僵尸網(wǎng)絡(luò)(Botnet)作為近年崛起的新興惡意軟件����,由于其傳播快、危害大���、影響范圍廣等特點(diǎn)���,已經(jīng)嚴(yán)重威脅到互聯(lián)網(wǎng)的生態(tài)環(huán)境以及國(guó)家網(wǎng)絡(luò)空間安全���,因此如何檢測(cè)與追蹤僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)安全領(lǐng)域的重要研究?jī)?nèi)容之一�����。從僵尸網(wǎng)絡(luò)的生命周期來(lái)看��,可以分為初次感染�����、二次注入����、C&C通信、實(shí)施惡意行為����、控制維持五個(gè)階段,根據(jù)每個(gè)階段的不同特點(diǎn)�����,可以設(shè)計(jì)多種檢測(cè)與溯源方法�����。良好的僵尸網(wǎng)絡(luò)檢測(cè)能力可以有效提高網(wǎng)絡(luò)空間的安全性�����,減少重要網(wǎng)絡(luò)資源被攻擊者侵占的可能性�。
本書(shū)在介紹僵尸網(wǎng)絡(luò)概念、特點(diǎn)以及一些僵尸網(wǎng)絡(luò)常用的隱蔽通信技術(shù)的基礎(chǔ)上��,側(cè)重介紹作者近十年的研究成果�。本書(shū)從僵尸網(wǎng)絡(luò)檢測(cè)的原理、方法以及如何進(jìn)行實(shí)踐應(yīng)用三個(gè)角度出發(fā)�����,分別介紹了基于FastFlux與DNS失效特征、基于DGA惡意域名�����、基于DNS隱蔽隧道�、基于深度學(xué)習(xí)特征的僵尸網(wǎng)絡(luò)檢測(cè),以及針對(duì)僵尸網(wǎng)絡(luò)的追蹤溯源����。本書(shū)還詳細(xì)介紹了如何將知識(shí)圖譜、反饋學(xué)習(xí)���、圖神經(jīng)網(wǎng)絡(luò)、生成式對(duì)抗網(wǎng)絡(luò)等前沿技術(shù)應(yīng)用于僵尸網(wǎng)絡(luò)檢測(cè)����,進(jìn)一步提高檢測(cè)精度與告警能力。
本書(shū)在注重介紹僵尸網(wǎng)絡(luò)檢測(cè)的原理與方法的同時(shí)��,也提供了一些可理解����、可復(fù)現(xiàn)的實(shí)驗(yàn)過(guò)程,力求讓讀者易讀���、易懂���,在學(xué)習(xí)了本書(shū)以后��,可以掌握僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域的常用實(shí)驗(yàn)方法�,能更快地從事僵尸網(wǎng)絡(luò)相關(guān)研究����。
本書(shū)既可作為高等院校網(wǎng)絡(luò)空間安全、信息安全����、計(jì)算機(jī)、電子信息等專(zhuān)業(yè)的教材����,也可作為研究所、IT公司中僵尸網(wǎng)絡(luò)研究者的參考書(shū)��。
本書(shū)成果與寫(xiě)作過(guò)程得到了國(guó)家重點(diǎn)研發(fā)計(jì)劃(2017YFB0802300����,2018YFB0803503,2020YFB1807500)的持續(xù)資助和國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目(61831007)的資助�����,在此表示衷心的感謝。
本書(shū)由鄒福泰����、易平、章思宇及胡煜宗合著��,由鄒福泰統(tǒng)稿和審定�����。由于時(shí)間倉(cāng)促����,作者水平有限,書(shū)中欠妥和紕漏之處在所難免�����,懇請(qǐng)讀者和同行不吝指正�����。
鄒福泰
2022年12月于上海交通大學(xué)
第1章僵尸網(wǎng)絡(luò)
1.1僵尸網(wǎng)絡(luò)簡(jiǎn)介
1.1.1僵尸網(wǎng)絡(luò)的組成
1.1.2僵尸網(wǎng)絡(luò)的分類(lèi)
1.2僵尸網(wǎng)絡(luò)的特征
1.2.1僵尸網(wǎng)絡(luò)的結(jié)構(gòu)
1.2.2僵尸網(wǎng)絡(luò)的生命周期
1.2.3僵尸網(wǎng)絡(luò)C&C信道特征
1.2.4僵尸網(wǎng)絡(luò)惡意行為特征
1.2.5僵尸網(wǎng)絡(luò)跳板特征
1.3傳統(tǒng)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
1.3.1網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
1.3.2Snort簡(jiǎn)介
小結(jié)
參考文獻(xiàn)
第2章基于僵尸網(wǎng)絡(luò)DNS行為的檢測(cè)原理
2.1域名系統(tǒng)
2.1.1域命名空間
2.1.2域名服務(wù)器
2.1.3DNS報(bào)文格式
2.1.4資源記錄
2.2早期僵尸網(wǎng)絡(luò)的DNS應(yīng)用
2.3逐步演變的FastFlux技術(shù)
2.4域名生成算法
2.4.1DGA工作原理
2.4.2DGA域名生成方法
2.4.3DGA域名種子分類(lèi)
2.5DNS隧道
小結(jié)
參考文獻(xiàn)
第3章基于FastFlux和DNS失效的檢測(cè)方法與實(shí)踐
3.1檢測(cè)僵尸網(wǎng)絡(luò)的FastFlux服務(wù)
3.1.1FastFlux服務(wù)網(wǎng)絡(luò)
3.1.2FastFlux域名特征
3.1.3檢測(cè)算法
3.1.4跟蹤探測(cè)與可疑域名確定
3.1.5系統(tǒng)實(shí)現(xiàn)
3.1.6實(shí)踐效果評(píng)估
3.2檢測(cè)僵尸網(wǎng)絡(luò)的DNS失效特征
3.2.1DNS失效原因
3.2.2DNS失效分類(lèi)
3.2.3惡意軟件域名請(qǐng)求特征
3.2.4流量預(yù)過(guò)濾
3.2.5請(qǐng)求序列分析
3.2.6C&C域名檢測(cè)
3.2.7實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
Botnet檢測(cè)原理����、方法與實(shí)踐
目錄
第4章僵尸網(wǎng)絡(luò)DGA域名檢測(cè)方法與實(shí)踐
4.1基于DNS圖挖掘的惡意域名檢測(cè)
4.1.1DNS圖的定義
4.1.2挖掘算法
4.1.3算法應(yīng)用
4.1.4算法實(shí)現(xiàn)
4.1.5實(shí)踐效果評(píng)估
4.2基于知識(shí)圖譜的DGA惡意域名檢測(cè)
4.2.1DNS知識(shí)圖譜
4.2.2惡意域名檢測(cè)模型
4.2.3模型泛化
4.2.4實(shí)踐效果評(píng)估
4.3基于圖網(wǎng)絡(luò)的詞典型DGA檢測(cè)
4.3.1算法框架
4.3.2詞典型域名構(gòu)圖算法
4.3.3DGA域名生成詞典挖掘算法
4.3.4實(shí)踐效果評(píng)估
4.4基于反饋學(xué)習(xí)的DGA惡意域名在線檢測(cè)
4.4.1SVM與支持向量
4.4.2FSVM學(xué)習(xí)算法
4.4.3算法應(yīng)用
4.4.4實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
第5章僵尸網(wǎng)絡(luò)DNS隱蔽隧道檢測(cè)方法與實(shí)踐
5.1基于機(jī)器學(xué)習(xí)的檢測(cè)方法
5.1.1DNS隱蔽通道分析
5.1.2數(shù)據(jù)特征提取
5.1.3檢測(cè)算法
5.1.4實(shí)踐效果評(píng)估
5.2基于時(shí)序特征的檢測(cè)方法
5.2.1基于自編碼器的異常檢測(cè)
5.2.2特征提取
5.2.3檢測(cè)算法
5.2.4網(wǎng)絡(luò)參數(shù)調(diào)優(yōu)
5.2.5實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
第6章基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測(cè)方法與實(shí)踐
6.1深度學(xué)習(xí)介紹
6.1.1深度學(xué)習(xí)基本原理
6.1.2深度學(xué)習(xí)與僵尸網(wǎng)絡(luò)
6.2基于時(shí)空特征深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測(cè)
6.2.1基于ResNet的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.2.2基于BiLSTM的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.2.3基于時(shí)空特征相結(jié)合的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.3基于生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.3.1生成式對(duì)抗網(wǎng)絡(luò)
6.3.2基于空間維度生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
6.3.3基于時(shí)間維度生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
小結(jié)
參考文獻(xiàn)
第7章僵尸網(wǎng)絡(luò)追蹤溯源方法與實(shí)踐
7.1基于流量水印的僵尸網(wǎng)絡(luò)跳板追蹤
7.1.1僵尸網(wǎng)絡(luò)跳板
7.1.2流量水印
7.1.3流量水印系統(tǒng)設(shè)計(jì)
7.1.4實(shí)踐效果評(píng)估
7.2基于定位文檔的僵尸網(wǎng)絡(luò)攻擊者追蹤
7.2.1定位文檔系統(tǒng)設(shè)計(jì)
7.2.2定位文檔生成模塊
7.2.3定位文檔檢測(cè)模塊
7.2.4實(shí)踐效果評(píng)估
7.3基于蜜罐的僵尸網(wǎng)絡(luò)追蹤
7.3.1蜜罐系統(tǒng)結(jié)構(gòu)
7.3.2協(xié)議模擬模塊設(shè)計(jì)
7.3.3追蹤模塊設(shè)計(jì)
7.3.4日志模塊設(shè)計(jì)及生成
7.3.5實(shí)踐效果評(píng)估
7.3.6蜜罐日志分析
小結(jié)
參考文獻(xiàn)
書(shū)單推薦
