肉毒杆菌

BotMiner:用于协议和结构无关的僵尸网络检测的网络流量聚类分析。僵尸网络现在是许多互联网攻击的关键平台,如垃圾邮件、分布式拒绝服务(DDoS)、身份盗窃和网络钓鱼。目前大多数的僵尸网络检测方法只适用于特定的僵尸网络命令与控制(C&C)协议(如IRC)和结构(如集中式),并且随着僵尸网络改变其C&C技术而变得无效。在本文中,我们提出了一个通用的检测框架,它独立于僵尸网络的C&C协议和结构,并且不需要任何僵尸网络的先验知识(例如捕获的bot二进制文件以及botnet签名和C&C服务器的名称/地址)。我们从僵尸网络的定义和本质属性入手。我们将僵尸网络定义为一组通过C&C通信通道控制的恶意软件实例。僵尸网络的基本特性是机器人与一些C&C服务器/对等机通信,执行恶意活动,并以类似或相关的方式进行。因此,我们的检测框架将相似的通信流量和相似的恶意流量进行聚类,并执行跨簇关联来识别共享相似通信模式和相似恶意活动模式的主机。因此,这些主机是受监控网络中的机器人。我们已经实现了我们的BotMiner原型系统,并使用许多实际的网络跟踪对其进行了评估。结果表明,该方法能够检测出真实世界中的僵尸网络(基于IRC的、基于HTTP的以及包括Nugache和Storm蠕虫在内的P2P僵尸网络),并且具有很低的误报率。