程光，男，1973年2月生，安徽黄山人，王学博士，东南大学计算机科学与工程学院教授、博导，东南大学计算机网络和信息集成教育部重点实验塞主任，2005-2006年期间在美国佐治亚理工大学从事博士后研究，2012年在美国亚利桑那大学从事高级访问学者研究工作。目前研究兴趣在网络安全、网络测量、网络行为学、网络管理和科学可视化等。先后主持参加国家973项目、国家科技支撑项目、国家自然基金、教育部科技重点项目、江苏省自然基金等20多项纵向课题研究。发表学术论文80余篇，出版专著及教材共5部，申请和授权专利20余项。
　　
　　吴桦，女，东南大学副教授，工学博士，江苏省计算机学会大数据专家委员会委员。主要研究领域为网络管理，网络行为学。自从1997年参加工作以来一直参与了CERNET华东北地区网的运行管理，在网络运行管理方面有着丰富的经验。科研方面，参加了东南大学和丁肇中教授合作的AMS-02反物质研究系统的研制项目，被东南大学派往瑞士日内瓦的欧洲核子研究中心进行项目合作两年，在海量数据传输和存储方面具有丰富的经验。作为主要人员参加了国家973课题、自然科学基金课题、国家科技支撑计划等多项课题的研究。

　　僵尸网络是指通过各种手段在多台计算机中植入恶意程序，使僵尸控制者能相对方便和集中地控制这些计算机，向这些受控制的计算机发布各种指令进行相应恶意活动的攻击网络。《网络新技术系列丛书：僵尸网络检测技术》首先通过大量实验介绍在僵尸和人的活动行为方面的差异，其次介绍一种基于主动技术的恶意代码捕获方法以及获得僵尸样本的通信数据和行为特征的方法，最后介绍6种不同类型的僵尸网络检测方法。全书包括10章内容，第1章综述了近年来国内外主要的僵尸网络检测方法的研究进展；第2章介绍僵尸的会话行为分析；第3章介绍主动僵尸代码捕获方法；第4章介绍僵尸提取和分析；第5章介绍僵尸源码实例分析；第6章介绍基于DNS的僵尸网络检测方法；第7章介绍基于C&C信道的僵尸网络检测方法；第8章介绍基于流量行为的僵尸网络检测方法；第9章介绍基于事件关联的僵尸检测方法；第10章介绍基于内容解析的僵尸网络检测方法。
　　《网络新技术系列丛书：僵尸网络检测技术》可供计算机科学、信息科学、网络工程及流量工程等学科的科研工作人员、大学教师和相关专业的研究生与本科生，以及从事计算机网络安全领域、网络工程及网络管理的工程技术人员阅读参考使用。

　　《网络新技术系列丛书：僵尸网络检测技术》：
　　sinkhole的运营者必须得将这一点考虑进去，那就是输入数据会常常包含数量较多的敏感内容。举例来说，如果一个sinkhole服务器接收到来自于那些含有身份窃取特征的恶意软件的数据，那么输入包就会包含不同账户或者商业信息的证书，如信用卡和银行账户数据等。
　　1.7.2 渗透
　　僵尸网络的渗透可被分成基于软件和基于硬件的技术。基于软件的技术包括对僵尸可执行性方面的研究和对流量的监测（用来获得控制和进行测量）。如果能够对C&C服务器进行访问，那么基于硬件的技术就能被应用并能被用来对通信进行窃听。该技术涉及物理机器和那些运行在数据中心的虚拟机。
　　基于软件的渗透与在控制主机上对僵尸进行模拟和修改（从而能够加入到僵尸网络并在内部进行测量）不同，渗透技术能够更深一步地对僵尸网络进行控制。
　　这通常需要以僵尸网络用到的通信机制逆向工程作为其起点。如此精确的分析可能会对那些潜在的薄弱环节进行识别。这个过程可能会当作一种安全审查或者对僵尸网络及其基础设施的渗透检查。在此过程中获得的相关知识可被用来进行更深层次的开发从而能够在僵尸网络内部获得一个可以发布命令的能力。这一点可能会使一些操作可行，如完成测量过程、暴露感染主机甚至是僵尸网络控制者的一些信息。
　　如果一个属于C＆C服务器的IP地址被识别而且能够建立其与数据处理中心或者主机所属公司之间的关系，基于硬件的渗透方法就会得到应用。通过获得其与可疑服务器镜像端口上的连接，该通信就会被窃听进而被分析。这种方法能够监测发往和来自服务器的所有流量，从而收集到有关感染主机的数量、位置和其他属性方面的信息。这种方法的不足与sinkholing方法相类似。举例来说，流量加密会减少可用属性的数量进而影响测量方法的准确性。
　　1.7.3 DNS缓存窥探
　　所谓DNS缓存窥探的测量技术基于那些被很多DNS服务器配置和使用的缓存属性。如果对DNS服务器查询了一个根本没有定义的域时，它就会代表本查询客户端向相关的权威域名服务器发送查询并将所得到的数据记录存储在本地缓存中。超高速缓存主要用来提高域名服务器端的性能并降低流量负载。
　　该方法可能会在进行测量时被无意识地使用。如图1.10所示，该方法的核心思想就是间接地检查一个目的域是不是通过一个特定的域名服务器而被查询（通过测试缓存的响应是否被存储）。有两种相应变体应用在这个方法上，但具体使用哪一种取决于DNS服务器的配置。'在第一个变体中，查询会以一个特定的变量（即没有递归标记的集合）发送到DNS服务器上，该变量会阻止服务器将这些查询转发到相关的权威域名服务器上。根据初始查询的服务器是否存储了对目标域名的缓存结果，相应服务器的行为是不同的。它要么直接响应查询（用解析的IP地址），或者如果DNS服务器不能响应的时候，它就会发送包含那些需要被继续连接的权威域名服务器信息的响应。这种方法并不一定会在每一个DNS服务器上都有效果，因为很多服务器会直接拒绝像这样的一些特殊请求从而保护它们免受DoS攻击。
　　……