CN108156174A - 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 - Google Patents
基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN108156174A CN108156174A CN201810036078.7A CN201810036078A CN108156174A CN 108156174 A CN108156174 A CN 108156174A CN 201810036078 A CN201810036078 A CN 201810036078A CN 108156174 A CN108156174 A CN 108156174A
- Authority
- CN
- China
- Prior art keywords
- domain name
- domain names
- domain
- botnet
- names
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质,方法包括:信息获取步骤,获取DNS日志记录;域名分析步骤,根据预先构建的域名分析器,检测DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;僵尸网络确定步骤,根据C&C域名及C&C域名的所属类别,确定是否存在僵尸网络。本发明提供的基于C&C域名分析的僵尸网络检测方法、装置、设备及介质,通过分析域名系统(Domain Name System,DNS)日志记录,提取攻击活动使用的C&C域名,进而分析寄生木马的类型,锁定C&C服务器已控制的僵尸主机,此外,利用分析每类C&C域名发生的泊松参数,分析僵尸网络活动的趋势,以实现及时制定有效的抑制措施。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质。
背景技术
僵尸网络(Botnet),是指攻击者或控制者(Botmaster)传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络,实现“向被控制计算机发送控制指令,指示寄生木马执行预定恶意动作”的目的。其中,称被控制计算机为肉鸡或僵尸主机或简称bot机,且图1为僵尸网络结构图。
目前,僵尸网络检测技术主要包括:入侵检测系统(IDS,Instruction DetectionSystem)、蜜罐技术和网络流量分析。
(1)入侵检测系统(IDS,Instruction Detection System)。IDS通过配置安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击行为,以及时锁定感染主机,保证网络系统资源的机密性和可靠性。但是,IDS适合局域网环境,只能找到曾被发现的僵尸网络。
(2)蜜罐技术。蜜罐技术通过刻意布置被攻击的目标引诱攻击,一旦攻击者入侵后,就可以跟踪攻击如何实施、分析攻击者之间的相互联系,获取他们的社交网络。但是,蜜罐技术需要大量部署,且容易被控制作为攻击跳板。
(3)网络流量分析。网络流量的研究思路是通过分析基于互联网中继聊天(Internet Relay Chat,IRC)协议的Botnet中僵尸主机的行为特征,将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说,僵尸主机在Botnet中存在着三个比较明显的行为特征,一是通过蠕虫传播的僵尸程序,大量的被其感染的计算机会在很短的时间内加入到同一个IRC Server中;二是僵尸主机一般会长时间在线;三是僵尸主机作为一个IRC聊天的用户,在聊天频道内长时间不发言,保持空闲。流量分析可以找到部分僵尸主机,却因命令与控制服务器(Command and Control server,C&C服务器)随机生成的恶意域名大部解析失败不产生流量、网络的随机运行状态,很难及时准确地锁定整个互联网的僵尸主机、定位僵尸网络。
综上所述,现有的僵尸网络监测技术尚不能及时捕获攻击行为,锁定僵尸主机并定位僵尸网络。
发明内容
本发明要解决的技术问题是提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质,通过分析域名系统(Domain Name System,DNS)日志记录,提取攻击活动使用的C&C域名,进而分析寄生木马的类型,锁定C&C服务器已控制的僵尸主机,此外,利用分析每类C&C域名发生的泊松参数,分析僵尸网络活动的趋势,以实现及时制定有效的抑制措施。
第一方面,本发明实施例提供一种基于C&C域名分析的僵尸网络检测方法,包括:
信息获取步骤,获取DNS日志记录;
域名分析步骤,根据预先构建的域名分析器,检测DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定步骤,根据C&C域名及C&C域名的所属类别,确定是否存在僵尸网络。
进一步地,还包括:
数据统计步骤,统计每类C&C域名的发生频次;
趋势判断步骤,根据所有类别的C&C域名的发生频次,确定僵尸网络的活动趋势,以辅助及时制定有效的抑制措施。
进一步地,趋势判断步骤,包括:
将每类C&C域名的发生频次代入泊松分布概率函数,以获取对应所属类别的泊松参数;
将所有泊松参数确定为僵尸网络活动规律衡量指标;
根据僵尸网络活动规律衡量指标,确定僵尸网络的活动趋势。
进一步地,域名分析器的训练过程,包括:
对合法网站公开的合法域名进行清洗以获取合法域名集;
采用公开的域名生成算法生成C&C域名集,并对C&C域名集中的每个域名进行分类标记;
统计分析合法域名集和C&C域名集中的每个域名的结构,构建各类域名的字符概率字典;
从合法域名集中随机抽取设定数量的合法域名,获取合法域名训练样本集;
从C&C域名集中随机抽取设定数量的C&C域名,获取C&C域名训练样本集;
根据合法域名训练样本集、C&C域名训练样本集和字符概率字典,对域名分析器进行训练。
进一步地,域名分析器为,基于累积BP算法的神经网络模型,且神经网络模型中设置有,综合考虑经验误差因子和网络复杂度因子的正则化项。
进一步地,基于累积BP算法的神经网络模型的计算步骤,包括:
计算误差目标函数;
描述神经网络复杂度;
通过交叉验证法估计模型参数;
使用随机梯度下降调参逼近误差函数全局最小解。
进一步地,域名分析步骤,包括:
提取DNS日志记录中的域名;
对域名进行特征提取;
根据字符概率字典确定域名是否为C&C域名;
对C&C域名进行域名特征量化,以获取C&C域名的分类号;
根据分类号确定C&C域名的所属类别。
第二方面,本发明实施例提供一种基于C&C域名分析的僵尸网络检测装置,包括:
信息获取单元,用于获取DNS日志记录;
域名分析单元,用于根据预先构建的域名分析器,检测DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定单元,用于根据C&C域名及C&C域名的所属类别,确定是否存在僵尸网络。
第三方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例提供的基于C&C域名分析的僵尸网络检测方法、装置、设备及介质,通过分析域名系统(Domain Name System,DNS)日志记录,提取攻击活动使用的C&C域名,进而分析寄生木马的类型,锁定C&C服务器已控制的僵尸主机,此外,利用分析每类C&C域名发生的泊松参数,分析僵尸网络活动的趋势,以实现及时制定有效的抑制措施。
本发明实施例的有益技术效果是:
1、能够有效避免C&C域名绕过黑名单检测。
2、能够在网络中C&C攻击发起后,域名解析失败而未产生攻击流量时,及时捕获攻击行为。
3、能够在C&C服务器控制部分僵尸主机的情况下,分析C&C域名的发生频数及泊松参数,可获得僵尸网络活动趋势,从而有利于制定有效的抑制措施。
附图说明
图1是本发明提供的现有技术中的僵尸网络结构图;
图2是本发明实施例提供的方法的流程图;
图3是本发明实施例提供的方法的又一流程图;
图4是本发明实施例提供的C&C域名分类流程图;
图5是本发明实施例提供的装置的框图;
图6是本发明实施例提供的计算机设备的硬件结构示意图。
具体实施方式
下面通过具体的实施例进一步说明本发明,但是,应当理解为,这些实施例仅仅是用于更详细具体地说明之用,而不应理解为用于以任何形式限制本发明。
实施例一
结合图2,本实施例提供的基于C&C域名分析的僵尸网络检测方法,包括:
信息获取步骤S1,获取DNS日志记录;
域名分析步骤S2,根据预先构建的域名分析器,检测DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定步骤S3,根据C&C域名及C&C域名的所属类别,确定是否存在僵尸网络。
本发明实施例提供的基于C&C域名分析的僵尸网络检测方法,通过分析域名系统(Domain Name System,DNS)日志记录,提取攻击活动使用的C&C域名,进而分析寄生木马的类型,锁定C&C服务器已控制的僵尸主机。本实施例中,具体地,DNS日志记录的格式如表1所示。
表1 DNS日志记录
| 时间 | 设备IP地址 | 域名 | 回应IP地址 | TTL |
| 2017-12-12 08:12:15.386 | 192.168.2.14 | mbd.baidu.com | 14.251.177.166 | 55 |
| 2017-12-12 08:12:15.889 | 192.168.2.19 | news.ifeng.com | 125.90.47.177 | 55 |
| 2017-12-12 08:12:16.231 | 192.168.2.110 | www.78.cn | 183.6.224.102 | 55 |
| 2017-12-12 08:12:17.001 | 192.168.2.118 | www.ggspyfmreouxnhqi.com | Null | 0 |
| 2017-12-12 08:12:17.653 | 192.168.2.118 | www.wyuhdsdttczd.com | Null | 0 |
| 2017-12-12 08:12:17.967 | 192.168.2.118 | mail.pivzovznpssx.com | Null | 0 |
| 2017-12-12 08:12:18.862 | 192.168.2.118 | www.swtjyuhuefvl.com | Null | 0 |
| 2017-12-12 08:12:19.768 | 192.168.2.118 | www.zrkdvzjhse.com | Null | 0 |
| 2017-12-12 08:12:20.662 | 192.168.2.118 | www.wyuhdsdttczd.com | Null | 0 |
| 2017-12-12 08:12:21.524 | 192.168.2.19 | www.rauggyguyp.com | 208.100.26.251 | 235 |
| 2017-12-12 08:12:22.325 | 192.168.2.118 | www.furiararji.com | Null | 0 |
| 2017-12-12 08:12:23.219 | 192.168.2.118 | www.pibqzedhzwt.com | Null | 0 |
| 2017-12-12 08:12:24.165 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | Null | 0 |
| 2017-12-12 08:12:24.981 | 192.168.2.14 | tech.meituan.com | 103.37.152.63 | 41 |
| 2017-12-12 08:12:25.824 | 192.168.2.19 | www.iteblog.com | 123.206.77.132 | 53 |
| 2017-12-12 08:12:26.585 | 192.168.2.110 | guanjia.qq.com | 14.215.138.13 | 55 |
| 2017-12-12 08:12:27.186 | 192.168.2.118 | en.wikipedia.org | 198.35.26.96 | 51 |
| 2017-12-12 08:12:28.115 | 192.168.2.118 | www.johannesbader.ch | 162.254.250.112 | 44 |
| 2017-12-12 08:12:29.023 | 192.168.2.14 | us.norton.com | 23.193.116.250 | 53 |
| 2017-12-12 08:12:29.829 | 192.168.2.118 | www.swtjyuhuefvl.com | Null | 0 |
| 2017-12-12 08:12:30.691 | 192.168.2.110 | spark.apache.org | 195.154.151.36 | 50 |
| 2017-12-12 08:12:31.551 | 192.168.2.110 | www.cnblogs.com | 101.37.113.127 | 40 |
| 2017-12-12 08:12:32.384 | 192.168.2.14 | blog.csdn.net | 47.95.165.112 | 35 |
| 2017-12-12 08:12:33.168 | 192.168.2.19 | baike.baidu.com | 180.149.131.247 | 54 |
| 2017-12-12 08:12:34.069 | 192.168.2.118 | www.jsntwyjcv.com | Null | 0 |
| 2017-12-12 08:12:35.011 | 192.168.2.118 | app.tanwan.com | 113.96.154.108 | 55 |
| 2017-12-12 08:12:35.892 | 192.168.2.110 | www.icbc.com.cn | 14.119.125.23 | 55 |
| 2017-12-12 08:12:36.721 | 192.168.2.118 | www.miercn.com | 113.96.154.108 | 55 |
| 2017-12-12 08:12:37.259 | 192.168.2.14 | zs.91.com | 125.77.24.228 | 53 |
| 2017-12-12 08:12:38.172 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | Null | 0 |
且本实施例中,针对如表1所示的日志记录,进行域名分析,能够获得如表2所示的域名检测结果,且域名检测结果中,按照时间顺序将属于同一类别的C&C域名统计出。
表2 域名检测结果
| 时间 | 设备IP地址 | 域名 | 回应IP地址 | TTL | 类别 |
| 2017-12-12 08:12:17.001 | 192.168.2.118 | www.ggspyfmreouxnhqi.com | null | 0 | banjori |
| 2017-12-12 08:12:17.653 | 192.168.2.118 | www.wyuhdsdttczd.com | null | 0 | banjori |
| 2017-12-12 08:12:17.967 | 192.168.2.118 | mail.pivzovznpssx.com | null | 0 | banjori |
| 2017-12-12 08:12:18.862 | 192.168.2.118 | www.swtjyuhuefvl.com | null | 0 | banjori |
| 2017-12-12 08:12:19.768 | 192.168.2.118 | www.zrkdvzjhse.com | null | 0 | banjori |
| 2017-12-12 08:12:21.524 | 192.168.2.19 | www.rauggyguyp.com | 208.100.26.251 | 235 | banjori |
| 2017-12-12 08:12:20.662 | 192.168.2.118 | www.wyuhdsdttczd.com | null | 0 | banjori |
| 2017-12-12 08:12:22.325 | 192.168.2.118 | www.furiararji.com | null | 0 | banjori |
| 2017-12-12 08:12:23.219 | 192.168.2.118 | www.pibqzedhzwt.com | null | 0 | banjori |
| 2017-12-12 08:12:24.165 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | null | 0 | banjori |
| 2017-12-12 08:12:29.829 | 192.168.2.118 | www.swtjyuhuefvl.com | null | 0 | banjori |
| 2017-12-12 08:12:34.069 | 192.168.2.118 | www.jsntwyjcv.com | null | 0 | banjori |
| 2017-12-12 08:12:38.172 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | null | 0 | banjori |
此外,需要说明的是,本实施例中的域名分析器,能够对banjori等28种C&C域名进行识别。
优选地,如图3所示地,还包括:
数据统计步骤S4,统计每类C&C域名的发生频次;
趋势判断步骤S5,根据所有类别的C&C域名的发生频次,确定僵尸网络的活动趋势,以辅助及时制定有效的抑制措施。
且具体地,趋势判断步骤S5,包括:
将每类C&C域名的发生频次代入泊松分布概率函数,以获取对应所属类别的泊松参数;
将所有泊松参数确定为僵尸网络活动规律衡量指标;
根据僵尸网络活动规律衡量指标,确定僵尸网络的活动趋势。
本实施例中,出于经济成本,僵尸网络控制者不可能注册全部生成域名,仅事先注册若干生成域名。对于僵尸主机,为实现与C&C服务器建立连接,每个周期必生成同类的C&C域名尝试请求,直至获取C&C服务器的IP地址。于是,与正常主机相比,其行为模式有显著特征,主要表现为:
(1)僵尸主机请求大量新C&C域名,其中多数解析失败;
(2)当网络中存在多个寄生木马时,僵尸主机在域名请求行为呈现组行为特征,而且僵尸网络控制者拥有的服务器资源有限,其解析成功的C&C域名往往指向相同IP地址。
根据随机服务系统原理,C&C服务器域名发生频数满足泊松分布。由C&C域名检测模型判断从DNS日志提取的记录,统计同类C&C域名单位时间发生次数k,并代入泊松分布概率函数以估算某时段泊松参数λ,其中,泊松分布概率函数如下:
本实施例中,将泊松参数确定为僵尸网络活动规律衡量指标,且表3为分析所得的僵尸网络活动趋势。
表3 僵尸网络活动趋势
| 时段 | 平均频数 | 泊松参数 | 类别 |
| 01 | 45 | 45 | Banjori |
| 01 | 87 | 87 | Sisron |
| 01 | 0 | 0 | Qadars |
| 02 | 12 | 12 | Banjori |
| 02 | 0 | 0 | Sisron |
| 02 | 0 | 0 | Qadars |
| 03 | 53 | 53 | Banjori |
| 03 | 89 | 89 | Sisron |
| 03 | 36 | 36 | Qadars |
| …… | …… | …… | …… |
表3中,任意单位时间均可作为统计时段,平均频数为周期内当前时段捕获C&C域名个数。
此外,需要说明的是,根据DNS日志记录,确定呈规律性发生的C&C域名请求行为的僵尸主机(IP地址、MAC地址),至此根据发现僵尸主机的作用,容易分析该僵尸网络可能的攻击目标,可以及时制定针对性的抑制措施。
优选地,如图4所示地,域名分析器的训练过程,包括:
对合法网站公开的合法域名进行清洗以获取合法域名集;
采用公开的域名生成算法生成C&C域名集,并对C&C域名集中的每个域名进行分类标记;
统计分析合法域名集和C&C域名集中的每个域名的结构,构建各类域名的字符概率字典;
从合法域名集中随机抽取设定数量的合法域名,获取合法域名训练样本集;
从C&C域名集中随机抽取设定数量的C&C域名,获取C&C域名训练样本集,
根据合法域名训练样本集、C&C域名训练样本集和字符概率字典,对域名分析器进行训练。
本实施例中,对Alexa等网站公布的合法域名清洗获得1495163条作为合法域名,C&C域名均采用公开的DGA算法采样获得。需要说明的是,DGA为域名生成算法,攻击者可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。该算法常被运用于恶意软件以及远程控制软件上。本实施例中,域名特征如表4所示。
表4 域名特征说明
本实施例中,具体地,域名分析器为,基于累积BP算法的神经网络模型,且神经网络模型中设置有,综合考虑经验误差因子和网络复杂度因子的正则化项。此外,基于累积BP算法的神经网络模型的计算步骤,包括:计算误差目标函数;描述神经网络复杂度;通过交叉验证法估计模型参数;使用随机梯度下降调参逼近误差函数全局最小解。本实施例中,利用清洗获得的1495163条合法域名,建立n-gram(uni-gram、bi-gram、tri-gram)字符概率字典。此外,合法域名与各类C&C域名一样,随机抽取1000条作为训练样本集,采用累积BP算法,并在误差目标函数中加入描述神经网络复杂度的部分,通过交叉验证法估计模型参数,使用随机梯度下降调参逼近误差函数全局最小解。
需要说明的是,本实施例根据注册域名字符习惯提取特征,BP算法训练模型过程中加入正则化项,对经验误差与网络复杂度进行折中,能够有效控制过拟合。
进一步优选地,如图4所示地,域名分析步骤S2,包括:提取DNS日志记录中的域名;对域名进行特征提取;根据字符概率字典确定域名是否为C&C域名;对C&C域名进行域名特征量化,以获取C&C域名的分类号;根据分类号确定C&C域名的所属类别。
实施例二
结合图5,本发明实施例提供的基于C&C域名分析的僵尸网络检测装置,包括:
信息获取单元1,用于获取DNS日志记录;
域名分析单元2,用于根据预先构建的域名分析器,检测DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定单元3,用于根据C&C域名及C&C域名的所属类别,确定是否存在僵尸网络。
本发明实施例提供的基于C&C域名分析的僵尸网络检测方法,通过分析域名系统(Domain Name System,DNS)日志记录,提取攻击活动使用的C&C域名,进而分析寄生木马的类型,锁定C&C服务器已控制的僵尸主机。本实施例中,具体地,DNS日志记录的格式如表1所示。
表1 DNS日志记录
且本实施例中,针对如表1所示的日志记录,进行域名分析,能够获得如表2所示的域名检测结果,且域名检测结果中,按照时间顺序将属于同一类别的C&C域名统计出。
表2 域名检测结果
| 时间 | 设备IP地址 | 域名 | 回应IP地址 | TTL | 类别 |
| 2017-12-12 08:12:17.001 | 192.168.2.118 | www.ggspyfmreouxnhqi.com | null | 0 | banjori |
| 2017-12-12 08:12:17.653 | 192.168.2.118 | www.wyuhdsdttczd.com | null | 0 | banjori |
| 2017-12-12 08:12:17.967 | 192.168.2.118 | mail.pivzovznpssx.com | null | 0 | banjori |
| 2017-12-12 08:12:18.862 | 192.168.2.118 | www.swtjyuhuefvl.com | null | 0 | banjori |
| 2017-12-12 08:12:19.768 | 192.168.2.118 | www.zrkdvzjhse.com | null | 0 | banjori |
| 2017-12-12 08:12:21.524 | 192.168.2.19 | www.rauggyguyp.com | 208.100.26.251 | 235 | banjori |
| 2017-12-12 08:12:20.662 | 192.168.2.118 | www.wyuhdsdttczd.com | null | 0 | banjori |
| 2017-12-12 08:12:22.325 | 192.168.2.118 | www.furiararji.com | null | 0 | banjori |
| 2017-12-12 08:12:23.219 | 192.168.2.118 | www.pibqzedhzwt.com | null | 0 | banjori |
| 2017-12-12 08:12:24.165 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | null | 0 | banjori |
| 2017-12-12 08:12:29.829 | 192.168.2.118 | www.swtjyuhuefvl.com | null | 0 | banjori |
| 2017-12-12 08:12:34.069 | 192.168.2.118 | www.jsntwyjcv.com | null | 0 | banjori |
| 2017-12-12 08:12:38.172 | 192.168.2.118 | www.xjjcditjfkgkihfe.com | null | 0 | banjori |
此外,需要说明的是,本实施例中的域名分析器,能够对banjori等28种C&C域名进行识别。
优选地,如图3所示地,还包括:
数据统计单元4,用于统计每类C&C域名的发生频次;
趋势判断单元5,用于根据所有类别的C&C域名的发生频次,确定僵尸网络的活动趋势,以辅助及时制定有效的抑制措施。
且具体地,趋势判断单元5,具体用于:
将每类C&C域名的发生频次代入泊松分布概率函数,以获取对应所属类别的泊松参数;
将所有泊松参数确定为僵尸网络活动规律衡量指标;
根据僵尸网络活动规律衡量指标,确定僵尸网络的活动趋势。
本实施例中,出于经济成本,僵尸网络控制者不可能注册全部生成域名,仅事先注册若干生成域名。对于僵尸主机,为实现与C&C服务器建立连接,每个周期必生成同类的C&C域名尝试请求,直至获取C&C服务器的IP地址。于是,与正常主机相比,其行为模式有显著特征,主要表现为:
(1)僵尸主机请求大量新C&C域名,其中多数解析失败;
(2)当网络中存在多个寄生木马时,僵尸主机在域名请求行为呈现组行为特征,而且僵尸网络控制者拥有的服务器资源有限,其解析成功的C&C域名往往指向相同IP地址。
根据随机服务系统原理,C&C服务器域名发生频数满足泊松分布。由C&C域名检测模型判断从DNS日志提取的记录,统计同类C&C域名单位时间发生次数k,并代入泊松分布概率函数以估算某时段泊松参数λ,其中,泊松分布概率函数如下:
本实施例中,将泊松参数确定为僵尸网络活动规律衡量指标,且表3为分析所得的僵尸网络活动趋势。
表3 僵尸网络活动趋势
| 时段 | 平均频数 | 泊松参数 | 类别 |
| 01 | 45 | 45 | Banjori |
| 01 | 87 | 87 | Sisron |
| 01 | 0 | 0 | Qadars |
| 02 | 12 | 12 | Banjori |
| 02 | 0 | 0 | Sisron |
| 02 | 0 | 0 | Qadars |
| 03 | 53 | 53 | Banjori |
| 03 | 89 | 89 | Sisron |
| 03 | 36 | 36 | Qadars |
| …… | …… | …… | …… |
表3中,任意单位时间均可作为统计时段,平均频数为周期内当前时段捕获C&C域名个数。
此外,需要说明的是,根据DNS日志记录,确定呈规律性发生的C&C域名请求行为的僵尸主机(IP地址、MAC地址),至此根据发现僵尸主机的作用,容易分析该僵尸网络可能的攻击目标,可以及时制定针对性的抑制措施。
优选地,如图4所示地,域名分析器的训练过程,包括:
对合法网站公开的合法域名进行清洗以获取合法域名集;
采用公开的域名生成算法生成C&C域名集,并对C&C域名集中的每个域名进行分类标记;
统计分析合法域名集和C&C域名集中的每个域名的结构,构建各类域名的字符概率字典;
从合法域名集中随机抽取设定数量的合法域名,获取合法域名训练样本集;
从C&C域名集中随机抽取设定数量的C&C域名,获取C&C域名训练样本集,
根据合法域名训练样本集、C&C域名训练样本集和字符概率字典,对域名分析器进行训练。
本实施例中,对Alexa等网站公布的合法域名清洗获得1495163条作为合法域名,C&C域名均采用公开的DGA算法采样获得。需要说明的是,DGA为域名生成算法,攻击者可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。该算法常被运用于恶意软件以及远程控制软件上。本实施例中,域名特征如表4所示。
表4 域名特征说明
本实施例中,具体地,域名分析器为,基于累积BP算法的神经网络模型,且神经网络模型中设置有,综合考虑经验误差因子和网络复杂度因子的正则化项。此外,基于累积BP算法的神经网络模型的计算步骤,包括:计算误差目标函数;描述神经网络复杂度;通过交叉验证法估计模型参数;使用随机梯度下降调参逼近误差函数全局最小解。本实施例中,利用清洗获得的1495163条合法域名,建立n-gram(uni-gram、bi-gram、tri-gram)字符概率字典。此外,合法域名与各类C&C域名一样,随机抽取1000条作为训练样本集,采用累积BP算法,并在误差目标函数中加入描述神经网络复杂度的部分,通过交叉验证法估计模型参数,使用随机梯度下降调参逼近误差函数全局最小解。
需要说明的是,本实施例根据注册域的名字符习惯提取特征。在BP算法训练模型中加入正则化项,以对经验误差与网络复杂度进行折中考虑,能够有效控制过拟合。
进一步优选地,如图4所示地,域名分析单元2,具体用于:提取DNS日志记录中的域名;对域名进行特征提取;根据字符概率字典确定域名是否为C&C域名;对C&C域名进行域名特征量化,以获取C&C域名的分类号;根据分类号确定C&C域名的所属类别。
实施例三
结合图6描述的本发明实施例的基于C&C域名分析的僵尸网络检测方法可以由计算机设备来实现。图6示出了本发明实施例提供的计算机设备的硬件结构示意图。
实现基于C&C域名分析的僵尸网络检测方法的计算机设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在数据处理装置的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现上述实施例中的任意一种基于C&C域名分析的僵尸网络检测方法。
在一个示例中,计算机设备还可包括通信接口403和总线410。其中,如图4所示,处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
通信接口403,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线410包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
实施例四
另外,结合上述实施例中的基于C&C域名分析的僵尸网络检测方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于C&C域名分析的僵尸网络检测方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
尽管本发明已进行了一定程度的描述,明显地,在不脱离本发明的精神和范围的条件下,可进行各个条件的适当变化。可以理解,本发明不限于所述实施方案,而归于权利要求的范围,其包括所述每个因素的等同替换。
Claims (10)
1.一种基于C&C域名分析的僵尸网络检测方法,其特征在于,包括:
信息获取步骤,获取DNS日志记录;
域名分析步骤,根据预先构建的域名分析器,检测所述DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定步骤,根据所述C&C域名及所述C&C域名的所属类别,确定是否存在僵尸网络。
2.根据权利要求1所述的方法,其特征在于,还包括:
数据统计步骤,统计每类C&C域名的发生频次;
趋势判断步骤,根据所有类别的C&C域名的发生频次,确定所述僵尸网络的活动趋势,以辅助及时制定有效的抑制措施。
3.根据权利要求2所述的方法,其特征在于,所述趋势判断步骤,包括:
将每类C&C域名的发生频次代入泊松分布概率函数,以获取对应所属类别的泊松参数;
将所有所述泊松参数确定为僵尸网络活动规律衡量指标;
根据所述僵尸网络活动规律衡量指标,确定所述僵尸网络的活动趋势。
4.根据权利要求1所述的方法,其特征在于,所述域名分析器的训练过程,包括:
对合法网站公开的合法域名进行清洗以获取合法域名集;
采用公开的域名生成算法生成C&C域名集,并对所述C&C域名集中的每个域名进行分类标记;
统计分析所述合法域名集和所述C&C域名集中的每个域名的结构,构建各类域名的字符概率字典;
从所述合法域名集中随机抽取设定数量的合法域名,获取合法域名训练样本集;
从所述C&C域名集中随机抽取设定数量的C&C域名,获取C&C域名训练样本集;
根据所述合法域名训练样本集、所述C&C域名训练样本集和所述字符概率字典,对所述域名分析器进行训练。
5.根据权利要求1或4所述的方法,其特征在于,所述域名分析器为,基于累积BP算法的神经网络模型,且所述神经网络模型中设置有,综合考虑经验误差因子和网络复杂度因子的正则化项。
6.根据权利要求5所述的方法,其特征在于,所述基于累积BP算法的神经网络模型的计算步骤,包括:
计算误差目标函数;
描述神经网络复杂度;
通过交叉验证法估计模型参数;
使用随机梯度下降调参逼近误差函数全局最小解。
7.根据权利要求1所述的方法,其特征在于,所述域名分析步骤包括:
提取DNS日志记录中的域名;
对所述域名进行特征提取;
根据所述字符概率字典确定所述域名是否为C&C域名;
对所述C&C域名进行域名特征量化,以获取所述C&C域名的分类号;
根据所述分类号确定所述C&C域名的所属类别。
8.一种基于C&C域名分析的僵尸网络检测装置,其特征在于,包括:
信息获取单元,用于获取DNS日志记录;
域名分析单元,用于根据预先构建的域名分析器,检测所述DNS日志记录中的C&C域名,并判断每条C&C域名的所属类别;
僵尸网络确定单元,用于根据所述C&C域名及所述C&C域名的所属类别,确定是否存在僵尸网络。
9.一种计算机设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036078.7A CN108156174B (zh) | 2018-01-15 | 2018-01-15 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| PCT/CN2018/096107 WO2019136953A1 (zh) | 2018-01-15 | 2018-07-18 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| US16/958,747 US11374897B2 (en) | 2018-01-15 | 2018-07-18 | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036078.7A CN108156174B (zh) | 2018-01-15 | 2018-01-15 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108156174A true CN108156174A (zh) | 2018-06-12 |
| CN108156174B CN108156174B (zh) | 2020-03-27 |
Family
ID=62461365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810036078.7A Active CN108156174B (zh) | 2018-01-15 | 2018-01-15 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108156174B (zh) |
| WO (1) | WO2019136953A1 (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246083A (zh) * | 2018-08-09 | 2019-01-18 | 北京奇安信科技有限公司 | 一种dga域名的检测方法及装置 |
| CN109246074A (zh) * | 2018-07-23 | 2019-01-18 | 北京奇虎科技有限公司 | 识别可疑域名的方法、装置、服务器及可读存储介质 |
| CN109450845A (zh) * | 2018-09-18 | 2019-03-08 | 浙江大学 | 一种基于深度神经网络的算法生成恶意域名检测方法 |
| CN109617909A (zh) * | 2019-01-07 | 2019-04-12 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
| CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、系统和介质 |
| CN109977221A (zh) * | 2018-09-04 | 2019-07-05 | 中国平安人寿保险股份有限公司 | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
| WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN110149331A (zh) * | 2019-05-22 | 2019-08-20 | 中国科学院长春光学精密机械与物理研究所 | 一种P2P botnet检测方法、装置和介质 |
| CN110225030A (zh) * | 2019-06-10 | 2019-09-10 | 福州大学 | 基于rcnn-spp网络的恶意域名检测方法及系统 |
| CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
| CN111628970A (zh) * | 2020-04-24 | 2020-09-04 | 中国科学院计算技术研究所 | 一种dga型僵尸网络的检测方法、介质和电子设备 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112771523A (zh) * | 2018-08-14 | 2021-05-07 | 北京嘀嘀无限科技发展有限公司 | 用于检测生成域的系统和方法 |
| CN112839012A (zh) * | 2019-11-22 | 2021-05-25 | 中国移动通信有限公司研究院 | 僵尸程序域名识别方法、装置、设备及存储介质 |
| CN112949768A (zh) * | 2021-04-07 | 2021-06-11 | 苏州瑞立思科技有限公司 | 一种基于lstm的流量分类方法 |
| US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| CN115333850A (zh) * | 2022-08-26 | 2022-11-11 | 中国电信股份有限公司 | 域名检测方法、系统及相关设备 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11683337B2 (en) * | 2020-06-11 | 2023-06-20 | T-Mobile Usa, Inc. | Harvesting fully qualified domain names from malicious data packets |
| CN114257565B (zh) * | 2020-09-10 | 2023-09-05 | 中国移动通信集团广东有限公司 | 挖掘潜在威胁域名的方法、系统和服务器 |
| CN114615003A (zh) * | 2020-12-07 | 2022-06-10 | 中国移动通信有限公司研究院 | 命令和控制c&c域名的验证方法、装置及电子设备 |
| CN112966713B (zh) * | 2021-02-02 | 2024-03-19 | 杭州安恒信息技术股份有限公司 | 基于深度学习的dga域名检测方法、装置及计算机设备 |
| CN115134095A (zh) * | 2021-03-10 | 2022-09-30 | 中国电信股份有限公司 | 僵尸网络控制端检测方法及装置、存储介质、电子设备 |
| CN113158660B (zh) * | 2021-04-09 | 2023-03-21 | 深圳市联软科技股份有限公司 | 应用于渗透测试的子域名发现方法及系统 |
| CN113746952B (zh) * | 2021-09-14 | 2024-04-16 | 京东科技信息技术有限公司 | Dga域名检测方法、装置、电子设备及计算机存储介质 |
| CN114866246B (zh) * | 2022-04-12 | 2023-07-04 | 东莞职业技术学院 | 基于大数据的计算机网络安全入侵检测方法 |
| CN114826758B (zh) * | 2022-05-11 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种针对域名解析系统dns的安全分析方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080080518A1 (en) * | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
| CN103152442A (zh) * | 2013-01-31 | 2013-06-12 | 中国科学院计算机网络信息中心 | 一种僵尸网络域名的检测与处理方法及系统 |
| CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
| CN105072214A (zh) * | 2015-08-28 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 基于域名特征的c&c域名识别方法 |
| US20160156660A1 (en) * | 2005-10-27 | 2016-06-02 | Georgia Tech Research Corporation | Methods and systems for detecting compromised computers |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| CN106549980A (zh) * | 2016-12-30 | 2017-03-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意c&c服务器确定方法及装置 |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741862B (zh) * | 2010-01-22 | 2012-07-18 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| US10462159B2 (en) * | 2016-06-22 | 2019-10-29 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
| CN106453412A (zh) * | 2016-12-01 | 2017-02-22 | 绵阳灵先创科技有限公司 | 一种基于频次特征的恶意域名判定方法 |
| CN108156174B (zh) * | 2018-01-15 | 2020-03-27 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
-
2018
- 2018-01-15 CN CN201810036078.7A patent/CN108156174B/zh active Active
- 2018-07-18 WO PCT/CN2018/096107 patent/WO2019136953A1/zh active Application Filing
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160156660A1 (en) * | 2005-10-27 | 2016-06-02 | Georgia Tech Research Corporation | Methods and systems for detecting compromised computers |
| US20080080518A1 (en) * | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
| CN103152442A (zh) * | 2013-01-31 | 2013-06-12 | 中国科学院计算机网络信息中心 | 一种僵尸网络域名的检测与处理方法及系统 |
| CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
| CN105072214A (zh) * | 2015-08-28 | 2015-11-18 | 携程计算机技术(上海)有限公司 | 基于域名特征的c&c域名识别方法 |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| CN106657001A (zh) * | 2016-11-10 | 2017-05-10 | 广州赛讯信息技术有限公司 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
| CN106549980A (zh) * | 2016-12-30 | 2017-03-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意c&c服务器确定方法及装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN107404473A (zh) * | 2017-06-06 | 2017-11-28 | 西安电子科技大学 | 基于Mshield机器学习多模式Web应用防护方法 |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN109246074A (zh) * | 2018-07-23 | 2019-01-18 | 北京奇虎科技有限公司 | 识别可疑域名的方法、装置、服务器及可读存储介质 |
| CN109246083A (zh) * | 2018-08-09 | 2019-01-18 | 北京奇安信科技有限公司 | 一种dga域名的检测方法及装置 |
| CN109246083B (zh) * | 2018-08-09 | 2021-08-03 | 奇安信科技集团股份有限公司 | 一种dga域名的检测方法及装置 |
| CN112771523A (zh) * | 2018-08-14 | 2021-05-07 | 北京嘀嘀无限科技发展有限公司 | 用于检测生成域的系统和方法 |
| CN109977221B (zh) * | 2018-09-04 | 2023-09-19 | 中国平安人寿保险股份有限公司 | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
| CN109977221A (zh) * | 2018-09-04 | 2019-07-05 | 中国平安人寿保险股份有限公司 | 基于大数据的用户验证方法及装置、存储介质、电子设备 |
| CN110798439B (zh) * | 2018-09-04 | 2022-04-19 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
| CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
| CN109450845A (zh) * | 2018-09-18 | 2019-03-08 | 浙江大学 | 一种基于深度神经网络的算法生成恶意域名检测方法 |
| CN109784049B (zh) * | 2018-12-21 | 2021-04-09 | 奇安信科技集团股份有限公司 | 威胁数据处理的方法、设备、系统和介质 |
| CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、系统和介质 |
| CN109617909B (zh) * | 2019-01-07 | 2021-04-27 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
| CN109617909A (zh) * | 2019-01-07 | 2019-04-12 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
| CN110149331A (zh) * | 2019-05-22 | 2019-08-20 | 中国科学院长春光学精密机械与物理研究所 | 一种P2P botnet检测方法、装置和介质 |
| CN110225030B (zh) * | 2019-06-10 | 2021-09-28 | 福州大学 | 基于rcnn-spp网络的恶意域名检测方法及系统 |
| CN110225030A (zh) * | 2019-06-10 | 2019-09-10 | 福州大学 | 基于rcnn-spp网络的恶意域名检测方法及系统 |
| CN112839012A (zh) * | 2019-11-22 | 2021-05-25 | 中国移动通信有限公司研究院 | 僵尸程序域名识别方法、装置、设备及存储介质 |
| CN112839012B (zh) * | 2019-11-22 | 2023-05-09 | 中国移动通信有限公司研究院 | 僵尸程序域名识别方法、装置、设备及存储介质 |
| CN111628970A (zh) * | 2020-04-24 | 2020-09-04 | 中国科学院计算技术研究所 | 一种dga型僵尸网络的检测方法、介质和电子设备 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN111953673B (zh) * | 2020-08-10 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112949768A (zh) * | 2021-04-07 | 2021-06-11 | 苏州瑞立思科技有限公司 | 一种基于lstm的流量分类方法 |
| CN115333850A (zh) * | 2022-08-26 | 2022-11-11 | 中国电信股份有限公司 | 域名检测方法、系统及相关设备 |
| CN115333850B (zh) * | 2022-08-26 | 2024-04-23 | 中国电信股份有限公司 | 域名检测方法、系统及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108156174B (zh) | 2020-03-27 |
| WO2019136953A1 (zh) | 2019-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108156174A (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
| US11374897B2 (en) | CandC domain name analysis-based botnet detection method, device, apparatus and medium | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| US9210181B1 (en) | Detection of anomaly in network flow data | |
| CN107645503B (zh) | 一种基于规则的恶意域名所属dga家族的检测方法 | |
| Kuznetsov et al. | The statistical analysis of a network traffic for the intrusion detection and prevention systems | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| US9876814B2 (en) | Detecting domains generated by a domain generation algorithm | |
| CN106603555A (zh) | 一种防护撞库攻击的方法及装置 | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN109257393A (zh) | 基于机器学习的xss攻击防御方法及装置 | |
| US11349866B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN112910918A (zh) | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN114785567B (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| Kumar et al. | Light weighted CNN model to detect DDoS attack over distributed scenario | |
| Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection | |
| CN111885034B (zh) | 物联网攻击事件追踪方法、装置和计算机设备 | |
| JP2004312083A (ja) | 学習データ作成装置、侵入検知システムおよびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |