图书介绍

僵尸网络检测技术PDF|Epub|txt|kindle电子书版本网盘下载

僵尸网络检测技术
  • 程光,吴桦,王会羽,张军,陈玉祥著 著
  • 出版社: 南京:东南大学出版社
  • ISBN:9787564149451
  • 出版时间:2014
  • 标注页数:240页
  • 文件大小:48MB
  • 文件页数:261页
  • 主题词:计算机网络-安全技术

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:9735e43f6b073612568e5a3097a23e9b

下载说明

僵尸网络检测技术PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

1概论1

1.1 僵尸网络检测的意义1

1.2 恶意软件特性2

1.2.1 计算机病毒3

1.2.2 计算机蠕虫3

1.2.3 特洛伊木马3

1.2.4 间谍软件3

1.2.5 rootkit3

1.2.6 僵尸网络4

1.3 僵尸网络架构5

1.3.1 集中式C&C架构5

1.3.2 分布式C&C架构6

1.3.3 僵尸网络中DNS的作用7

1.3.4 命令控制9

1.4 僵尸网络的动机9

1.4.1 身份窃取10

1.4.2 垃圾邮件攻击11

1.4.3 点击欺诈11

1.4.4 DDoS攻击12

1.4.5 信息泄露12

1.4.6 政治利益12

1.5 威胁特征度量13

1.5.1 僵尸网络规模13

1.5.2 垃圾邮件14

1.5.3 收集到的数据15

1.5.4 直接金融损失15

1.5.5 恶意软件恢复能力15

1.5.6 恶意软件攻击传播16

1.6 僵尸网络被动测量技术16

1.6.1 包检查16

1.6.2 流记录分析17

1.6.3 基于DNS的检测方法17

1.6.4 垃圾邮件记录分析18

1.6.5 应用日志文件分析19

1.6.6 蜜罐19

1.6.7 反病毒软件结果评估21

1.7 僵尸网络主动测量技术21

1.7.1 sinkholing22

1.7.2 渗透23

1.7.3 DNS缓存窥探23

1.7.4 fast-flux网络的追踪24

1.7.5 基于IRC的测量和检测25

1.7.6 P2P网络枚举26

1.7.7 恶意软件逆向工程26

1.8 僵尸网络威胁应对对策27

1.8.1 黑名单27

1.8.2 假冒可追踪凭证的分发27

1.8.3 BGPblackholing28

1.8.4 基于DNS的对策28

1.8.5 直接摧毁C&C服务器29

1.8.6 网络和应用层上的包过滤29

1.8.7 阻塞25号端口30

1.8.8 P2P应对措施30

1.8.9 渗透和远程杀毒31

1.8.1 0公共预防措施31

1.9 小结31

2僵尸的会话行为分析33

2.1 引言33

2.2 背景技术33

2.2.1 聊天系统33

2.2.2 聊天bot34

2.2.3 相关工作34

2.3 测量分类35

2.3.1 测量数据35

2.3.2 日志的分类35

2.4 分析36

2.4.1 人类行为36

2.4.2 周期型bot37

2.4.3 随机型bot38

2.4.4 响应型bot38

2.4.5 重播型bot39

2.5 分类系统40

2.5.1 熵值分类器40

2.5.2 熵值测量41

2.5.3 机器学习分类器41

2.6 实验评估42

2.6.1 实验设置42

2.6.2 熵值分类器43

2.6.3 监督和混合机器学习分类器44

2.7 基于IRC的主动僵尸会话方法45

2.7.1 结构设计45

2.7.2 主动探测技术设计46

2.7.3 主动僵尸网络探测算法设计47

2.7.4 评估用户距离和检测正确性权衡48

2.8 小结49

3主动僵尸代码捕获方法51

3.1 引言51

3.2 恶意代码捕获技术背景52

3.2.1 蜜罐技术52

3.2.2 基于主动技术的恶意代码捕获方法53

3.2.3 恶意代码捕获方法设计53

3.3 网络爬虫设计55

3.3.1 爬虫介绍55

3.3.2 Heritrix的功能和不足56

3.4 主题相关度57

3.4.1 主题描述算法57

3.4.2 主题相关度计算58

3.5 静态检测59

3.5.1 网页特征提取59

3.5.2 页面解析61

3.6 客户端引擎模块62

3.6.1 IE访问模块63

3.6.2 系统监测模块64

3.7 实验设计与分析66

3.7.1 实验环境66

3.7.2 实验分析67

3.8 基于网站下载恶意代码的方法69

3.9 小结70

4僵尸提取和分析71

4.1 反病毒引擎扫描71

4.1.1 多病毒引擎扫描71

4.1.2 扫描结果分析73

4.2 基于虚拟机的僵尸程序行为分析系统75

4.2.1 设计与实现75

4.2.2 数据分析77

4.3 僵尸网络的DNS通信周期性特征分析78

4.3.1 周期性分析78

4.3.2 DNS协议识别81

4.3.3 周期性检测算法82

4.3.4 实验分析83

4.4 僵尸网络域名特征分析84

4.4.1 域名字符长度85

4.4.2 K-L信息量86

4.4.3 Jaccard相似性系数87

4.4.4 实验分析88

4.5 黑名单分析89

4.5.1 黑名单构建89

4.5.2 黑名单检测结果91

4.6 小结93

5僵尸源码实例分析94

5.1 引言94

5.2 SDBot94

5.2.1 SDBot概述94

5.2.2 SDBot结构体94

5.2.3 函数说明98

5.2.4 SDBot架构分析99

5.2.5 实验分析101

5.3 ZeuS104

5.3.1 ZeuS概述104

5.3.2 ZeuS整体架构105

5.3.3 ZeuS客户端106

5.3.4 C&C服务器端108

5.3.5 实验分析108

5.4 小结114

6基于DNS的僵尸网络检测方法116

6.1 僵尸网络DNS流量的特征分析116

6.1.1 DNS协议识别116

6.1.2 DNS流量特性118

6.1.3 DNS流量统计方法118

6.1.4 DNS周期性分析120

6.1.5 DNS群体相似性分析121

6.1.6 实验分析124

6.2 基于DNS的贝叶斯检测方法126

6.2.1 概述126

6.2.2 贝叶斯方法127

6.2.3 实验方法129

6.2.4 实验结果132

6.2.5 实验小结135

6.3 基于DNS流量中团体活动的识别方法135

6.3.1 概述135

6.3.2 僵尸网络团体活动136

6.3.3 BotGAD框架138

6.3.4 评估结果142

6.3.5 BotGAD分析147

6.4 小结150

7基于C&C信道的僵尸网络检测方法152

7.1 引言152

7.2 C&C通信动机152

7.2.1 僵尸网络C&C通信样例152

7.2.2 僵尸网络C&C通信:时空相关性与相似性153

7.3 BotSniffer结构和算法154

7.3.1 监听引擎155

7.3.2 关联引擎156

7.3.3 特定情况下单个客户的C&C通信检测159

7.4 实验评估159

7.4.1 数据集159

7.4.2 误报率分析161

7.4.3 检测正确性分析161

7.4.4 实验小结162

7.5 BotFinder系统设计162

7.5.1 概述162

7.5.2 系统工作原理163

7.6 实验数据训练分析165

7.6.1 训练165

7.6.2 评估166

7.6.3 实现与性能167

7.7 小结169

8基于流量行为的僵尸网络检测170

8.1 引言170

8.2 流序列分析方法170

8.2.1 报文信息分析170

8.2.2 流序列特征171

8.2.3 聚类与分类方法174

8.3 实验分析175

8.3.1 方法设计175

8.3.2 实验数据177

8.3.3 实验结果177

8.4 IRC流网络行为检测方法179

8.4.1 基于IRC的C&C流特征179

8.4.2 流量处理管道180

8.4.3 背景流量源180

8.4.4 僵尸网络trace源181

8.5 建模182

8.5.1 过滤阶段182

8.5.2 分类阶段183

8.5.3 关联阶段185

8.5.4 拓扑分析阶段185

8.6 流关联分析187

8.6.1 流关联性187

8.6.2 多维流关联性189

8.6.3 关联性结果191

8.7 小结191

9基于事件关联的僵尸网络检测193

9.1 引言193

9.2 原理分析194

9.2.1 理解bot注入序列194

9.2.2 注入对话过程建模195

9.2.3 BotHunter系统设计196

9.3 多传感器搜集感染证据的方法197

9.3.1 SCADE:统计扫描异常检测引擎197

9.3.2 SLADE:统计负载异常检测引擎198

9.3.3 特征引擎:bot特性探索200

9.3.4 基于会话的IDS关联引擎200

9.4 评估检测效果202

9.4.1 在insitu虚拟网络中的实验202

9.4.2 SRI蜜罐实验203

9.5 BotMiner检测框架及其实现204

9.5.1 问题与假设204

9.5.2 BotMiner检测框架结构205

9.5.3 流量监听器206

9.5.4 C模块聚类207

9.5.5 A模块聚类210

9.5.6 交叉关联模块211

9.6 BotMiner实验分析212

9.6.1 实验设置与数据收集212

9.6.2 评估结果213

9.7 Snort入侵检测系统215

9.7.1 Snort简介215

9.7.2 Snort规则筛选217

9.7.3 Snort源码修改218

9.8 小结220

10基于内容解析的僵尸网络检测221

10.1 引言221

10.2 IRC僵尸网络的检测方法221

10.2.1 IRC协议识别221

10.2.2 1RC信道及昵称信息统计223

10.2.3 IRC昵称分析225

10.2.4 系统设计分析226

10.3 ExecScent系统设计229

10.3.1 概述229

10.3.2 输入网络流量230

10.3.3 C&C请求231

10.3.4 CPT的生成231

10.3.5 系统在部署网络的配置232

10.3.6 模板匹配233

10.3.7 相似性函数234

10.4 小结235

参考文献237

热门推荐