| 摘要 | 第5-9页 |
| Abstract | 第9-12页 |
| List of Abbreviations | 第19-20页 |
| Chapter 1. Introduction | 第20-40页 |
| 1.1 Botnet Definition | 第20-30页 |
| 1.1.1 Bot and botnet | 第20-21页 |
| 1.1.2 History of the Botnet | 第21-23页 |
| 1.1.3 Botnet Architecture | 第23-27页 |
| 1.1.4 Botnet lifecycle | 第27-30页 |
| 1.2 Evolution of Botnet | 第30-33页 |
| 1.2.1 IRC-Based Botnet | 第31页 |
| 1.2.2 P2P-Based Botnet | 第31-32页 |
| 1.2.3 HTTP-Based Botnet | 第32-33页 |
| 1.3 Motivation and Challenges | 第33-35页 |
| 1.4 The goal of the dissertation | 第35页 |
| 1.5 Contributions and Outline of dissertation | 第35-40页 |
| 1.5.1 Contributions | 第35-38页 |
| 1.5.2 Outline of the Dissertation | 第38-40页 |
| Chapter 2. Background and Related Works | 第40-54页 |
| 2.1 Botnet Detection Techniques | 第40-45页 |
| 2.1.1 Honeypots-based detection | 第40-42页 |
| 2.1.2 Anomaly-based Detection | 第42页 |
| 2.1.3 DNS-based Detection | 第42-44页 |
| 2.1.4 Mining-based Detection | 第44-45页 |
| 2.2 Detection evasion techniques | 第45-50页 |
| 2.2.1 DGA-Based technique | 第45-46页 |
| 2.2.2 Fast Flux-Based technique | 第46-50页 |
| 2.3 Related Works | 第50-54页 |
| Chapter 3. Detecting DGA-Bot Infected Machines Based On Analyzing The SimilarPeriodic Of Domain Queries | 第54-70页 |
| 3.1 Introduction | 第54-56页 |
| 3.2 Proposed methods | 第56-61页 |
| 3.2.1 System Overview | 第56-57页 |
| 3.2.2 Filtering DNS traffic | 第57-58页 |
| 3.2.3 Similarity Analyzer | 第58-60页 |
| 3.2.4 Clustering | 第60-61页 |
| 3.3 Experiment Results | 第61-68页 |
| 3.3.1 Bot samples collection | 第61-62页 |
| 3.3.2 DNS traffic extraction | 第62-66页 |
| 3.3.3 Detection and Clustering | 第66-68页 |
| 3.4 Discussions | 第68-69页 |
| 3.5 Conclusion and Future Work | 第69-70页 |
| Chapter 4. Detecting C&C Servers Of Botnet With Analysis Features Of NetworkTraffic | 第70-94页 |
| 4.1 Introduction | 第70-72页 |
| 4.2 Related Works | 第72-73页 |
| 4.3 Proposed Approach | 第73-81页 |
| 4.3.1 System Overview | 第73-74页 |
| 4.3.2 Training Phase | 第74-76页 |
| 4.3.3 Detecting Phase | 第76-78页 |
| 4.3.4 Feature extraction | 第78-80页 |
| 4.3.5 C&C Detection | 第80-81页 |
| 4.4 Experimental and Evaluation | 第81-92页 |
| 4.4.1 Prepare the Training Data Set | 第81页 |
| 4.4.2 Evaluation of features selection | 第81-83页 |
| 4.4.3 The Classifier Comparison | 第83-85页 |
| 4.4.4 Evaluation of the detection rate on real-world DNS traffic | 第85-90页 |
| 4.4.5 Compare with other approaches | 第90-92页 |
| 4.5 Discussion | 第92-93页 |
| 4.6 Conclusion | 第93-94页 |
| Chapter 5. Detecting Malicious Fast-Flux Service Networks Use Feature-BasedMachine Learning Classification Techniques | 第94-126页 |
| 5.1 Introduction | 第94-97页 |
| 5.2 Related works | 第97-99页 |
| 5.3 Proposed Methods | 第99-114页 |
| 5.3.1 System Overview | 第99-100页 |
| 5.3.2 Data Aggregate | 第100-102页 |
| 5.3.3 Data Pre-filtering | 第102-104页 |
| 5.3.4 Feature Extraction | 第104-114页 |
| 5.4 Experiment and Evaluation | 第114-124页 |
| 5.4.1 Data Set | 第114-116页 |
| 5.4.2 Experimental Results | 第116-123页 |
| 5.4.3 Compare with previous works | 第123-124页 |
| 5.5 Conclusion | 第124-126页 |
| Chapter 6. Conclusion and Future Works | 第126-130页 |
| 6.1 Summary of Research and Conclusions | 第126-128页 |
| 6.2 Limitation and Future Work | 第128-130页 |
| Bibliography | 第130-140页 |
| Acknowledgements | 第140-142页 |
| List of Publications | 第142页 |
