网络传播的恶意代码的传播态势,并进行可视化展示。该方法能通过对恶意代码传播环境和过程的模拟仿真预测恶意代码的传播态势,但是该方法仅仅是对传播态势的预测,没有分析网络中存在的安全隐患,无法给出针对性的防御措施和加固方案。此外,该方法基于随机过程模拟恶意代码的传播过程,无法刻画恶意代码攻防过程中攻击者所选择的传播方式(策略)的影响。
申请号为201210499783.3的专利公开了一种基于社交网络的僵尸网络检测及对抗方法,主要方案可概括为:(1)在网络中设置蜜罐和/或蜜网,捕获僵尸程序;(2)分析捕获的僵尸程序,判断是否为基于社交网络控制的僵尸网络;(3)对基于社交网络控制的僵尸网络,采集该僵尸网络的通信数据,并依据采集的数据提取僵尸网络的通信特征;(4)进一步地,依据通信特征挖掘该僵尸网络的所有成员;(5)对检测到的僵尸网络,借助结点清除、网络抑制、网络劫持等对抗技术销毁僵尸网络。该方法首先要利用蜜罐和蜜网捕获僵尸程序,然后要挖掘出全部僵尸网络成员,之后才能给出对抗措施。但是,基于蜜罐或蜜网的捕获技术是守株待兔式的检测技术,通常只有在僵尸网络的入侵或攻击活动大规模发生时才可能检测到。因此,该方案对僵尸网络的响应严重滞后,没有事先评估僵尸网络入侵或攻击的危害性,进而也无法给出有效的预防措施,缺乏主动性和对攻击的预测能力。
发明内容
本发明针对基于社交网络的僵尸网络预防问题,通过建立耦合用户社交网络访问模型和可疑链接点击模型的僵尸网络传播防御博弈模型,评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户,为目标网络预防僵尸程序的传播和攻击提供预防措施,从而提高网络安全性能。
本发明提供的技术方案是:一种基于僵尸程序传播行为的僵尸网络预防方法,包括:
建立用户社交网络访问模型和可疑链接点击模型;
建立僵尸网络传播防御博弈模型;
建立目标网络用户社交网络结构模型;
在此基础上,将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中,给出耦合模型的仿真系统,并基于建立的目标网络用户社交网络结构模型实现仿真系统,进而为目标网络提供防御措施。
进一步地,所述的建立用户社交网络访问模型和可疑链接点击模型包括:
建立用户社交网络访问模型和用户可疑链接点击模型;
从目标网络服务器上收集用户访问网络的历史数据;
从上述数据中挖掘出用户访问社交网络的时间序列;
基于用户社交网络访问时间序列,利用数学方法确定用户社交网络访问模型和用户可疑链接点击模型中的参数。
进一步地,所述的建立僵尸网络传播防御博弈模型,基于离散Markov博弈模型建立,包括以下部分:
博弈参与者;
策略空间;
博弈双方收益函数,其中攻击者的收益函数是:
进一步地,所述的建立目标网络用户社交网络结构模型包括:
利用爬虫技术收集允许公开访问的社交网络上的用户数据并统计网络的度分布;
基于网络的度分布,用BA无标度网络模型构造算法生成全局社交网络;
从目标网络服务器上挖掘并构建对应的用户社交网络,随机选择全局社交网络中的节点与用户社交网络中的节点进行连接,连接数由目标网络用户节点的实际连接数给定,由此生成目标网络用户社交网络。
更近一步地,所述的实现提供防御措施的仿真系统包括:
基于虚拟机技术和随机仿真技术实现系统,并在目标网络上部署系统;
利用仿真系统进行僵尸网络攻防的实验推演,评估僵尸网络借助各种社交网络传播的安全威胁,为目标网络管理员提供各个时段需要重点监控的用户或一组用户;
利用仿真系统进行僵尸网络攻防的实验推演,评价用户社交网络访问模型的脆弱性;基于评价结果,提供需要改变的用户访问模式,即安全加固方案。
本发明利用目标网络用户的历史访问数据建立模型预测用户的未来访问行为,并将该行为耦合到僵尸网络传播防御模型中,基于目标网络参数建立僵尸网络赖以传播的网络环境,通过在该网络环境中对传播防御模型的仿真实验推演,在僵尸网络的传播和攻击行为发生之前,实现:
(1)评估僵尸网络各种传播途径的安全威胁,为目标网络管理员提供各个时段需要重点监控的、脆弱性高的用户或用户簇;
(2)评估用户的社交网络访问模式对僵尸网络传播过程的影响,将需要改变的用户访问模式作为安全加固方案提供给目标网络管理员。
综上,本发明为目标网络预防僵尸程序的传播和攻击提供了预防措施,具有主动性和对攻击的预测能力,有效提高了网络安全性能。
附图说明
图1为基于社交网络的僵尸程序传播过程的示意图;
图2为本发明的基本原理示意图。
具体实施方式
下面结合附图对本发明作进一步说明,本具体实施例仅仅是对本发明的解释,其并不是对本发明的限制,本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本发明的权利要求范围内都受到专利法的保护。
如图1所示,基于社交网络传播的僵尸程序在传播过程中需要3个步骤:(1)初始感染用户A基于QQ、Gmail、新浪微博、人人网等发送带恶意链接的消息给好友B;(2)用户B登陆对应社交网络,点击链接,访问恶意服务器;(3)僵尸程序被下载并安装到用户B的机器上;(4)用户B的好友同样被感染。因此,用户访问社交网络并点击恶意链接是僵尸程序传播的必要环节。
如图2所示,本发明公开的一种基于僵尸程序传播行为的僵尸网络预防方法,包括:
(1)建立用户社交网络访问模型和可疑链接点击模型,包括:
从目标网络服务器上收集用户访问网络的历史数据;
从上述数据中挖掘出用户访问社交网络的时间序列;
(2)建立僵尸网络传播防御博弈模型,基于离散Markov博弈模型建立,包括以下部分:
博弈双方收益函数,其中攻击者的收益函数是:
在一次交互中,如果攻击者选择某社交网络传播,则感染节点发送带恶意链接的消息给其在该社交网络上的邻居用户;在该次交互的时段内攻击者的收益包括两部分,①成功感染用户的收益:用户访问该社交网络(由用户社交网络访问模型确定),点击链接(由用户可疑链接点击模型确定),且该时段用户没被监测;②传播被监测到导致的负收益:用户访问该社交网络,且该时段用户刚好被监测。在交互中,防御者的收益综合考虑了监测的费用、成功防御的收益和用户被感染的损失等。
(3)建立目标网络用户社交网络结构模型,包括:
利用爬虫技术收集允许公开访问的社交网络上的用户数据并统计网络的度分布;
基于网络的度分布,用BA无标度网络模型构造算法生成全局社交网络;
从目标网络服务器上挖掘并构建对应的用户社交网络,随机选择全局社交网络中的节点与用户社交网络中的节点进行连接,连接数由目标网络用户节点的实际连接数给定,由此生成目标网络用户社交网络。
(4)在上述模型的基础上实现提供防御措施的仿真系统,包括:
基于虚拟机技术和随机仿真技术实现系统,并在目标网络上部署系统;
利用仿真系统进行僵尸网络攻防的实验推演,评估僵尸网络借助各种社交网络传播的安全威胁,为目标网络管理员提供各个时段需要重点监控的用户或一组用户;
利用仿真系统进行僵尸网络攻防的实验推演,评价用户社交网络访问模型的脆弱性;基于评价结果,提供需要改变的用户访问模式,即安全加固方案。
在此基础上,将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中,给出耦合模型的仿真系统,并基于建立的目标网络用户社交网络结构模型实现仿真系统,进而为目标网络提供防御措施。
本发明通过建立目标网络用户的社交网络访问模型和可疑链接点击模型,评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户,为目标网络预防僵尸程序的传播和攻击提供预防措施,具有主动性和对攻击的预测能力,有效提高了网络安全性能。
Claims (5)
1.一种基于僵尸程序传播行为的僵尸网络预防方法,其特征在于,包括:
建立用户社交网络访问模型和可疑链接点击模型;
建立僵尸网络传播防御博弈模型;
建立目标网络用户社交网络结构模型;
在此基础上,将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中,给出耦合模型的仿真系统,并基于建立的目标网络用户社交网络结构模型实现仿真系统,进而为目标网络提供防御措施。
2.根据权利要求1所述的一种基于僵尸程序传播行为的僵尸网络预防方法,其特征在于,所述的建立用户社交网络访问模型和可疑链接点击模型包括:
建立用户社交网络访问模型和用户可疑链接点击模型;
从目标网络服务器上收集用户访问网络的历史数据;
从上述数据中挖掘出用户访问社交网络的时间序列;
基于用户社交网络访问时间序列,利用数学方法确定用户社交网络访问模型和用户可疑链接点击模型中的参数。
4.根据权利要求1所述的一种基于僵尸程序传播行为的僵尸网络预防方法,其特征在于,所述的建立目标网络用户社交网络结构模型包括:
利用爬虫技术收集允许公开访问的社交网络上的用户数据并统计网络的度分布;
基于网络的度分布,用BA无标度网络模型构造算法生成全局社交网络;
从目标网络服务器上挖掘并构建对应的用户社交网络,随机选择全局社交网络中的节点与用户社交网络中的节点进行连接,连接数由目标网络用户节点的实际连接数给定,由此生成目标网络用户社交网络。
5.根据权利要求1所述的一种基于僵尸程序传播行为的僵尸网络预防方法,其特征在于,所述的实现提供防御措施的仿真系统包括:
基于虚拟机技术和随机仿真技术实现系统,并在目标网络上部署系统;
利用仿真系统进行僵尸网络攻防的实验推演,评估僵尸网络借助各种社交网络传播的安全威胁,为目标网络管理员提供各个时段需要重点监控的用户或一组用户;
利用仿真系统进行僵尸网络攻防的实验推演,评价用户社交网络访问模型的脆弱性;基于评价结果,提供需要改变的用户访问模式,即安全加固方案。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310273961.5A CN103401838B (zh) | 2013-07-02 | 2013-07-02 | 一种基于僵尸程序传播行为的僵尸网络预防方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310273961.5A CN103401838B (zh) | 2013-07-02 | 2013-07-02 | 一种基于僵尸程序传播行为的僵尸网络预防方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103401838A true CN103401838A (zh) | 2013-11-20 |
CN103401838B CN103401838B (zh) | 2016-02-03 |
Family
ID=49565364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310273961.5A Expired - Fee Related CN103401838B (zh) | 2013-07-02 | 2013-07-02 | 一种基于僵尸程序传播行为的僵尸网络预防方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103401838B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262720A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | web机器人流量识别方法及装置 |
CN106506218A (zh) * | 2016-11-15 | 2017-03-15 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
CN107517200A (zh) * | 2017-07-21 | 2017-12-26 | 复旦大学 | 一种Web服务器的恶意爬虫防御策略选择方法 |
CN108898010A (zh) * | 2018-06-25 | 2018-11-27 | 北京计算机技术及应用研究所 | 一种建立面向恶意代码防御的攻防随机博弈模型的方法 |
CN109194684A (zh) * | 2018-10-12 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种模拟拒绝服务攻击的方法、装置及计算设备 |
CN109379322A (zh) * | 2018-05-16 | 2019-02-22 | 中国人民解放军战略支援部队信息工程大学 | 一种完全信息条件下网络动态变换的决策方法及其系统 |
CN110300106A (zh) * | 2019-06-24 | 2019-10-01 | 中国人民解放军战略支援部队信息工程大学 | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 |
CN111967645A (zh) * | 2020-07-15 | 2020-11-20 | 清华大学 | 一种社交网络信息传播范围预测方法及系统 |
CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
-
2013
- 2013-07-02 CN CN201310273961.5A patent/CN103401838B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
Non-Patent Citations (2)
Title |
---|
CHO CY: "Inference and analysis of formal models of botnet command and control protocols", 《PROC.OF THE17TH ACM CONF.ON COMPUTER AND COMMUNICATIONS SECURITY》, 31 December 2010 (2010-12-31), pages 426 - 439 * |
江健: "僵尸网络机理与防御技术", 《软件学报》, no. 1, 31 January 2012 (2012-01-31), pages 82 - 96 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262720A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | web机器人流量识别方法及装置 |
CN106506218A (zh) * | 2016-11-15 | 2017-03-15 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
CN106506218B (zh) * | 2016-11-15 | 2019-12-10 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
CN107517200B (zh) * | 2017-07-21 | 2020-05-26 | 复旦大学 | 一种Web服务器的恶意爬虫防御策略选择方法 |
CN107517200A (zh) * | 2017-07-21 | 2017-12-26 | 复旦大学 | 一种Web服务器的恶意爬虫防御策略选择方法 |
CN109379322A (zh) * | 2018-05-16 | 2019-02-22 | 中国人民解放军战略支援部队信息工程大学 | 一种完全信息条件下网络动态变换的决策方法及其系统 |
CN108898010A (zh) * | 2018-06-25 | 2018-11-27 | 北京计算机技术及应用研究所 | 一种建立面向恶意代码防御的攻防随机博弈模型的方法 |
CN109194684A (zh) * | 2018-10-12 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 一种模拟拒绝服务攻击的方法、装置及计算设备 |
CN110300106A (zh) * | 2019-06-24 | 2019-10-01 | 中国人民解放军战略支援部队信息工程大学 | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 |
CN111967645A (zh) * | 2020-07-15 | 2020-11-20 | 清华大学 | 一种社交网络信息传播范围预测方法及系统 |
CN111967645B (zh) * | 2020-07-15 | 2022-04-29 | 清华大学 | 一种社交网络信息传播范围预测方法及系统 |
CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103401838B (zh) | 2016-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103401838B (zh) | 一种基于僵尸程序传播行为的僵尸网络预防方法 | |
Huang et al. | A dynamic games approach to proactive defense strategies against advanced persistent threats in cyber-physical systems | |
CN107147670B (zh) | 基于博弈体系的apt防御方法 | |
Hewett et al. | Cyber-security analysis of smart grid SCADA systems with game models | |
Lu et al. | Optimizing active cyber defense | |
Fultz et al. | Blue versus red: Towards a model of distributed security attacks | |
Van Ruitenbeek et al. | Modeling peer-to-peer botnets | |
Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN110035066A (zh) | 一种基于博弈论的攻防行为量化评估方法及系统 | |
KR102117696B1 (ko) | 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치 | |
Laptiev et al. | Dynamic Model of Cyber Defense Diagnostics of Information Systems With The Use of Fuzzy Technologies | |
Ghafoor et al. | A Threat Detection Model of Cyber-security through Artificial Intelligence | |
CA3123332A1 (en) | Method for forecasting health status of distributed networks by artificial neural networks | |
Li et al. | Anti-honeypot enabled optimal attack strategy for industrial cyber-physical systems | |
Abulaish et al. | Socialbots: Impacts, threat-dimensions, and defense challenges | |
Haopu | Method for behavior-prediction of APT attack based on dynamic Bayesian game | |
Zheng et al. | Wmdefense: Using watermark to defense byzantine attacks in federated learning | |
Acarali et al. | Modelling DoS attacks & interoperability in the smart grid | |
Luo et al. | A fictitious play‐based response strategy for multistage intrusion defense systems | |
Hewett et al. | Smart Grid security: Deriving informed decisions from cyber attack game analysis | |
Yin et al. | Security measurement for unknown threats based on attack preferences | |
Soh et al. | Setting optimal intrusion-detection thresholds | |
Kinneer et al. | Modeling observability in adaptive systems to defend against advanced persistent threats | |
Hasan et al. | Predictive cyber defense remediation against advanced persistent threat in cyber-physical systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160203 Termination date: 20190702 |