僵尸網(wǎng)絡(luò)(Botnet)作為近年崛起的新興惡意軟件,由于其傳播快、危害大、影響范圍廣等特點,已經(jīng)嚴(yán)重威脅到互聯(lián)網(wǎng)的生態(tài)環(huán)境以及國家網(wǎng)絡(luò)空間安全,因此如何檢測與追蹤僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)安全領(lǐng)域的重要研究內(nèi)容之一。從僵尸網(wǎng)絡(luò)的生命周期來看,可以分為初次感染、二次注入、C&C通信、實施惡意行為、控制維持五個階段,根據(jù)每個階段的不同特點,可以設(shè)計多種檢測與溯源方法。良好的僵尸網(wǎng)絡(luò)檢測能力可以有效提高網(wǎng)絡(luò)空間的安全性,減少重要網(wǎng)絡(luò)資源被攻擊者侵占的可能性。
本書在介紹僵尸網(wǎng)絡(luò)概念、特點以及一些僵尸網(wǎng)絡(luò)常用的隱蔽通信技術(shù)的基礎(chǔ)上,側(cè)重介紹作者近十年的研究成果。本書從僵尸網(wǎng)絡(luò)檢測的原理、方法以及如何進行實踐應(yīng)用三個角度出發(fā),分別介紹了基于FastFlux與DNS失效特征、基于DGA惡意域名、基于DNS隱蔽隧道、基于深度學(xué)習(xí)特征的僵尸網(wǎng)絡(luò)檢測,以及針對僵尸網(wǎng)絡(luò)的追蹤溯源。本書還詳細介紹了如何將知識圖譜、反饋學(xué)習(xí)、圖神經(jīng)網(wǎng)絡(luò)、生成式對抗網(wǎng)絡(luò)等前沿技術(shù)應(yīng)用于僵尸網(wǎng)絡(luò)檢測,進一步提高檢測精度與告警能力。
本書在注重介紹僵尸網(wǎng)絡(luò)檢測的原理與方法的同時,也提供了一些可理解、可復(fù)現(xiàn)的實驗過程,力求讓讀者易讀、易懂,在學(xué)習(xí)了本書以后,可以掌握僵尸網(wǎng)絡(luò)檢測領(lǐng)域的常用實驗方法,能更快地從事僵尸網(wǎng)絡(luò)相關(guān)研究。
本書既可作為高等院校網(wǎng)絡(luò)空間安全、信息安全、計算機、電子信息等專業(yè)的教材,也可作為研究所、IT公司中僵尸網(wǎng)絡(luò)研究者的參考書。
本書成果與寫作過程得到了國家重點研發(fā)計劃(2017YFB0802300,2018YFB0803503,2020YFB1807500)的持續(xù)資助和國家自然科學(xué)基金重點項目(61831007)的資助,在此表示衷心的感謝。
本書由鄒福泰、易平、章思宇及胡煜宗合著,由鄒福泰統(tǒng)稿和審定。由于時間倉促,作者水平有限,書中欠妥和紕漏之處在所難免,懇請讀者和同行不吝指正。
鄒福泰
2022年12月于上海交通大學(xué)
第1章僵尸網(wǎng)絡(luò)
1.1僵尸網(wǎng)絡(luò)簡介
1.1.1僵尸網(wǎng)絡(luò)的組成
1.1.2僵尸網(wǎng)絡(luò)的分類
1.2僵尸網(wǎng)絡(luò)的特征
1.2.1僵尸網(wǎng)絡(luò)的結(jié)構(gòu)
1.2.2僵尸網(wǎng)絡(luò)的生命周期
1.2.3僵尸網(wǎng)絡(luò)C&C信道特征
1.2.4僵尸網(wǎng)絡(luò)惡意行為特征
1.2.5僵尸網(wǎng)絡(luò)跳板特征
1.3傳統(tǒng)的僵尸網(wǎng)絡(luò)檢測技術(shù)
1.3.1網(wǎng)絡(luò)入侵檢測系統(tǒng)
1.3.2Snort簡介
小結(jié)
參考文獻
第2章基于僵尸網(wǎng)絡(luò)DNS行為的檢測原理
2.1域名系統(tǒng)
2.1.1域命名空間
2.1.2域名服務(wù)器
2.1.3DNS報文格式
2.1.4資源記錄
2.2早期僵尸網(wǎng)絡(luò)的DNS應(yīng)用
2.3逐步演變的FastFlux技術(shù)
2.4域名生成算法
2.4.1DGA工作原理
2.4.2DGA域名生成方法
2.4.3DGA域名種子分類
2.5DNS隧道
小結(jié)
參考文獻
第3章基于FastFlux和DNS失效的檢測方法與實踐
3.1檢測僵尸網(wǎng)絡(luò)的FastFlux服務(wù)
3.1.1FastFlux服務(wù)網(wǎng)絡(luò)
3.1.2FastFlux域名特征
3.1.3檢測算法
3.1.4跟蹤探測與可疑域名確定
3.1.5系統(tǒng)實現(xiàn)
3.1.6實踐效果評估
3.2檢測僵尸網(wǎng)絡(luò)的DNS失效特征
3.2.1DNS失效原因
3.2.2DNS失效分類
3.2.3惡意軟件域名請求特征
3.2.4流量預(yù)過濾
3.2.5請求序列分析
3.2.6C&C域名檢測
3.2.7實踐效果評估
小結(jié)
參考文獻
Botnet檢測原理、方法與實踐
目錄
第4章僵尸網(wǎng)絡(luò)DGA域名檢測方法與實踐
4.1基于DNS圖挖掘的惡意域名檢測
4.1.1DNS圖的定義
4.1.2挖掘算法
4.1.3算法應(yīng)用
4.1.4算法實現(xiàn)
4.1.5實踐效果評估
4.2基于知識圖譜的DGA惡意域名檢測
4.2.1DNS知識圖譜
4.2.2惡意域名檢測模型
4.2.3模型泛化
4.2.4實踐效果評估
4.3基于圖網(wǎng)絡(luò)的詞典型DGA檢測
4.3.1算法框架
4.3.2詞典型域名構(gòu)圖算法
4.3.3DGA域名生成詞典挖掘算法
4.3.4實踐效果評估
4.4基于反饋學(xué)習(xí)的DGA惡意域名在線檢測
4.4.1SVM與支持向量
4.4.2FSVM學(xué)習(xí)算法
4.4.3算法應(yīng)用
4.4.4實踐效果評估
小結(jié)
參考文獻
第5章僵尸網(wǎng)絡(luò)DNS隱蔽隧道檢測方法與實踐
5.1基于機器學(xué)習(xí)的檢測方法
5.1.1DNS隱蔽通道分析
5.1.2數(shù)據(jù)特征提取
5.1.3檢測算法
5.1.4實踐效果評估
5.2基于時序特征的檢測方法
5.2.1基于自編碼器的異常檢測
5.2.2特征提取
5.2.3檢測算法
5.2.4網(wǎng)絡(luò)參數(shù)調(diào)優(yōu)
5.2.5實踐效果評估
小結(jié)
參考文獻
第6章基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測方法與實踐
6.1深度學(xué)習(xí)介紹
6.1.1深度學(xué)習(xí)基本原理
6.1.2深度學(xué)習(xí)與僵尸網(wǎng)絡(luò)
6.2基于時空特征深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測
6.2.1基于ResNet的僵尸網(wǎng)絡(luò)檢測技術(shù)研究
6.2.2基于BiLSTM的僵尸網(wǎng)絡(luò)檢測技術(shù)研究
6.2.3基于時空特征相結(jié)合的僵尸網(wǎng)絡(luò)檢測技術(shù)研究
6.3基于生成式對抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測技術(shù)研究
6.3.1生成式對抗網(wǎng)絡(luò)
6.3.2基于空間維度生成式對抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測技術(shù)
6.3.3基于時間維度生成式對抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測技術(shù)
小結(jié)
參考文獻
第7章僵尸網(wǎng)絡(luò)追蹤溯源方法與實踐
7.1基于流量水印的僵尸網(wǎng)絡(luò)跳板追蹤
7.1.1僵尸網(wǎng)絡(luò)跳板
7.1.2流量水印
7.1.3流量水印系統(tǒng)設(shè)計
7.1.4實踐效果評估
7.2基于定位文檔的僵尸網(wǎng)絡(luò)攻擊者追蹤
7.2.1定位文檔系統(tǒng)設(shè)計
7.2.2定位文檔生成模塊
7.2.3定位文檔檢測模塊
7.2.4實踐效果評估
7.3基于蜜罐的僵尸網(wǎng)絡(luò)追蹤
7.3.1蜜罐系統(tǒng)結(jié)構(gòu)
7.3.2協(xié)議模擬模塊設(shè)計
7.3.3追蹤模塊設(shè)計
7.3.4日志模塊設(shè)計及生成
7.3.5實踐效果評估
7.3.6蜜罐日志分析
小結(jié)
參考文獻