CN104135400A - 一种基于分布式时空机理的主干网僵尸网络追踪方法 - Google Patents
一种基于分布式时空机理的主干网僵尸网络追踪方法 Download PDFInfo
- Publication number
- CN104135400A CN104135400A CN201410331956.XA CN201410331956A CN104135400A CN 104135400 A CN104135400 A CN 104135400A CN 201410331956 A CN201410331956 A CN 201410331956A CN 104135400 A CN104135400 A CN 104135400A
- Authority
- CN
- China
- Prior art keywords
- dns
- probe
- engine
- characteristic
- fast flux
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于分布式时空机理的主干网僵尸网络追踪方法,其将流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给FastFluxDNS探测模块检测具有FastFluxDNS特性的域名。流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。将具有FastFluxDNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
Description
技术领域
本专利申请涉及一种网络安全领域的主干网僵尸网络追踪方法,主要利用分布式时空机理用于追踪僵尸网络的各级节点。
背景技术
现在僵尸网络成为了一个影响网络安全的重要问题,但是僵尸网络由于多层级的特征导致其很难被追踪和溯源。
为了解决这个问题,目前常见的做法是进行蜜罐处理,将僵尸网络的信息提取后汇总然后在主干网上进行追踪。这类方法的主要问题是蜜罐只能被动地探测一些僵尸网络的信息。如果需要主动地获得僵尸网络的踪迹,需要利用僵尸网络进行活动的时候的行为特征进行追踪。
本申请的分布式时空机理是指僵尸网络在进行DDoS攻击或者扫描时的IP聚类行为,结合其使用的DNS的Fast Flux行为特征,可以提取到僵尸网络节点的信息,从而为进一步追踪上层节点提供了可能。本申请假设各层节点均在流量探针的探测范围内,不在范围内的理论上可以通过分布式协同来解决。
发明内容
本专利申请所要解决的技术问题是:主动发现僵尸网络的活动,并对其上层节点进行追踪。
为了解决上述技术问题,本专利申请提供了一种方法,通过对僵尸网络活动的追踪,找到僵尸网络的活跃节点,反复迭代跟踪僵尸网络的高层节点,直到穷尽为止。
本专利申请所述的一种基于分布式时空机理的主干网僵尸网络追踪方法,其流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast Flux DNS特性的域名。流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。将具有Fast Flux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
本申请的有益后果是:
1) 可以主动发现僵尸网络的活动,避免蜜罐信息钝化的问题;
2) 能够有效对僵尸网络上层节点进行迭代追踪;
3) 分布式时空机理保证提取的僵尸网络行为符合其典型的分布式特征。
附图说明
图 1为本专利申请的结构示意图
具体实施方式
本专利申请的结构如图1所示,包括网络流量探针、宏观分布特性提取引擎、IP分类器、分布式机理判别引擎、DNS异常检测引擎、DNS白名单、Fast Flux DNS探测模块以及二次探针、访问行为迭代器。
本专利申请所述的网络安全领域的主干网僵尸网络追踪方法的工作步骤如下:
(1) 将流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast Flux DNS特性的域名;
(2) 流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取;
(3) 将具有Fast Flux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
以上实施例的说明只适用于帮助理解本专利申请的原理,同时对本领域的一般技术人员,依据本专利申请实施例,在具体实施方式以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本专利申请的限制。
Claims (3)
1.一种基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:包括网络流量探针、宏观分布特性提取引擎、IP分类器、分布式机理判别引擎、DNS异常检测引擎、DNS白名单、Fast Flux DNS探测模块以及二次探针、访问行为迭代器。
2.如权利要求1所述的基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:流量探针将流量中的DNS数据分配给DNS异常流量检测引擎,DNS异常流量检测引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast Flux DNS特性的域名;流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。
3.如权利要求2所述的一种基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:将权利要求2得到的具有Fast Flux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;将中间节点信息输入到二次探针和迭代器进行反复迭代,直到二次探针没有输出信息为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410331956.XA CN104135400A (zh) | 2014-07-14 | 2014-07-14 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410331956.XA CN104135400A (zh) | 2014-07-14 | 2014-07-14 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104135400A true CN104135400A (zh) | 2014-11-05 |
Family
ID=51807929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410331956.XA Pending CN104135400A (zh) | 2014-07-14 | 2014-07-14 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104135400A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN111786990A (zh) * | 2020-06-29 | 2020-10-16 | 杭州优云科技有限公司 | 一种针对web主动推送跳转页面的防御方法和系统 |
| CN111953665A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
| CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
| CN113596008A (zh) * | 2021-07-23 | 2021-11-02 | 国网安徽省电力有限公司铜陵供电公司 | 一种基于微传感器技术的网络安全常态监控系统 |
-
2014
- 2014-07-14 CN CN201410331956.XA patent/CN104135400A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN106657001B (zh) * | 2016-11-10 | 2019-12-13 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
| CN111786990A (zh) * | 2020-06-29 | 2020-10-16 | 杭州优云科技有限公司 | 一种针对web主动推送跳转页面的防御方法和系统 |
| CN111786990B (zh) * | 2020-06-29 | 2021-02-02 | 杭州优云科技有限公司 | 一种针对web主动推送跳转页面的防御方法和系统 |
| CN111953665A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
| CN111953665B (zh) * | 2020-07-28 | 2022-08-30 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
| CN113596008A (zh) * | 2021-07-23 | 2021-11-02 | 国网安徽省电力有限公司铜陵供电公司 | 一种基于微传感器技术的网络安全常态监控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104135400A (zh) | 一种基于分布式时空机理的主干网僵尸网络追踪方法 | |
| US8635697B2 (en) | Method and system for operating system identification in a network based security monitoring solution | |
| Khamphakdee et al. | Improving intrusion detection system based on snort rules for network probe attack detection | |
| US9660959B2 (en) | Network traffic analysis to enhance rule-based network security | |
| CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| US11652845B2 (en) | Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program | |
| Caselli et al. | On the feasibility of device fingerprinting in industrial control systems | |
| Cai et al. | Detecting HTTP botnet with clustering network traffic | |
| CN104980423A (zh) | 一种高级可持续威胁诱捕系统及方法 | |
| CN104144164A (zh) | 基于网络入侵的扩展防御方法 | |
| JP2014099758A (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
| CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
| CN105933301A (zh) | 一种基于sdn实现网络蠕虫集中防控的方法和装置 | |
| Hsu et al. | Detecting Web‐Based Botnets Using Bot Communication Traffic Features | |
| Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
| Abdulla et al. | Employing machine learning algorithms to detect unknown scanning and email worms. | |
| Awadi et al. | Multi-phase IRC botnet and botnet behavior detection model | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| Roshna et al. | Botnet detection using adaptive neuro fuzzy inference system | |
| Ionită et al. | Biologically inspired risk assessment in cyber security using neural networks | |
| KR20120092286A (ko) | 도메인 이름 서비스 질의 데이터를 이용한 봇넷 탐지 방법 및 시스템 | |
| Choo et al. | Introduction to the minitrack on cyber threat intelligence and analytics | |
| Paul et al. | Fast-flux botnet detection from network traffic | |
| Choi et al. | Traffic-locality-based creation of flow whitelists for SCADA networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141105 |
|
| WD01 | Invention patent application deemed withdrawn after publication |