Botnet檢測原理、方法與實踐

第1章僵尸網(wǎng)絡
1.1僵尸網(wǎng)絡簡介
1.1.1僵尸網(wǎng)絡的組成
1.1.2僵尸網(wǎng)絡的分類
1.2僵尸網(wǎng)絡的特征
1.2.1僵尸網(wǎng)絡的結構
1.2.2僵尸網(wǎng)絡的生命周期
1.2.3僵尸網(wǎng)絡C&C信道特征
1.2.4僵尸網(wǎng)絡惡意行為特征
1.2.5僵尸網(wǎng)絡跳板特征
1.3傳統(tǒng)的僵尸網(wǎng)絡檢測技術
1.3.1網(wǎng)絡入侵檢測系統(tǒng)
1.3.2Snort簡介
小結
參考文獻
第2章基于僵尸網(wǎng)絡DNS行為的檢測原理
2.1域名系統(tǒng)
2.1.1域命名空間
2.1.2域名服務器
2.1.3DNS報文格式
2.1.4資源記錄
2.2早期僵尸網(wǎng)絡的DNS應用
2.3逐步演變的FastFlux技術
2.4域名生成算法
2.4.1DGA工作原理
2.4.2DGA域名生成方法
2.4.3DGA域名種子分類
2.5DNS隧道
小結
參考文獻
第3章基于FastFlux和DNS失效的檢測方法與實踐
3.1檢測僵尸網(wǎng)絡的FastFlux服務
3.1.1FastFlux服務網(wǎng)絡
3.1.2FastFlux域名特征
3.1.3檢測算法
3.1.4跟蹤探測與可疑域名確定
3.1.5系統(tǒng)實現(xiàn)
3.1.6實踐效果評估
3.2檢測僵尸網(wǎng)絡的DNS失效特征
3.2.1DNS失效原因
3.2.2DNS失效分類
3.2.3惡意軟件域名請求特征
3.2.4流量預過濾
3.2.5請求序列分析
3.2.6C&C域名檢測
3.2.7實踐效果評估
小結
參考文獻
 
 
 
Botnet檢測原理、方法與實踐
 
目錄
 
 
 
第4章僵尸網(wǎng)絡DGA域名檢測方法與實踐
4.1基于DNS圖挖掘的惡意域名檢測
4.1.1DNS圖的定義
4.1.2挖掘算法
4.1.3算法應用
4.1.4算法實現(xiàn)
4.1.5實踐效果評估
4.2基于知識圖譜的DGA惡意域名檢測
4.2.1DNS知識圖譜
4.2.2惡意域名檢測模型
4.2.3模型泛化
4.2.4實踐效果評估
4.3基于圖網(wǎng)絡的詞典型DGA檢測
4.3.1算法框架
4.3.2詞典型域名構圖算法
4.3.3DGA域名生成詞典挖掘算法
4.3.4實踐效果評估
4.4基于反饋學習的DGA惡意域名在線檢測
4.4.1SVM與支持向量
4.4.2FSVM學習算法
4.4.3算法應用
4.4.4實踐效果評估
小結
參考文獻
第5章僵尸網(wǎng)絡DNS隱蔽隧道檢測方法與實踐
5.1基于機器學習的檢測方法
5.1.1DNS隱蔽通道分析
5.1.2數(shù)據(jù)特征提取
5.1.3檢測算法
5.1.4實踐效果評估
5.2基于時序特征的檢測方法
5.2.1基于自編碼器的異常檢測
5.2.2特征提取
5.2.3檢測算法
5.2.4網(wǎng)絡參數(shù)調(diào)優(yōu)
5.2.5實踐效果評估
小結
參考文獻
第6章基于深度學習的僵尸網(wǎng)絡檢測方法與實踐
6.1深度學習介紹
6.1.1深度學習基本原理
6.1.2深度學習與僵尸網(wǎng)絡
6.2基于時空特征深度學習的僵尸網(wǎng)絡檢測
6.2.1基于ResNet的僵尸網(wǎng)絡檢測技術研究
6.2.2基于BiLSTM的僵尸網(wǎng)絡檢測技術研究
6.2.3基于時空特征相結合的僵尸網(wǎng)絡檢測技術研究
6.3基于生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術研究
6.3.1生成式對抗網(wǎng)絡
6.3.2基于空間維度生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術
6.3.3基于時間維度生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術
小結
參考文獻
第7章僵尸網(wǎng)絡追蹤溯源方法與實踐
7.1基于流量水印的僵尸網(wǎng)絡跳板追蹤
7.1.1僵尸網(wǎng)絡跳板
7.1.2流量水印
7.1.3流量水印系統(tǒng)設計
7.1.4實踐效果評估
7.2基于定位文檔的僵尸網(wǎng)絡攻擊者追蹤
7.2.1定位文檔系統(tǒng)設計
7.2.2定位文檔生成模塊
7.2.3定位文檔檢測模塊
7.2.4實踐效果評估
7.3基于蜜罐的僵尸網(wǎng)絡追蹤
7.3.1蜜罐系統(tǒng)結構
7.3.2協(xié)議模擬模塊設計
7.3.3追蹤模塊設計
7.3.4日志模塊設計及生成
7.3.5實踐效果評估
7.3.6蜜罐日志分析
小結
參考文獻