本書從原理、方法和實踐應用三個角度出發(fā),分別介紹了基于FastFlux與DNS失效特征、基于DGA惡意域名、基于DNS隱蔽隧道、基于深度學習特征的僵尸網(wǎng)絡檢測,以及針對僵尸網(wǎng)絡的追蹤溯源。本書還詳細介紹了如何將知識圖譜、反饋學習、圖神經(jīng)網(wǎng)絡、生成式對抗網(wǎng)絡等前沿技術(shù)應用于僵尸網(wǎng)絡檢測,進一步提高檢測精度與告警能力。
本書可作為高等院校網(wǎng)絡空間安全、信息安全、計算機、電子信息等專業(yè)的教材,也可作為研究所、IT公司中僵尸網(wǎng)絡研究者的參考書。
1. 講解僵尸網(wǎng)絡檢測的原理和方法,并設計了可理解、可復現(xiàn)的過程。
2.講解如何應用知識圖譜、反饋學習、圖神經(jīng)網(wǎng)絡、生成式對抗
網(wǎng)絡等前沿技術(shù),提高僵尸網(wǎng)絡檢測的精度與告警能力。
3. 體現(xiàn)僵尸網(wǎng)絡檢測方法與技術(shù)的研究成果。
僵尸網(wǎng)絡(Botnet)作為近年崛起的新興惡意軟件,由于其傳播快、危害大、影響范圍廣等特點,已經(jīng)嚴重威脅到互聯(lián)網(wǎng)的生態(tài)環(huán)境以及國家網(wǎng)絡空間安全,因此如何檢測與追蹤僵尸網(wǎng)絡是網(wǎng)絡安全領域的重要研究內(nèi)容之一。從僵尸網(wǎng)絡的生命周期來看,可以分為初次感染、二次注入、C&C通信、實施惡意行為、控制維持五個階段,根據(jù)每個階段的不同特點,可以設計多種檢測與溯源方法。良好的僵尸網(wǎng)絡檢測能力可以有效提高網(wǎng)絡空間的安全性,減少重要網(wǎng)絡資源被攻擊者侵占的可能性。
本書在介紹僵尸網(wǎng)絡概念、特點以及一些僵尸網(wǎng)絡常用的隱蔽通信技術(shù)的基礎上,側(cè)重介紹作者近十年的研究成果。本書從僵尸網(wǎng)絡檢測的原理、方法以及如何進行實踐應用三個角度出發(fā),分別介紹了基于FastFlux與DNS失效特征、基于DGA惡意域名、基于DNS隱蔽隧道、基于深度學習特征的僵尸網(wǎng)絡檢測,以及針對僵尸網(wǎng)絡的追蹤溯源。本書還詳細介紹了如何將知識圖譜、反饋學習、圖神經(jīng)網(wǎng)絡、生成式對抗網(wǎng)絡等前沿技術(shù)應用于僵尸網(wǎng)絡檢測,進一步提高檢測精度與告警能力。
本書在注重介紹僵尸網(wǎng)絡檢測的原理與方法的同時,也提供了一些可理解、可復現(xiàn)的實驗過程,力求讓讀者易讀、易懂,在學習了本書以后,可以掌握僵尸網(wǎng)絡檢測領域的常用實驗方法,能更快地從事僵尸網(wǎng)絡相關研究。
本書既可作為高等院校網(wǎng)絡空間安全、信息安全、計算機、電子信息等專業(yè)的教材,也可作為研究所、IT公司中僵尸網(wǎng)絡研究者的參考書。
本書成果與寫作過程得到了國家重點研發(fā)計劃(2017YFB0802300,2018YFB0803503,2020YFB1807500)的持續(xù)資助和國家自然科學基金重點項目(61831007)的資助,在此表示衷心的感謝。
本書由鄒福泰、易平、章思宇及胡煜宗合著,由鄒福泰統(tǒng)稿和審定。由于時間倉促,作者水平有限,書中欠妥和紕漏之處在所難免,懇請讀者和同行不吝指正。
鄒福泰
2022年12月于上海交通大學
第1章僵尸網(wǎng)絡
1.1僵尸網(wǎng)絡簡介
1.1.1僵尸網(wǎng)絡的組成
1.1.2僵尸網(wǎng)絡的分類
1.2僵尸網(wǎng)絡的特征
1.2.1僵尸網(wǎng)絡的結(jié)構(gòu)
1.2.2僵尸網(wǎng)絡的生命周期
1.2.3僵尸網(wǎng)絡C&C信道特征
1.2.4僵尸網(wǎng)絡惡意行為特征
1.2.5僵尸網(wǎng)絡跳板特征
1.3傳統(tǒng)的僵尸網(wǎng)絡檢測技術(shù)
1.3.1網(wǎng)絡入侵檢測系統(tǒng)
1.3.2Snort簡介
小結(jié)
參考文獻
第2章基于僵尸網(wǎng)絡DNS行為的檢測原理
2.1域名系統(tǒng)
2.1.1域命名空間
2.1.2域名服務器
2.1.3DNS報文格式
2.1.4資源記錄
2.2早期僵尸網(wǎng)絡的DNS應用
2.3逐步演變的FastFlux技術(shù)
2.4域名生成算法
2.4.1DGA工作原理
2.4.2DGA域名生成方法
2.4.3DGA域名種子分類
2.5DNS隧道
小結(jié)
參考文獻
第3章基于FastFlux和DNS失效的檢測方法與實踐
3.1檢測僵尸網(wǎng)絡的FastFlux服務
3.1.1FastFlux服務網(wǎng)絡
3.1.2FastFlux域名特征
3.1.3檢測算法
3.1.4跟蹤探測與可疑域名確定
3.1.5系統(tǒng)實現(xiàn)
3.1.6實踐效果評估
3.2檢測僵尸網(wǎng)絡的DNS失效特征
3.2.1DNS失效原因
3.2.2DNS失效分類
3.2.3惡意軟件域名請求特征
3.2.4流量預過濾
3.2.5請求序列分析
3.2.6C&C域名檢測
3.2.7實踐效果評估
小結(jié)
參考文獻
Botnet檢測原理、方法與實踐
目錄
第4章僵尸網(wǎng)絡DGA域名檢測方法與實踐
4.1基于DNS圖挖掘的惡意域名檢測
4.1.1DNS圖的定義
4.1.2挖掘算法
4.1.3算法應用
4.1.4算法實現(xiàn)
4.1.5實踐效果評估
4.2基于知識圖譜的DGA惡意域名檢測
4.2.1DNS知識圖譜
4.2.2惡意域名檢測模型
4.2.3模型泛化
4.2.4實踐效果評估
4.3基于圖網(wǎng)絡的詞典型DGA檢測
4.3.1算法框架
4.3.2詞典型域名構(gòu)圖算法
4.3.3DGA域名生成詞典挖掘算法
4.3.4實踐效果評估
4.4基于反饋學習的DGA惡意域名在線檢測
4.4.1SVM與支持向量
4.4.2FSVM學習算法
4.4.3算法應用
4.4.4實踐效果評估
小結(jié)
參考文獻
第5章僵尸網(wǎng)絡DNS隱蔽隧道檢測方法與實踐
5.1基于機器學習的檢測方法
5.1.1DNS隱蔽通道分析
5.1.2數(shù)據(jù)特征提取
5.1.3檢測算法
5.1.4實踐效果評估
5.2基于時序特征的檢測方法
5.2.1基于自編碼器的異常檢測
5.2.2特征提取
5.2.3檢測算法
5.2.4網(wǎng)絡參數(shù)調(diào)優(yōu)
5.2.5實踐效果評估
小結(jié)
參考文獻
第6章基于深度學習的僵尸網(wǎng)絡檢測方法與實踐
6.1深度學習介紹
6.1.1深度學習基本原理
6.1.2深度學習與僵尸網(wǎng)絡
6.2基于時空特征深度學習的僵尸網(wǎng)絡檢測
6.2.1基于ResNet的僵尸網(wǎng)絡檢測技術(shù)研究
6.2.2基于BiLSTM的僵尸網(wǎng)絡檢測技術(shù)研究
6.2.3基于時空特征相結(jié)合的僵尸網(wǎng)絡檢測技術(shù)研究
6.3基于生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術(shù)研究
6.3.1生成式對抗網(wǎng)絡
6.3.2基于空間維度生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術(shù)
6.3.3基于時間維度生成式對抗網(wǎng)絡的僵尸網(wǎng)絡檢測技術(shù)
小結(jié)
參考文獻
第7章僵尸網(wǎng)絡追蹤溯源方法與實踐
7.1基于流量水印的僵尸網(wǎng)絡跳板追蹤
7.1.1僵尸網(wǎng)絡跳板
7.1.2流量水印
7.1.3流量水印系統(tǒng)設計
7.1.4實踐效果評估
7.2基于定位文檔的僵尸網(wǎng)絡攻擊者追蹤
7.2.1定位文檔系統(tǒng)設計
7.2.2定位文檔生成模塊
7.2.3定位文檔檢測模塊
7.2.4實踐效果評估
7.3基于蜜罐的僵尸網(wǎng)絡追蹤
7.3.1蜜罐系統(tǒng)結(jié)構(gòu)
7.3.2協(xié)議模擬模塊設計
7.3.3追蹤模塊設計
7.3.4日志模塊設計及生成
7.3.5實踐效果評估
7.3.6蜜罐日志分析
小結(jié)
參考文獻