×

BotMiner公司

swMATH ID: 21748
软件作者: Gu G F、Perdisci R、Zhang J等。
描述: BotMiner:用于协议和结构相关僵尸网络检测的网络流量聚类分析。僵尸网络现在是许多互联网攻击的关键平台,例如垃圾邮件、分布式拒绝服务(DDoS)、身份盗窃和钓鱼。大多数当前僵尸网络检测方法仅适用于特定的僵尸网络命令和控制(C&C)协议(例如IRC)和结构(例如集中式),并且随着僵尸网络更改其C&C技术,可能会变得无效。在本文中,我们提出了一个通用的检测框架,该框架独立于僵尸网络C&C协议和结构,不需要僵尸网络的先验知识(例如捕获的僵尸二进制文件以及僵尸网络签名和C&C服务器名称/地址)。我们从僵尸网络的定义和基本属性开始。我们将僵尸网络定义为通过C&C通信通道控制的恶意软件实例的协调组。僵尸网络的基本属性是,僵尸程序与一些C&C服务器/对等点通信,执行恶意活动,并以类似或相关的方式执行。因此,我们的检测框架将相似的通信流量和相似的恶意流量进行聚类,并执行跨簇关联以识别共享相似通信模式和相似恶意活动模式的主机。因此,这些主机是被监控网络中的机器人。我们已经实现了BotMiner原型系统,并使用许多真实的网络跟踪对其进行了评估。结果表明,它能够检测真实世界的僵尸网络(基于IRC、基于HTTP以及包括Nugache和Storm蠕虫在内的P2P僵尸网络),并且具有很低的误报率。
主页: https://dl.acm.org/citation.cfm?id=1496721
相关软件: ExecScent公司;机器人嗅探器;里希;失忆症;BitBlaze公司;吉隆坡机场;ElemStatLearn(电子状态学习);展开图;KEA公司;FIRMA公司;VAMO公司;测谎仪;哈姆萨;自动图;比特切碎;PhishEye公司;机器人探查器;BotTokenizer软件;电磁流量计;BotGraph(机器人程序图)
引用于: 5文件

按年份列出的引文