Botnet檢測原理、方法與實踐

本書從原理、方法和實踐套用三個角度出發，分別介紹了基於FastFlux與DNS失效特徵、基於DGA惡意域名、基於DNS隱蔽隧道、基於深度學習特徵的殭屍網路檢測，以及針對殭屍網路的追蹤溯源。本書還詳細介紹了如何將知識圖譜、反饋學習、圖神經網路、生成式對抗網路等前沿技術套用於殭屍網路檢測，進一步提高檢測精度與告警能力。 本書可作為高等院校網路空間安全、信息安全、計算機、電子信息等專業的教材，也可作為研究所、IT公司中殭屍網路研究者的參考書。

第1章殭屍網路

1.1殭屍網路簡介

1.1.1殭屍網路的組成

1.1.2殭屍網路的分類

1.2殭屍網路的特徵

1.2.1殭屍網路的結構

1.2.2殭屍網路的生命周期

1.2.3殭屍網路C&C信道特徵

1.2.4殭屍網路惡意行為特徵

1.2.5殭屍網路跳板特徵

1.3傳統的殭屍網路檢測技術

1.3.1網路入侵檢測系統

1.3.2Snort簡介

小結

參考文獻

第2章基於殭屍網路DNS行為的檢測原理

2.1域名系統

2.1.1域命名空間

2.1.2域名伺服器

2.1.3DNS報文格式

2.1.4資源記錄

2.2早期殭屍網路的DNS套用

2.3逐步演變的FastFlux技術

2.4域名生成算法

2.4.1DGA工作原理

2.4.2DGA域名生成方法

2.4.3DGA域名種子分類

2.5DNS隧道

小結

參考文獻

第3章基於FastFlux和DNS失效的檢測方法與實踐

3.1檢測殭屍網路的FastFlux服務

3.1.1FastFlux服務網路

3.1.2FastFlux域名特徵

3.1.3檢測算法

3.1.4跟蹤探測與可疑域名確定

3.1.5系統實現

3.1.6實踐效果評估

3.2檢測殭屍網路的DNS失效特徵

3.2.1DNS失效原因

3.2.2DNS失效分類

3.2.3惡意軟體域名請求特徵

3.2.4流量預過濾

3.2.5請求序列分析

3.2.6C&C域名檢測

3.2.7實踐效果評估

小結

參考文獻

第4章殭屍網路DGA域名檢測方法與實踐

4.1基於DNS圖挖掘的惡意域名檢測

4.1.1DNS圖的定義

4.1.2挖掘算法

4.1.3算法套用

4.1.4算法實現

4.1.5實踐效果評估

4.2基於知識圖譜的DGA惡意域名檢測

4.2.1DNS知識圖譜

4.2.2惡意域名檢測模型

4.2.3模型泛化

4.2.4實踐效果評估

4.3基於圖網路的詞典型DGA檢測

4.3.1算法框架

4.3.2詞典型域名構圖算法

4.3.3DGA域名生成詞典挖掘算法

4.3.4實踐效果評估

4.4基於反饋學習的DGA惡意域名線上檢測

4.4.1SVM與支持向量

4.4.2FSVM學習算法

4.4.3算法套用

4.4.4實踐效果評估

小結

參考文獻

第5章殭屍網路DNS隱蔽隧道檢測方法與實踐

5.1基於機器學習的檢測方法

5.1.1DNS隱蔽通道分析

5.1.2數據特徵提取

5.1.3檢測算法

5.1.4實踐效果評估

5.2基於時序特徵的檢測方法

5.2.1基於自編碼器的異常檢測

5.2.2特徵提取

5.2.3檢測算法

5.2.4網路參數調優

5.2.5實踐效果評估

小結

參考文獻

第6章基於深度學習的殭屍網路檢測方法與實踐

6.1深度學習介紹

6.1.1深度學習基本原理

6.1.2深度學習與殭屍網路

6.2基於時空特徵深度學習的殭屍網路檢測

6.2.1基於ResNet的殭屍網路檢測技術研究

6.2.2基於BiLSTM的殭屍網路檢測技術研究

6.2.3基於時空特徵相結合的殭屍網路檢測技術研究

6.3基於生成式對抗網路的殭屍網路檢測技術研究

6.3.1生成式對抗網路

6.3.2基於空間維度生成式對抗網路的殭屍網路檢測技術

6.3.3基於時間維度生成式對抗網路的殭屍網路檢測技術

小結

參考文獻

第7章殭屍網路追蹤溯源方法與實踐

7.1基於流量水印的殭屍網路跳板追蹤

7.1.1殭屍網路跳板

7.1.2流量水印

7.1.3流量水印系統設計

7.1.4實踐效果評估

7.2基於定位文檔的殭屍網路攻擊者追蹤

7.2.1定位文檔系統設計

7.2.2定位文檔生成模組

7.2.3定位文檔檢測模組

7.2.4實踐效果評估

7.3基於蜜罐的殭屍網路追蹤

7.3.1蜜罐系統結構

7.3.2協定模擬模組設計

7.3.3追蹤模組設計

7.3.4日誌模組設計及生成

7.3.5實踐效果評估

7.3.6蜜罐日誌分析

小結

參考文獻