僵尸网络检测技术

僵尸网络检测技术

程光, 等著

出版社:东南大学出版社

年代:2014

定价:40.0

书籍简介:

本书研究了四种僵尸网络检测方法,首先是基于DPI技术的IRC僵尸网络检测方法,本文采用rishi算法与昵称相似性方法同时评估昵称,比单一使用其中之一更为有效;其次是基于DNS的僵尸网络检测方法,本文通过识别和解析DNS协议,采用DNS请求的周期性和群体相似性方法检测僵尸网络;然后是基于流序列行为的非DPI僵尸网络检测方法,本文通过研究僵尸客户端与C&C服务器交互时产生的流量特性,以流序列为研究对象,提取流间隔时间、流持续时间、流字节数、交互频率等特征,采用一维聚类及与之对应的评分机制,与未知流量进行匹配,从而达到检测僵尸网络的目的;最后是基于关联分析的僵尸网络检测方法,作为一种辅助方法,本书同时采用snort协助检测僵尸网络,进行了规则筛选,去除了与僵尸网络无关的规则,并修改snort源码,提高了snort的性能,使snort能处理更高速的流量。

书籍目录:

1 概论 1.1 僵尸网络检测的意义 1.2 恶意软件特性 1.2.1 计算机病毒 1.2.2 计算机蠕虫 1.2.3 特洛伊木马 1.2.4 间谍软件 1.2.5 rootkit 1.2.6 僵尸网络 1.3 僵尸网络架构 1.3.1 集中式C&C架构 1.3.2 分布式C&C架构 1.3.3 僵尸网络中DNS的作用 1.3.4 命令控制 1.4 僵尸网络的动机 1.4.1 身份窃取 1.4.2 垃圾邮件攻击 1.4.3 点击欺诈 1.4.4 DDoS攻击 1.4.5 信息泄露 1.4.6 政治利益 l.5 威胁特征度量 1.5.1 僵尸网络规模 1.5.2 垃圾邮件 1.5.3 收集到的数据 1.5.4 直接金融损失 1.5.5 恶意软件恢复能力 l.5.6 恶意软件攻击传播 1.6 僵尸网络被动测量技术 1.6.1 包检查 1.6.2 流记录分析 1.6.3 基于DNS的检测方法 1.6.4 垃圾邮件记录分析 1.6.5 应用日志文件分析 1.6.6 蜜罐 1.6.7 反病毒软件结果评估 1.7 僵尸网络主动测量技术 1.7.1 sinkholing 1.7.2 渗透 1.7.3 DNS缓存窥探 1.7.4 fast-flux网络的追踪 1.7.5 基于IRC的测量和检测 1.7.6 P2P网络枚举 1.7.7 恶意软件逆向工程 1.8 僵尸网络威胁应对对策 1.8.1 黑名单 1.8.2 假冒可追踪凭证的分发 1.8.3 BGP blackholing 1.8.4 基于DNS的对策 1.8.5 直接摧毁C&C服务器 1.8.6 网络和应用层上的包过滤 1.8.7 阻塞25号端口 1.8.8 P2P应对措施 1.8.9 渗透和远程杀毒 1.8.10 公共预防措施 1.9 小结2 僵尸的会话行为分析 2.1 引言 2.2 背景技术 2.2.1 聊天系统 2.2.2 聊天bot 2.2.3 相关工作 2.3 测量分类 2.3.1 测量数据 2.3.2 日志的分类 2.4 分析 2.4.1 人类行为 2.4.2 周期型bot 2.4.3 随机型bot 2.4.4 响应型bot 2.4.5 重播型bot 2.5 分类系统 2.5.1 熵值分类器……3 主动僵尸代码捕获方法4 僵尸提取和分析5 僵尸源码实例分析6 基于DNS的僵尸网络检测方法7 基于C&C信道的僵尸网络检测方法8 基于流量行为的僵尸网络检测9 基于事件关联的僵尸网络检测10 基于内容解析的僵尸网络检测参考文献

内容摘要:

本书研究了四种僵尸网络检测方法, 首先是基于DPI技术的IRC僵尸网络检测方法;其次是基于DNS的僵尸网络检测方法;然后是基于流序列行为的非DPI僵尸网络检测方法;最后是基于关联分析的僵尸网络检测方法, 作为一种辅助方法, 本书同时采用snort协助检测僵尸网络, 进行了规则筛选, 去除了与僵尸网络无关的规则, 并修改snort源码, 提高了snort的性能, 使snort能处理更高速的流量。

书籍规格:

书籍详细信息
书名僵尸网络检测技术站内查询相似图书
9787564149451
如需购买下载《僵尸网络检测技术》pdf扫描版电子书或查询更多相关信息,请直接复制isbn,搜索即可全网搜索该ISBN
出版地南京出版单位东南大学出版社
版次1版印次1
定价(元)40.0语种简体中文
尺寸26 × 18装帧平装
页数印数

书籍信息归属:

僵尸网络检测技术是东南大学出版社于2014.10出版的中图分类号为 TP393.08 的主题关于 计算机网络-安全技术 的书籍。