广告

BotTokenizer:利用恶意网络跟踪探索基于HTTP的僵尸网络的网络令牌

  • 彪旗
  • 石志新电子邮件作者
  • 王燕
  • 王吉志
  • 王启文
  • 蒋建国
会议文件
  • 962 下载
部分计算机科学讲义丛书(LNCS,第10726卷)

摘要

目前,恶意软件,特别是僵尸网络利用HTTP协议作为它们的通信和命令(C&C)通道来连接攻击者并控制受损的客户端。由于其广泛的流行性和跨越防火墙的便利性,恶意流量可以与合法流量混合,并且不会被发现。虽然基于网络特征的检测系统和模型具有检测效率高、准确率高等优点,但其可扩展性和自动化程度仍有待提高。

本文提出了一种新颖的基于令牌的网络流量检测系统。BotTokenizer通过使用分词技术,从来自不同僵尸网络家族的已知HTTP C&C通信中自动学习可识别的网络令牌。本质上,BotTokenizer只依赖于HTTP请求中的统一资源定位器(url)来实现粗粒度的网络签名生成原型。我们的评估结果表明,BotTokenizer在识别具有可接受分类错误的基于HTTP的僵尸网络方面表现得非常好。

关键词

基于HTTP的僵尸网络检测网络令牌分词

工具书类

  1. 1
    Antonakakis,M.,Demar,J.,Stevens,K.,Dagon,D.:揭开TDSS/TDL4的网络犯罪基础设施。Dam Balla研究报告(2012)谷歌学者
  2. 2
    Chiba,D.,Yagi,T.,Akiyama,M.,Aoki,K.,Hariu,T.,Goto,S.:BotProfiler:分析HTTP请求中子字符串的可变性,以检测受恶意软件感染的主机。在:2015 IEEE Trustcom/BigDataSE/ISPA,第1卷,第758-765页。IEEE(2015)谷歌学者
  3. 三。
    Garcia,S.,Grill,M.,Stiborek,J.,Zunino,A.:僵尸网络检测方法的实证比较。计算机。塞库尔。45,100–123(2014年)交叉引用谷歌学者
  4. 4
    Goebel,J.,Holz,T.:Rishi:通过IRC昵称评估识别受机器人程序污染的主机。热机器人7,8-8(2007年)谷歌学者
  5. 5
    Goodman,N.:僵尸网络技术进展调查。arXiv预印本arXiv:1702.01132(2017年)
  6. 6
    Gu,G.,Perdisci,R.,Zhang,J.,Lee,W.,et al.:BotMiner:用于协议和结构无关的僵尸网络检测的网络流量聚类分析。USENIX第139卷-安全研讨会(第154卷)谷歌学者
  7. 7
    Gu,G.,Yegneswaran,V.,Porras,P.,Stoll,J.,Lee,W.:主动僵尸网络探测以识别模糊的命令和控制通道。年度计算机安全应用会议,ACSAC 2009,第241-253页。IEEE(2009)谷歌学者
  8. 8
    Gu,G.,Zhang,J.,Lee,W.:BotSniffer:在网络流量中检测僵尸网络命令和控制通道(2008)谷歌学者
  9. 9
    Han,X.,Kheir,N.,Balzarotti,D.:PhishEye:实时监控沙盒钓鱼工具。In:2016 ACM SIGSAC计算机和通信安全会议记录,第1402-1413页。ACM(2016)谷歌学者
  10. 10
    Jang,J.,Brumley,D.,Venkataraman,S.:BitShred:用于可伸缩分类和语义分析的特征哈希恶意软件。第18届ACM计算机与通信安全会议论文集,第309-320页。ACM(2011年)谷歌学者
  11. 11
    Kim,H.A.,Karp,B.:自动签名:走向自动化、分布式蠕虫特征检测。在:USENIX安全研讨会,加利福尼亚州圣地亚哥,第286卷(2004年)谷歌学者
  12. 12
    Kirda,E.,Kruegel,C.,Banks,G.,Vigna,G.,Kemmerer,R.:基于行为的间谍软件检测。在:USENIX安全,第6卷(2006)谷歌学者
  13. 13
    Li,Z.,Sanghi,M.,Chen,Y.,Kao,M.Y.,Chavez,B.:Hamsa:具有可证明攻击弹性的零日多态蠕虫的快速特征生成。2006年IEEE安全与隐私研讨会,第15页。IEEE(2006)谷歌学者
  14. 14
    Lu,W.,Rammidi,G.,Ghorbani,A.A.:基于n-gram特征选择的僵尸网络通信流量聚类。计算机。公社。34(3) ,502–514(2011年)交叉引用谷歌学者
  15. 15
    Ma,J.,Saul,L.K.,Savage,S.,Voelker,G.M.:识别可疑网址:大规模在线学习的应用。第26届国际机器学习年会论文集,第681-688页。ACM(2009年)谷歌学者
  16. 16
    Malan,D.J.,Smith,M.D.:通过对等协作基于主机的蠕虫检测。2005年ACM快速恶意代码研讨会论文集,第72-80页。ACM(2005年)谷歌学者
  17. 17
    Nelms,T.,Perdisci,R.,Ahamad,M.:Execute:在实时网络中使用自适应控制协议模板挖掘新的C&C域。In:USENIX Security,第589-604页(2013年)谷歌学者
  18. 18
    Newsome,J.,Karp,B.,Song,D.:测谎仪:为多态性蠕虫自动生成签名。2005年IEEE安全与隐私研讨会,第226-241页。IEEE(2005)谷歌学者
  19. 19
    Perdisci,R.,Ariu,D.,Giacinto,G.:基于HTTP的恶意软件的可伸缩细粒度行为聚类。计算机。网络。57(2) ,487–500(2013年)交叉引用谷歌学者
  20. 20
    Perdisci,R.,Lee,W.,Feamster,N.:基于HTTP的恶意软件行为聚类和利用恶意网络跟踪生成特征码。In:NSDI,第10卷,第14页(2010年)谷歌学者
  21. 21
    Perdisci,R.等人:VAMO:走向全自动恶意软件聚类有效性分析。第28届计算机安全应用年会论文集,第329-338页。ACM(2012年)谷歌学者
  22. 22
    Rafique,M.Z.,Caballero,J.:FIRMA:具有混合网络行为的恶意软件群集和网络签名生成。摘自:Stolfo,S.J.,Stavrou,A.,Wright,C.V.(编辑),RAID 2013。LNCS,第8145卷,第144-163页。斯普林格,海德堡(2013年)。 https://doi.org/10.1007/978-3-642-41284-4_8 交叉引用谷歌学者
  23. 23
    Saad,S.,Traore,I.,Ghorbani,A.,Sayed,B.,Zhao,D.,Lu,W.,Felix,J.,Hakimian,P.:通过网络行为分析和机器学习检测P2P僵尸网络。2011年第九届国际隐私、安全与信任年会(PST),第174-180页。IEEE(2011)谷歌学者
  24. 24
    Sakib,M.N.,Huang,C.T.:使用基于异常检测的技术来检测基于HTTP的僵尸网络C&C流量。2016年IEEE国际通信会议(ICC),第1-6页。IEEE(2016)谷歌学者
  25. 25
    Singh,S.,Estan,C.,Varghese,G.,Savage,S.:自动蠕虫指纹识别。摘自:OSDI,第4卷,第4页(2004年)谷歌学者
  26. 26
    Small,S.,Mason,J.,Monrose,F.,Provos,N.,Stubblefield,A.:捕捉捕食者:一种自然语言方法来获取恶意有效载荷。USENIX–2008安全研讨会(第171页)谷歌学者
  27. 27
    Sourdis,I.,Pnevmatikatos,D.:基于10 Gbps FPGA的网络入侵检测系统的快速、大规模字符串匹配。作者:张永康,P.,康斯坦丁尼特斯,G.A.(编辑),FPL 2003。LNCS,第2778卷,第880-889页。斯普林格,海德堡(2003年)。 https://doi.org/10.1007/978-3-540-45234-8_85 交叉引用谷歌学者
  28. 28
    斯皮茨纳:蜜网计划:诱捕黑客。IEEE安全。私人。99(2) 第15-23页(2003年)交叉引用谷歌学者
  29. 29
    Wang,K.,Cretu,G.,Stolfo,S.J.:基于异常有效载荷的蠕虫检测和特征生成。In:Valdes,A.,Zamboni,D.(编辑)2005年的RAID。LNCS,第3858卷,第227-246页。斯普林格,海德堡(2006)。 https://doi.org/10.1007/11663812_12 交叉引用谷歌学者
  30. 30
    Wang,X.,Zheng,K.,Niu,X.,Wu,B.,Wu,C.:基于独立访问的高级持续威胁中的命令和控制检测。2016年IEEE国际通信会议(ICC),第1-6页。IEEE(2016)谷歌学者
  31. 31
    Witten,I.H.,Paynter,G.W.,Frank,E.,Gutwin,C.,Nevill Manning,C.G.:KEA:实用的自动关键词提取。第四届ACM数字图书馆会议论文集,第254-255页。ACM(1999)谷歌学者
  32. 32
    Wurzinger,P.,Bilge,L.,Holz,T.,Goebel,J.,Kruegel,C.,Kirda,E.:自动生成僵尸网络检测模型。在:Backes,M.,Ning,P.(编辑)ESORICS 2009。LNCS,第5789卷,第232-249页。斯普林格,海德堡(2009年)。 https://doi.org/10.1007/978-3-642-04444-1_15 交叉引用谷歌学者
  33. 33
    Xie,Y.,Yu,F.,Achan,K.,Panigrahy,R.,Hulten,G.,Osipkov,I.:垃圾邮件僵尸网络:特征和特征。ACM SIGCOMM计算机。公社。版次。38(4) 第171-182页(2008年)交叉引用谷歌学者
  34. 34
    Yin,H.,Song,D.,Egel,M.,Kruegel,C.,Kirda,E.:全景:捕获系统范围的信息流,用于恶意软件检测和分析。第14届计算机安全会议论文集,第116页。ACM(2007年)谷歌学者
  35. 35
    Zand,A.,Vigna,G.,Yan,X.,Kruegel,C.:为检测僵尸网络提取可能的命令和控制签名。第29届ACM应用计算研讨会论文集,第1657-1662页。ACM(2014)谷歌学者
  36. 36
    Zarras,A.,Papadogiannakis,A.,Gawlik,R.,Holz,T.:用于快速准确检测基于http的恶意软件的自动生成模型。2014年:第十二届国际隐私、安全与信任年会(PST),第249-256页。IEEE(2014)谷歌学者
  37. 37
    Zeidanloo,H.R.,Manaf,A.B.A.:通过监控相似的通信模式来检测僵尸网络。arXiv预印本arXiv:1004.1232(2010年)
  38. 38
    Zeng,Y.,Hu,X.,Shin,K.G.:使用主机和网络级别的组合信息检测僵尸网络。在:2010年IEEE/IFIP国际可靠系统和网络会议(DSN),第291-300页。IEEE(2010)谷歌学者
  39. 39
    Zhang,J.,Perdisci,R.,Lee,W.,Sarfraz,U.,Luo,X.:使用统计流量指纹检测隐形P2P僵尸网络。2011年IEEE第41P/IFIST国际会议(第41PP/IFIST)。IEEE(2011)谷歌学者

版权信息

©Springer International Publishing AG,Springer Nature 2018的一部分

作者和附属机构

  1. 1信息工程学院中国科学院北京中国
  2. 2网络安全学院中国科学院大学北京中国

个性化建议