混合分析方法提升僵尸网络活动检测:99.73%高精度案例研究

0 下载量 143 浏览量 更新于2024-06-17 收藏 1.11MB PDF 举报
网络安全中的僵尸网络活动相关性分析是一项重要的研究领域,尤其是在网络流量的背景下。本文主要关注的是通过混合分析方法来揭示僵尸网络中bot群组活动的相关性,这对于理解攻击行为、预测潜在威胁和提高防御措施至关重要。作者Dandy Pramana Hostiadi和Tohari Ahmad,来自印度尼西亚Institute Teknologi Sepuluh Nopalan的信息学系,提出了一个新颖的模型,结合了滑动窗口分割技术来捕获活动模式,通过分析活动的相似性和相关性,以识别不同bot之间的动态交互。 传统的僵尸网络检测方法往往难以识别组内bot之间活动的关联性,而这种关联性对于揭示因果关系至关重要。作者强调,了解bot活动的因果关系能够帮助阻止大规模的机器人群体攻击,因为这能追踪到哪些bot的行为可能触发了攻击链。他们提出的混合分析方法在两个公开数据集上进行了实验验证,结果显示,这种方法具有极高的准确度,达到了99.73%,假阳性率低至1%,显示出对现有检测手段的有效改进。 文中指出,僵尸网络,通常作为botnet,是由于非法应用程序植入恶意代码,从而构成对网络安全的威胁。这些网络能执行多种恶意行为,如发送垃圾邮件、窃取个人信息、实施欺诈和发动DDoS攻击等(参考文献Asadi等人,2020;Bagui和Li,2021;Priyadarshini和Barik,2019等)。僵尸网络通常由一个或多个僵尸主机控制,这些主机操控着被称为僵尸客户端的设备,它们共同对目标进行攻击。 这篇论文的贡献在于提供了一种创新的分析框架,它不仅能够检测僵尸网络的存在,还能深入洞察其内部运作机制,特别是bot之间的活动关联。这将有助于网络安全专业人员更有效地对抗此类复杂威胁,提升整体的网络安全防护能力。值得注意的是,本研究遵循了CC BY-NC-ND许可证,这意味着文章是开放获取的,允许在特定条件下进行非商业性使用和不修改的分享。