CN103152442A - 一种僵尸网络域名的检测与处理方法及系统 - Google Patents
一种僵尸网络域名的检测与处理方法及系统 Download PDFInfo
- Publication number
- CN103152442A CN103152442A CN2013100392056A CN201310039205A CN103152442A CN 103152442 A CN103152442 A CN 103152442A CN 2013100392056 A CN2013100392056 A CN 2013100392056A CN 201310039205 A CN201310039205 A CN 201310039205A CN 103152442 A CN103152442 A CN 103152442A
- Authority
- CN
- China
- Prior art keywords
- domain name
- botnet
- inquiry
- detection
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种僵尸网络域名的检测与处理方法与系统,由输入模块、输出模块、实时校验模块和处置模块的组成的系统,其方法为:1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。本发明能够从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,有效阻止了僵尸主机利用域名连接控制端进而接收恶意指令的网络不良行为。
Description
技术领域
本发明涉及一种域名检测与处理方法及系统,特别涉及一种僵尸网络域名的检测与处理。
背景技术
随着社会信息化的发展,互联网已经深入到社会生活的各个方面。因此,互联网面临的安全攻击也愈发频繁和严重。而作为互联网最基本的寻址协议,DNS是几乎所有互联网应用得以顺利开展的基础,而其在设计之初未能充分考虑安全保障的缺陷及其完全开放的特点也使其成为各种恶意应用首选的攻击目标或工具。
僵尸网络就是一种危害及其严重的互联网恶意攻击模式,而为了隐藏僵尸网络的控制和命令端,DNS成为僵尸网络近些年来进行通信的主流形式。其主要形式为Fast-flux服务网络技术,Fast-flux服务网络是由一些被控制的计算机系统组成,这些计算机系统的公共DNS记录在持续变化,甚至有些时候每隔几分钟就变化一次。这种DNS记录不断变化的机制致使犯罪行为的追踪和阻断更为困难。
因此,如何通过检测手段,从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,进行其行为研究非常必要。
发明内容
本发明的目的是解决现有技术中僵尸网络域名的检测及处理的不足,提出适合僵尸网络环境的域名特征,然后通过机器学习手段,到达从正常数据中提取僵尸网络域名进而进行处理。
为了到达上述目的,本发明的技术方案如下:
一种僵尸网络域名的检测与处理方法,其步骤包括:
1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;
2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;
3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;
4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。
所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
所述机器学习可通过如下方法实现:Bagging,Naive Bayes classifier和k-Nearest Neighbor algorithm。
所述黑洞权威服务器阻断僵尸网络传播的方法是:
4-1)当所述递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址;
4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。
所述域名每日平均相似性计算方法如下:
其中n表示天数,di,j为第ith天和第jth天的欧氏距离Euclidean Distance。
所述典型RR的查询比例中查询类型为:A、AAAA、NS和MX。
所述域名有效字符串长度比例通过计算连续字母和连续数字长度之和占据域名总长度的比例得到。
本发明还提出一种僵尸网络域名的检测与处理系统,包括:
用于输入域名查询日志的输入模块和输出僵尸网络域名的输出模块,和连接所述输入模块和输出模块的实时校验模块,所述实时校验模块用于所述僵尸网络域名提取并对该些僵尸网络域名进行机器学习,以及用于阻断僵尸网络传播的处置模块;
所述实时校验模块根据僵尸网络域名特征对所述僵尸网络进行域名提取。
所述处置模块由至少一黑洞权威服务器组成。
所述处置模块中黑洞权威服务器还连接:DNS中递归服务器和顶级权威服务器。
所述实时校验模块中用于所述僵尸网络域名提取特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
本发明的有益效果
本发明能够从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,有效阻止了僵尸主机利用域名连接控制端进而接收恶意指令的网络不良行为。
附图说明
图1是正常域名和僵尸网络域名中每小时的查询量示意图,其中benign-ex.cn为正常域,malicious-ex.cn为僵尸网络域名,横坐标是域名查询量,纵坐标是域名查询时间;
图2是本发明对于僵尸网络域名的检测和处理流程示意图;
图3是本发明对于僵尸网络域名的检测和处理流系统的一实施例处置模块中黑洞权威服 务器阻止僵尸网络原理示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清除、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明首先根据各种公开的僵尸网络域名建立僵尸网络域名样本集合,然后根据僵尸网络的一般活动规律,本发明提出如下及机器学习特征:
1)每日相似性:通过计算一个域名每日查询量之间的差距,可以判断该域名是否在每一天具有类似的活动行为。因为正常域名每天具有类似的查询量,僵尸网络域名每日查询量差距较大。计算方法如下为
该式表示n天的平均相似性指标,其中di,j为第ith天和第jth天的欧氏距离(Euclidean distance);欧氏距离是一个通常采用的距离定义,它是在m维空间中两个点之间的真实距离。
2)每小时重复模式:统计域名每小时的查询量。僵尸网络域名具有典型的时间选择性,在某些时间段集中爆发,因此需要监测每小时的查询量,如图1所示(以小时计算单个域名的查询量):其中benign-ex.cn和malicious-ex.cn分别为正常域名和僵尸网络域名,由此可见,在24小时内,正常域名的每小时查询量较为平滑,而僵尸网络域名由于其查询受到固定程式的控制,只在某些时间段发生突变。
3)查询IP分布:计算域名被查询IP源地址的AS数量。僵尸网络的域名只在感染该僵尸的地域被查询,所以查询IP分布范围有限;
4)查询类型数量:计算域名被查询类型的种类。僵尸网络的查询是依据固定程序发起,因此,查询类型较少,可大致分为:A、AAAA、NS和MX;
5)根据大量可行性试验得出典型RR的查询比例:计算A、AAAA、NS和MX的查询比例。僵尸网络通过域名查询旨在找到控制端的IP,因此,A、AAAA、NS和MX为主要的查询类型,如下表1所示:
表1
由此可见,这些僵尸网络域名的查询基本都限定在这四种类型。
6)有效字符串长度比例:计算连续字母和连续数字长度之和占据名字总长度的比例。由于僵尸网络域名不关心域名的易记性其一般均为机器生成,会更常使用数字和字母混合的形式,如下表2所示,其中表中高亮部分为有效字符串的部分:
表2
僵尸网络域名检测与处置系统包括4个模块:
输入模块
此系统的输入数据包括僵尸网络域名的查询日志和正常域名的查询日志。并对上述六个特征进行计算。如下为其中几个特征的举例:
实时检测模块
通过从上述两种日志提取本专利提出的特征,将其作为机器学习(如Adaboost,C4.5,Bagging,Naive Bayes Classifier和k-Nearest Neighbor algorithm)的输入,从而可以以此对实时的线上日志进行检测。
输出模块
通过学习,可以从线上日志中提取出和输入的僵尸网络域名具有类似规律的僵尸网络域名。
处置模块
处置模块至少包括一台专门响应该僵尸网络域名的DNS权威服务器,称为黑洞权威服务器,该服务器接收到僵尸网络域名的查询请求后,将该域名的应答指定到不可达的无效位置,如可以将此域名的A记录指定为127.0.0.1,这个无效的本地换回地址可以使得查询该域名的僵尸主机无法和控制端进行联络。
如图2所示,是本发明对于僵尸网络域名的检测和处理流系统的一实施例处置模块中黑洞权威服务器阻止僵尸网络原理示意图,其中
1)当递归服务器向顶级权威服务器查询yyy.cn时(yyy为僵尸网络域名),顶级权威服务器返回的NS记录中包含黑洞权威服务器的地址;
2)递归服务器接着向黑洞权威服务器发起xxx.yyy.cn的DNS查询,黑洞权威服务器以环回地址予以相应,终止了查询过程。
这种简单高效的方法可以阻止Rustock僵尸网络控制端通过DNS查询进而向互联网散布恶意信息。
Claims (10)
1.一种僵尸网络域名的检测与处理方法,其步骤包括:
1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;
2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;
3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;
4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。
2.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
3.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述机器学习可通过如下方法实现:Bagging,Naive Bayes Classifier和k-Nearest Neighbor algorithm。
4.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述黑洞权威服务器阻断僵尸网络传播的方法是:
4-1)当所述递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址;
4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。
5.如权利要求2述的僵尸网络域名的检测与处理方法,其特征在于,所述域名每日平均相似性计算方法如下:
其中n表示天数,di,j为第ith天和第jth天的欧氏距离。
6.如权利要求2所述的僵尸网络域名的检测与处理方法,其特征在于,所述典型RR的查询比例中查询类型为:A、AAAA、NS和MX。
7.如权利要求2所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名有效字符串长度比例通过计算连续字母和连续数字长度之和占据域名总长度的比例得到。
8.一种僵尸网络域名的检测与处理系统,包括:
用于输入域名查询日志的输入模块和输出僵尸网络域名的输出模块,和连接所述输入模块和输出模块的实时校验模块,所述实时校验模块用于所述僵尸网络域名提取并对该些僵尸网络域名进行机器学习,以及用于阻断僵尸网络传播的处置模块;
所述实时校验模块根据僵尸网络域名特征对所述僵尸网络进行域名提取。
所述处置模块由至少一黑洞权威服务器组成。
9.如权利要求8所述的僵尸网络域名的检测与处理系统,其特征在于,所述处置模块中黑洞权威服务器还连接:DNS中递归服务器和顶级权威服务器。
10.如权利要求8所述的僵尸网络域名的检测与处理系统,其特征在于,所述实时校验模块中用于所述僵尸网络域名提取特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039205.6A CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039205.6A CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103152442A true CN103152442A (zh) | 2013-06-12 |
| CN103152442B CN103152442B (zh) | 2016-06-01 |
Family
ID=48550301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310039205.6A Active CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152442B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105279238A (zh) * | 2015-09-28 | 2016-01-27 | 北京国双科技有限公司 | 字符串处理方法和装置 |
| CN105376217A (zh) * | 2015-10-15 | 2016-03-02 | 中国互联网络信息中心 | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 |
| CN103685230B (zh) * | 2013-11-01 | 2016-11-30 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
| CN108156174A (zh) * | 2018-01-15 | 2018-06-12 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN110493253A (zh) * | 2019-09-02 | 2019-11-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
| CN110650157A (zh) * | 2019-10-23 | 2020-01-03 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
| CN111371917A (zh) * | 2020-02-28 | 2020-07-03 | 北京信息科技大学 | 一种域名检测方法及系统 |
| CN112261169A (zh) * | 2020-10-16 | 2021-01-22 | 重庆理工大学 | 利用胶囊网络和k-means的DGA域名Botnet识别判断方法 |
| US20210092142A1 (en) * | 2016-02-25 | 2021-03-25 | Imperva, Inc. | Techniques for targeted botnet protection |
| CN112787946A (zh) * | 2021-01-28 | 2021-05-11 | 哈尔滨工业大学(威海) | 一种获取网络数据时网络阻塞造成的噪声数据消除方法 |
| US11374897B2 (en) * | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| CN115134095A (zh) * | 2021-03-10 | 2022-09-30 | 中国电信股份有限公司 | 僵尸网络控制端检测方法及装置、存储介质、电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488965A (zh) * | 2009-02-23 | 2009-07-22 | 中国科学院计算技术研究所 | 一种域名过滤系统及方法 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
| US20120198549A1 (en) * | 2011-02-01 | 2012-08-02 | Manos Antonakakis | Method and system for detecting malicious domain names at an upper dns hierarchy |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
-
2013
- 2013-01-31 CN CN201310039205.6A patent/CN103152442B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101488965A (zh) * | 2009-02-23 | 2009-07-22 | 中国科学院计算技术研究所 | 一种域名过滤系统及方法 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US20120198549A1 (en) * | 2011-02-01 | 2012-08-02 | Manos Antonakakis | Method and system for detecting malicious domain names at an upper dns hierarchy |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN103685230B (zh) * | 2013-11-01 | 2016-11-30 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN104506538B (zh) * | 2014-12-26 | 2018-01-19 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN104506538A (zh) * | 2014-12-26 | 2015-04-08 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105187367B (zh) * | 2015-06-04 | 2019-03-08 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105279238A (zh) * | 2015-09-28 | 2016-01-27 | 北京国双科技有限公司 | 字符串处理方法和装置 |
| CN105279238B (zh) * | 2015-09-28 | 2018-11-06 | 北京国双科技有限公司 | 字符串处理方法和装置 |
| CN105376217A (zh) * | 2015-10-15 | 2016-03-02 | 中国互联网络信息中心 | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 |
| CN105376217B (zh) * | 2015-10-15 | 2019-01-04 | 中国互联网络信息中心 | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 |
| US20210092142A1 (en) * | 2016-02-25 | 2021-03-25 | Imperva, Inc. | Techniques for targeted botnet protection |
| CN108768917B (zh) * | 2017-08-23 | 2021-05-11 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
| CN108156174B (zh) * | 2018-01-15 | 2020-03-27 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| US11374897B2 (en) * | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| CN108156174A (zh) * | 2018-01-15 | 2018-06-12 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN109120733B (zh) * | 2018-07-20 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN110493253A (zh) * | 2019-09-02 | 2019-11-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
| CN110650157A (zh) * | 2019-10-23 | 2020-01-03 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
| CN110650157B (zh) * | 2019-10-23 | 2021-01-15 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
| CN111371917A (zh) * | 2020-02-28 | 2020-07-03 | 北京信息科技大学 | 一种域名检测方法及系统 |
| CN111371917B (zh) * | 2020-02-28 | 2022-04-22 | 北京信息科技大学 | 一种域名检测方法及系统 |
| CN112261169B (zh) * | 2020-10-16 | 2022-02-22 | 重庆理工大学 | 利用胶囊网络和k-means的DGA域名Botnet识别判断方法 |
| CN112261169A (zh) * | 2020-10-16 | 2021-01-22 | 重庆理工大学 | 利用胶囊网络和k-means的DGA域名Botnet识别判断方法 |
| CN112787946A (zh) * | 2021-01-28 | 2021-05-11 | 哈尔滨工业大学(威海) | 一种获取网络数据时网络阻塞造成的噪声数据消除方法 |
| CN112787946B (zh) * | 2021-01-28 | 2022-04-15 | 哈尔滨工业大学(威海) | 一种获取网络数据时网络阻塞造成的噪声数据消除方法 |
| CN115134095A (zh) * | 2021-03-10 | 2022-09-30 | 中国电信股份有限公司 | 僵尸网络控制端检测方法及装置、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103152442B (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152442A (zh) | 一种僵尸网络域名的检测与处理方法及系统 | |
| US10587646B2 (en) | Analyzing DNS requests for anomaly detection | |
| Wang et al. | DBod: Clustering and detecting DGA-based botnets using DNS traffic analysis | |
| CN107770132B (zh) | 一种对算法生成域名进行检测的方法及装置 | |
| CN110602100B (zh) | Dns隧道流量的检测方法 | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| JP6490059B2 (ja) | データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置 | |
| US8762298B1 (en) | Machine learning based botnet detection using real-time connectivity graph based traffic features | |
| CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
| CN108737439B (zh) | 一种基于自反馈学习的大规模恶意域名检测系统及方法 | |
| US20120096549A1 (en) | Adaptive cyber-security analytics | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| CN104579823A (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| Hu et al. | BAYWATCH: robust beaconing detection to identify infected hosts in large-scale enterprise networks | |
| CN102571487B (zh) | 基于多数据源分布式的僵尸网络规模测量及追踪方法 | |
| Tong et al. | A method for detecting DGA botnet based on semantic and cluster analysis | |
| US10749882B2 (en) | Network security system and methods for encoding network connectivity for activity classification | |
| US11956261B2 (en) | Detection method for malicious domain name in domain name system and detection device | |
| CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
| CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
| CN110602020A (zh) | 一种基于dga域名和周期性网络连接会话行为的僵尸网络检测技术 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210224 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |
|
| TR01 | Transfer of patent right |