Botnet檢測(cè)原理、方法與實(shí)踐

第1章僵尸網(wǎng)絡(luò)
1.1僵尸網(wǎng)絡(luò)簡(jiǎn)介
1.1.1僵尸網(wǎng)絡(luò)的組成
1.1.2僵尸網(wǎng)絡(luò)的分類(lèi)
1.2僵尸網(wǎng)絡(luò)的特征
1.2.1僵尸網(wǎng)絡(luò)的結(jié)構(gòu)
1.2.2僵尸網(wǎng)絡(luò)的生命周期
1.2.3僵尸網(wǎng)絡(luò)C&C信道特征
1.2.4僵尸網(wǎng)絡(luò)惡意行為特征
1.2.5僵尸網(wǎng)絡(luò)跳板特征
1.3傳統(tǒng)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
1.3.1網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
1.3.2Snort簡(jiǎn)介
小結(jié)
參考文獻(xiàn)
第2章基于僵尸網(wǎng)絡(luò)DNS行為的檢測(cè)原理
2.1域名系統(tǒng)
2.1.1域命名空間
2.1.2域名服務(wù)器
2.1.3DNS報(bào)文格式
2.1.4資源記錄
2.2早期僵尸網(wǎng)絡(luò)的DNS應(yīng)用
2.3逐步演變的FastFlux技術(shù)
2.4域名生成算法
2.4.1DGA工作原理
2.4.2DGA域名生成方法
2.4.3DGA域名種子分類(lèi)
2.5DNS隧道
小結(jié)
參考文獻(xiàn)
第3章基于FastFlux和DNS失效的檢測(cè)方法與實(shí)踐
3.1檢測(cè)僵尸網(wǎng)絡(luò)的FastFlux服務(wù)
3.1.1FastFlux服務(wù)網(wǎng)絡(luò)
3.1.2FastFlux域名特征
3.1.3檢測(cè)算法
3.1.4跟蹤探測(cè)與可疑域名確定
3.1.5系統(tǒng)實(shí)現(xiàn)
3.1.6實(shí)踐效果評(píng)估
3.2檢測(cè)僵尸網(wǎng)絡(luò)的DNS失效特征
3.2.1DNS失效原因
3.2.2DNS失效分類(lèi)
3.2.3惡意軟件域名請(qǐng)求特征
3.2.4流量預(yù)過(guò)濾
3.2.5請(qǐng)求序列分析
3.2.6C&C域名檢測(cè)
3.2.7實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
 
 
 
Botnet檢測(cè)原理、方法與實(shí)踐
 
目錄
 
 
 
第4章僵尸網(wǎng)絡(luò)DGA域名檢測(cè)方法與實(shí)踐
4.1基于DNS圖挖掘的惡意域名檢測(cè)
4.1.1DNS圖的定義
4.1.2挖掘算法
4.1.3算法應(yīng)用
4.1.4算法實(shí)現(xiàn)
4.1.5實(shí)踐效果評(píng)估
4.2基于知識(shí)圖譜的DGA惡意域名檢測(cè)
4.2.1DNS知識(shí)圖譜
4.2.2惡意域名檢測(cè)模型
4.2.3模型泛化
4.2.4實(shí)踐效果評(píng)估
4.3基于圖網(wǎng)絡(luò)的詞典型DGA檢測(cè)
4.3.1算法框架
4.3.2詞典型域名構(gòu)圖算法
4.3.3DGA域名生成詞典挖掘算法
4.3.4實(shí)踐效果評(píng)估
4.4基于反饋學(xué)習(xí)的DGA惡意域名在線檢測(cè)
4.4.1SVM與支持向量
4.4.2FSVM學(xué)習(xí)算法
4.4.3算法應(yīng)用
4.4.4實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
第5章僵尸網(wǎng)絡(luò)DNS隱蔽隧道檢測(cè)方法與實(shí)踐
5.1基于機(jī)器學(xué)習(xí)的檢測(cè)方法
5.1.1DNS隱蔽通道分析
5.1.2數(shù)據(jù)特征提取
5.1.3檢測(cè)算法
5.1.4實(shí)踐效果評(píng)估
5.2基于時(shí)序特征的檢測(cè)方法
5.2.1基于自編碼器的異常檢測(cè)
5.2.2特征提取
5.2.3檢測(cè)算法
5.2.4網(wǎng)絡(luò)參數(shù)調(diào)優(yōu)
5.2.5實(shí)踐效果評(píng)估
小結(jié)
參考文獻(xiàn)
第6章基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測(cè)方法與實(shí)踐
6.1深度學(xué)習(xí)介紹
6.1.1深度學(xué)習(xí)基本原理
6.1.2深度學(xué)習(xí)與僵尸網(wǎng)絡(luò)
6.2基于時(shí)空特征深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測(cè)
6.2.1基于ResNet的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.2.2基于BiLSTM的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.2.3基于時(shí)空特征相結(jié)合的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.3基于生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)研究
6.3.1生成式對(duì)抗網(wǎng)絡(luò)
6.3.2基于空間維度生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
6.3.3基于時(shí)間維度生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)
小結(jié)
參考文獻(xiàn)
第7章僵尸網(wǎng)絡(luò)追蹤溯源方法與實(shí)踐
7.1基于流量水印的僵尸網(wǎng)絡(luò)跳板追蹤
7.1.1僵尸網(wǎng)絡(luò)跳板
7.1.2流量水印
7.1.3流量水印系統(tǒng)設(shè)計(jì)
7.1.4實(shí)踐效果評(píng)估
7.2基于定位文檔的僵尸網(wǎng)絡(luò)攻擊者追蹤
7.2.1定位文檔系統(tǒng)設(shè)計(jì)
7.2.2定位文檔生成模塊
7.2.3定位文檔檢測(cè)模塊
7.2.4實(shí)踐效果評(píng)估
7.3基于蜜罐的僵尸網(wǎng)絡(luò)追蹤
7.3.1蜜罐系統(tǒng)結(jié)構(gòu)
7.3.2協(xié)議模擬模塊設(shè)計(jì)
7.3.3追蹤模塊設(shè)計(jì)
7.3.4日志模塊設(shè)計(jì)及生成
7.3.5實(shí)踐效果評(píng)估
7.3.6蜜罐日志分析
小結(jié)
參考文獻(xiàn)