基于覆盖率分析的僵尸网络控制命令发掘方法被引量：12

Using coverage analysis to extract Botnet command-and-control protocol

下载PDF

导出

摘要从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码空间。 There are some inherent patterns in the bot execution trace coverage of basic blocks. Using these patterns, an approach was proposed to infer Botnet command-and-control protocol （C＆C protocol）. Without intermediate representa- tion of binary code and constraints solving, this approach has a lower time and space overhead. This coverage analysis approach was evaluated on 3 famous Botnet： Zeus, Sdbot and Agobot. The result shows that this approach can accurately and efficiently extract the Botnet control commands. And the completeness of the extracted control commands could be veri- fied by checking whether aU available basic blocks in bot are covered by the traces triggered by the control commands.

作者王志蔡亚运刘露贾春福

机构地区南开大学计算机与控制工程学院

出处《通信学报》 EI CSCD 北大核心 2014年第1期156-166,共11页 Journal on Communications

基金国家自然科学基金资助项目(61300242 61272423 60973141) 国家重点基础研究发展计划("973"计划)基金资助项目(2013CB834204) 中央高校基本科研业务费专项基金资助项目(65121012) 南开大学-腾讯联合基金资助项目(2011-11)~~

关键词恶意代码分析僵尸网络命令与控制协议基本块覆盖率 malware analysis Botnet command-and-control protocol code block code coverage

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献9

1江健,诸葛建伟,段海新,吴建平.僵尸网络机理与防御技术[J].软件学报,2012,23(1):82-96. 被引量：63
2应凌云,杨轶,冯登国,苏璞睿.恶意软件网络协议的语法和行为语义分析方法[J].软件学报,2011,22(7):1676-1689. 被引量：23
3王志,贾春福,鲁凯.基于环境敏感分析的恶意代码脱壳方法[J].计算机学报,2012,35(4):693-702. 被引量：12
4方滨兴,崔翔,王威.僵尸网络综述[J].计算机研究与发展,2011,48(8):1315-1331. 被引量：63
5诸葛建伟,韩心慧,周勇林,叶志远,邹维.僵尸网络研究[J].软件学报,2008,19(3):702-715. 被引量：157
6王海龙,龚正虎,侯婕.僵尸网络检测技术研究进展[J].计算机研究与发展,2010,47(12):2037-2048. 被引量：22
7王天佐,王怀民,刘波,史佩昌.僵尸网络中的关键问题[J].计算机学报,2012,35(6):1192-1208. 被引量：23
8刘豫,王明华,苏璞睿,冯登国.基于动态污点分析的恶意代码通信协议逆向分析方法[J].电子学报,2012,40(4):661-668. 被引量：9
9王威,方滨兴,崔翔.基于终端行为特征的IRC僵尸网络检测[J].计算机学报,2009,32(10):1980-1988. 被引量：16

二级参考文献191

1程杰仁,殷建平,刘运,钟经伟.蜜罐及蜜网技术研究进展[J].计算机研究与发展,2008,45(z1):375-378. 被引量：35
2文伟平,卿斯汉,蒋建春,王业君.网络蠕虫研究与进展[J].软件学报,2004,15(8):1208-1219. 被引量：187
3杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信,2005,7(5):9-13. 被引量：14
4胡振宇,刘在强,苏璞睿,冯登国.基于协议分析的IM阻断策略及算法分析[J].电子学报,2005,33(10):1830-1834. 被引量：5
5张兆心,方滨兴,胡铭曾.支持IDS的高速网络信息获取体系结构[J].北京邮电大学学报,2006,29(2):118-122. 被引量：1
6孙彦东,李东.僵尸网络综述[J].计算机应用,2006,26(7):1628-1630. 被引量：29
7Oikarinen J, Reed D. Internet relay chat protocol. Request for Comments (RFC) 1459, IETF, May, 1993. 被引量：1
8Malan D J. Rapid detection of botnets through collaborative networks of peers [Ph. D. dissertation]. Harvard University, Cambridge, Massachusetts, 2007. 被引量：1
9Al-Hammadi Y, Aickelin U. Detecting bomets through log correlation//Proceedings of the IEEE/IST Workshop on Monitoring, Attack Detection and Mitigation. Tuebingen, Germany, 2006: 97-100. 被引量：1
10Binkley J R, Singh S. An algorithm for anomaly-based botnet detection//Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet. San Jose, CA, 2006:43-48. 被引量：1

共引文献293

1杜淑颖,杜鹏,丁世飞.基于CNN的假冒域名识别方法研究[J].中国科学技术大学学报,2020,50(7):1019-1025. 被引量：3
2胡树琪.租售“僵尸网络”控制权行为的刑法思索[J].新闻前哨,2018(3):63-64.
3王伟.基于相同度检测的僵尸网络防御模型研究[J].佳木斯教育学院学报,2012(5):468-469.
4宋元章,何俊婷,张波,王俊杰,王安邦.基于流角色检测P2P botnet[J].通信学报,2012,33(S1):262-269.
5李跃,翟立东,王宏霞,时金桥.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012,49(S2):1-8. 被引量：10
6李世淙,云晓春,张永铮.一种基于分层聚类方法的木马通信行为检测模型[J].计算机研究与发展,2012,49(S2):9-16. 被引量：12
7王海龙,胡宁,龚正虎.Bot_CODA:僵尸网络协同检测体系结构[J].通信学报,2009,30(S1):15-22. 被引量：9
8张雪松,徐小琳,李青山.算法生成恶意域名的实时检测[J].现代电信科技,2013,43(7):3-8. 被引量：1
9司成祥,孙波,杨文瀚,张慧琳,薛晓楠.基于分布式的僵尸网络主动探测方法研究[J].通信学报,2013,34(S1):197-206.
10蒿敬波,殷建平.蠕虫Agent的智能扫描技术[J].广西师范大学学报（自然科学版）,2008,26(1):249-252.

同被引文献220

1李跃,翟立东,王宏霞,时金桥.一种基于社交网络的移动僵尸网络研究[J].计算机研究与发展,2012,49(S2):1-8. 被引量：10
2王涛,余顺争,谢逸.基于HTTP会话过程跟踪的网页挂马攻击检测方法[J].计算机研究与发展,2012,49(S2):46-54. 被引量：2
3李阳,王晓岩,王昆,沙瀛.基于社交网络的安全关系研究[J].计算机研究与发展,2012,49(S2):124-130. 被引量：10
4王海龙,胡宁,龚正虎.Bot_CODA:僵尸网络协同检测体系结构[J].通信学报,2009,30(S1):15-22. 被引量：9
5杨欢,张玉清,胡予濮,刘奇旭.基于权限频繁模式挖掘算法的Android恶意应用检测方法[J].通信学报,2013,34(S1):106-115. 被引量：47
6穆祥昆,王劲松,薛羽丰,黄玮.基于活跃熵的网络异常流量检测方法[J].通信学报,2013,34(S2):51-57. 被引量：20
7穆成坡,黄厚宽,田盛丰,林友芳,秦远辉.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685. 被引量：49
8李伟,田野,赵保华,周颢.一种ABNF编码协议消息的通用解析方法[J].计算机工程,2006,32(13):141-143. 被引量：3
9郭帆,余敏,叶继华.一种基于分类和相似度的报警聚合方法[J].计算机应用,2007,27(10):2446-2449. 被引量：11
10刘永斌,龙潜,冯志华,刘维来.一种非平稳、非线性振动信号检测方法的研究[J].振动与冲击,2007,26(12):131-134. 被引量：37

引证文献12

1高敏芬,蔡亚运.僵尸网络分析实验设计[J].实验技术与管理,2014,31(12):110-113. 被引量：1
2高敏芬,刘露.二进制代码分析实验平台搭建[J].实验室研究与探索,2015,34(5):116-118.
3徐正国,邓月华.未知网络协议逆向分析综述[J].电信技术研究,2015,0(3):47-58.
4付钰,李洪成,吴晓平,王甲生.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14. 被引量：81
5贺一峰,如先姑力.阿布都热西提,亚森.艾则孜.HTTP异常活动取证及可视化系统研究[J].微型电脑应用,2016,32(3):23-26. 被引量：3
6宋元章.基于排列熵与决策级多传感器数据融合的P2P僵尸网络检测方法[J].计算机科学,2016,43(7):141-146. 被引量：2
7宋元章,李洪雨,陈媛,王俊杰.基于分形与自适应数据融合的P2P botnet检测方法[J].山东大学学报（理学版）,2017,52(3):74-81.
8徐正国,姚佳奇,郑辉.具有抗噪性能的协议分类特征研究[J].计算机工程与应用,2018,54(17):95-102. 被引量：1
9Song Yuanzhang,Chen Yuan,Wang Junjie,Wang Anbang,Li Hongyu.Detection of P2P botnet based on network behavior features and Dezert-Smarandache theory[J].Journal of Southeast University(English Edition),2018,34(2):191-198. 被引量：1
10叶叶.基于多级端点取证和响应的APT防御技术[J].信息技术与信息化,2018(12):101-103.

二级引证文献89

1刘玉敏,王立中,郭彬.网络综合布线链路稳定性实时检测仿真研究[J].计算机仿真,2018,35(12):355-358. 被引量：1
2高见,王威,芦天亮,黄鸿志.僵尸网络恶意代码的有效检测方法研究[J].计算机仿真,2016,33(6):254-257. 被引量：5
3肖鸣.一种多层次融合的APT防御模型研究与构建[J].中国新通信,2016,18(14):87-87.
4俞艺涵,付钰,吴晓平.基于改进正则表达式规则分组的内网行为审计方案[J].计算机应用,2016,36(8):2241-2245.
5董娜,张君艳,刘伟娜,常杰.电网企业APT攻击防御存在的问题及防御措施[J].河北电力技术,2016,35(4):25-27. 被引量：3
6雷程,马多贺,张红旗,杨英杰,王淼.基于变点检测的网络移动目标防御效能评估方法[J].通信学报,2017,38(1):126-140. 被引量：12
7戴玲,杨玉龙.人事档案资源共享的风险及对策[J].兰台世界,2017,0(1):54-57. 被引量：2
8姜海涛,王黎明,周超,郭静.智能变电站网络异常分析方法[J].电力信息与通信技术,2017,15(2):54-58. 被引量：4
9高东伟.在线社交网络中用户伪装攻击检测方法研究[J].科学技术与工程,2017,17(7):194-198. 被引量：2
10李静,郭永和,程杰,王婵,李瑞雪,刘安,卢晓梅,丁雪伟.互联网未知威胁监测及应用技术研究[J].网络安全技术与应用,2017(3):35-37. 被引量：3

1陈伟,周诗文,殷承宇.流量自适应的移动僵尸网络云控机制研究[J].通信学报,2014,35(11):32-38. 被引量：1
2陈共龙.恶意代码分析技术综述[J].无线互联科技,2014,11(3):113-114. 被引量：1
3翁雪城,杨云江.恶意代码的分析与检测技术的研究[J].科技资讯,2012,10(5):19-20. 被引量：3
4舒辉,李政廉,康绯,张媛媛.基于环境智能匹配的恶意代码完整性分析方法[J].计算机工程与设计,2015,36(2):341-345.
5何新华,蔡红柳,王维锋.嵌入式软件数学仿真测试研究[J].仪器仪表学报,2002,23(z2):471-472. 被引量：1
6任子亭.基于网络的恶意代码分析系统设计与实现[J].价值工程,2012,31(35):190-192. 被引量：2
7冯晓荣,林军,麦松涛.一种改进的面向移动数据安全检测的文本分类模型[J].微型机与应用,2017,36(8):1-4. 被引量：2
8陈良,王玉龙.一种基于比特信的新型僵尸网络[J].软件,2015,36(1):88-93. 被引量：1
9王力,万园春,邱卫东.基于蜜罐的Android恶意代码动态分析[J].微型电脑应用,2016,32(11):50-53. 被引量：4
10朱英.微处理器功能验证及相关技术浅析[J].高性能计算技术,2003,0(1):41-44.

通信学报

2014年第1期

浏览历史

内容加载中请稍等...

基于覆盖率分析的僵尸网络控制命令发掘方法被引量：12

参考文献9

二级参考文献191

共引文献293

同被引文献220

引证文献12

二级引证文献89

相关作者

相关机构

相关主题

浏览历史

基于覆盖率分析的僵尸网络控制命令发掘方法 被引量：12

参考文献9

二级参考文献191

共引文献293

同被引文献220

引证文献12

二级引证文献89

相关作者

相关机构

相关主题

浏览历史

基于覆盖率分析的僵尸网络控制命令发掘方法被引量：12