僵尸网络检测技术

《僵尸网络检测技术》可供计算机科学、信息科学、网络工程及流量工程等学科的科研工作人员、大学教师和相关专业的研究生与本科生，以及从事计算机网络安全领域、网络工程及网络管理的工程技术人员阅读参考使用。僵尸网络是指通过各种手段在多台计算机中植入恶意程序，使僵尸控制者能相对方便和集中地控制这些计算机，向这些受控制的计算机发布各种指令进行相应恶意活动的攻击网络。

《僵尸网络检测技术》首先通过大量实验介绍在僵尸和人的活动行为方面的差异，其次介绍一种基于主动技术的恶意代码捕获方法以及获得僵尸样本的通信数据和行为特征的方法，最后介绍6种不同类型的僵尸网络检测方法。《僵尸网络检测技术》包括10章内容，第1章综述了近年来国内外主要的僵尸网络检测方法的研究进展；第2章介绍僵尸的会话行为分析；第3章介绍主动僵尸代码捕获方法；第4章介绍僵尸提取和分析；第5章介绍僵尸源码实例分析；第6章介绍基于DNS的僵尸网络检测方法；第7章介绍基于C&C信道的僵尸网络检测方法；第8章介绍基于流量行为的僵尸网络检测方法；第9章介绍基于事件关联的僵尸检测方法；第10章介绍基于内容解析的僵尸网络检测方法。

程光，男，1973年2月生，安徽黄山人，王学博士，东南大学计算机科学与工程学院教授、博导，东南大学计算机网络和信息集成教育部重点实验塞主任，2005-2006年期间在美国佐治亚理工大学从事博士后研究，2012年在美国亚利桑那大学从事高级访问学者研究工作。目前研究兴趣在网络安全、网络测量、网络行为学、网络管理和科学可视化等。先后主持参加国家973项目、国家科技支撑项目、国家自然基金、教育部科技重点项目、江苏省自然基金等20多项纵向课题研究。发表学术论文80余篇，出版专著及教材共5部，申请和授权专利20余项。

吴桦，女，东南大学副教授，工学博士，江苏省计算机学会大数据专家委员会委员。主要研究领域为网络管理，网络行为学。自从1997年参加工作以来一直参与了CERNET华东北地区网的运行管理，在网络运行管理方面有着丰富的经验。科研方面，参加了东南大学和丁肇中教授合作的AMS-02反物质研究系统的研制项目，被东南大学派往瑞士日内瓦的欧洲核子研究中心进行项目合作两年，在海量数据传输和存储方面具有丰富的经验。作为主要人员参加了国家973课题、自然科学基金课题、国家科技支撑计划等多项课题的研究。

概论
1.1僵尸网络检测的意义
1.2恶意软件特性
1.2.1计算机病毒
1.2.2计算机蠕虫
1.2.3特洛伊木马
1.2.4间谍软件
1.2.5rootkit
1.2.6僵尸网络
1.3僵尸网络架构
1.3.1集中式C&C架构
1.3.2分布式C&C架构
1.3.3僵尸网络中DNS的作用
1.3.4命令控制
1.4僵尸网络的动机
1.4.1身份窃取
1.4.2垃圾邮件攻击
1.4.3点击欺诈
1.4.4DDoS攻击
1.4.5信息泄露
1.4.6政治利益
1.5威胁特征度量
1.5.1僵尸网络规模
1.5.2垃圾邮件
1.5.3收集到的数据
1.5.4直接金融损失
1.5.5恶意软件恢复能力
1.5.6恶意软件攻击传播
1.6僵尸网络被动测量技术
1.6.1包检查
1.6.2流记录分析
1.6.3基于DNS的检测方法
1.6.4垃圾邮件记录分析
1.6.5应用日志文件分析
1.6.6蜜罐
1.6.7反病毒软件结果评估
1.7僵尸网络主动测量技术
1.7.1sinkholing
1.7.2渗透
1.7.3DNS缓存窥探
1.7.4fast—flux网络的追踪
1.7.5基于IRC的测量和检测
1.7.6P2P网络枚举
1.7.7恶意软件逆向工程
1.8僵尸网络威胁应对对策
1.8.1黑名单
1.8.2假冒可追踪凭证的分发
1.8.3BGPblackholing
1.8.4基于DNS的对策
1.8.5直接摧毁C&C服务器
1.8.6网络和应用层上的包过滤
1.8.7阻塞25号端口
1.8.8P2P应对措施
1.8.9渗透和远程杀毒
1.8.10公共预防措施
1.9小结
2僵尸的会话行为分析
2.1引言
2.2背景技术
2.2.1聊天系统
2.2.2聊天bot
2.2.3相关工作
2.3测量分类
2.3.1测量数据
2.3.2日志的分类
2.4分析
2.4.1人类行为
2.4.2周期型bot
2.4.3随机型bot
2.4.4响应型bot
2.4.5重播型bot
2.5分类系统
2.5.1熵值分类器
2.5.2熵值测量
2.5.3机器学习分类器
2.6实验评估
2.6.1实验设置
2.6.2熵值分类器
2.6.3监督和混合机器学习分类器
2.7基于IRC的主动僵尸会话方法
2.7.1结构设计
2.7.2主动探测技术设计
2.7.3主动僵尸网络探测算法设计
2.7.4评估用户距离和检测正确性权衡
2.8小结
3主动僵尸代码捕获方法
3.1引言
3.2恶意代码捕获技术背景
3.2.1蜜罐技术
3.2.2基于主动技术的恶意代码捕获方法
3.2.3恶意代码捕获方法设计
3.3网络爬虫设计
3.3.1爬虫介绍
3.3.2Heritrix的功能和不足
3.4主题相关度
3.4.1主题描述算法
3.4.2主题相关度计算
3.5静态检测
3.5.1网页特征提取
3.5.2页面解析
3.6客户端引擎模块
3.6.1IE访问模块
3.6.2系统监测模块
3.7实验设计与分析
3.7.1实验环境
3.7.2实验分析
3.8基于网站下载恶意代码的方法
3.9小结
4僵尸提取和分析
4.1反病毒引擎扫描
4.1.1多病毒引擎扫描
4.1.2扫描结果分析
4.2基于虚拟机的僵尸程序行为分析系统
4.2.1设计与实现
4.2.2数据分析
4.3僵尸网络的DNS通信周期性特征分析
4.3.1周期性分析
4.3.2DNS协议识别
4.3.3周期性检测算法
4.3.4实验分析
4.4僵尸网络域名特征分析
4.4.1域名字符长度
4.4.2K—L信息量
4.4.3Jaccard相似性系数
4.4.4实验分析
4.5黑名单分析
4.5.1黑名单构建
4.5.2黑名单检测结果
4.6小结
5僵尸源码实例分析
5.1引言
5.2SDBot
5.2.1SDBot概述
5.2.2SDBot结构体
5.2.3函数说明
5.2.4SDBot架构分析
5.2.5实验分析
5.3ZeuS
5.3.1ZeuS概述
5.3.2ZeuS整体架构
5.3.3ZeuS客户端
5.3.4C&C服务器端
5.3.5实验分析
5.4小结
6基于DNS的僵尸网络检测方法
6.1僵尸网络DNS流量的特征分析
6.1.1DNS协议识别
6.1.2DNS流量特性
6.1.3DNS流量统计方法
6.1.4DNS周期性分析
6.1.5DNS群体相似性分析
6.1.6实验分析
6.2基于DNS的贝叶斯检测方法
6.2.1概述
6.2.2贝叶斯方法
6.2.3实验方法
6.2.4实验结果
6.2.5实验小结
6.3基于DNS流量中团体活动的识别方法
6.3.1概述
6.3.2僵尸网络团体活动
6.3.3BotGAD框架
6.3.4评估结果
6.3.5BotGAD分析
6.4小结
7基于C&C信道的僵尸网络检测方法
……
8基于流量行为的僵尸网络检测
9基于事件关联的僵尸网络检测
10基于内容解析的僵尸网络检测
参考文献