CN109698814B - 僵尸网络发现方法及僵尸网络发现装置 - Google Patents
僵尸网络发现方法及僵尸网络发现装置 Download PDFInfo
- Publication number
- CN109698814B CN109698814B CN201710991821.XA CN201710991821A CN109698814B CN 109698814 B CN109698814 B CN 109698814B CN 201710991821 A CN201710991821 A CN 201710991821A CN 109698814 B CN109698814 B CN 109698814B
- Authority
- CN
- China
- Prior art keywords
- addresses
- address
- cluster
- botnet
- domain names
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000013507 mapping Methods 0.000 claims abstract description 82
- 230000004044 response Effects 0.000 claims abstract description 37
- 238000010586 diagram Methods 0.000 claims description 74
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000012216 screening Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 description 7
- 238000005065 mining Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 235000017060 Arachis glabrata Nutrition 0.000 description 1
- 241001553178 Arachis glabrata Species 0.000 description 1
- 235000010777 Arachis hypogaea Nutrition 0.000 description 1
- 235000018262 Arachis monticola Nutrition 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 235000020232 peanut Nutrition 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种僵尸网络发现方法、僵尸网络发现装置及计算机可读存储介质,涉及信息安全技术领域。其中的僵尸网络发现方法包括:从域名系统DNS响应消息中提取域名名称和域名互联网协议IP地址;生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络。本发明能够简单高效的发现端到端型僵尸网络。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种僵尸网络发现方法、僵尸网络发现装置及计算机可读存储介质。
背景技术
传统的僵尸网络具有域名字符随机化、域名生存时间值较小的关键特征。因此,传统的僵尸网络方法通过寻找域名字符随机化、域名生存时间值较小的域名,来发现僵尸网络。
近年来,端到端型僵尸网络崭露头角,已呈现出绕过传统安全检测的快速发展能力。端到端型僵尸网络并不具有域名字符随机化、域名生存时间值较小的特征,因此传统的僵尸网络发现方法并不适用于发现端到端型僵尸网络。
发明内容
本发明解决的一个技术问题是,如何简单高效的发现端到端型僵尸网络。
根据本发明实施例的一个方面,提供了一种僵尸网络发现方法,包括:从域名系统DNS响应消息中提取域名名称和域名互联网协议IP地址;生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络。
在一些实施例中,在多叉树的基础上将相同的IP地址合并包括:利用各个IP地址的地址段,计算各个IP地址的映射值;在多个多叉树中寻找具有相同映射值的IP地址;将多个多叉树中具有相同映射值的IP地址进行合并。
在一些实施例中,利用各个IP地址的地址段,计算各个IP地址的映射值包括:对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。
在一些实施例中,僵尸网络发现方法还包括:利用树形图簇包含的域名名称个数以及IP地址个数,计算树形图簇的风险值,以评估僵尸网络的风险。
在一些实施例中,利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数。
在一些实施例中,从DNS响应消息中提取域名名称和IP地址包括:从DNS响应消息中提取域名名称、IP地址以及时间戳;生成各个DNS响应消息中,域名名称和IP地址之间的映射关系包括:生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系;在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树包括:在域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多个多叉树;在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇包括:在由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇;利用树形图簇包含的域名名称个数以及IP地址个数,计算树形图簇的风险值包括:利用树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算树形图簇的风险值。
在一些实施例中,利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数,Z表示树形图簇包含的时间戳个数。
根据本发明实施例的另一个方面,提供了一种僵尸网络发现装置,包括:信息提取模块,用于从DNS响应消息中提取域名名称和IP地址;映射关系生成模块,用于生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;域名名称合并模块,用于在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;IP地址合并模块,用于在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络。
在一些实施例中,IP地址合并模块用于:利用各个IP地址的地址段,计算各个IP地址的映射值;在多个多叉树中寻找具有相同映射值的IP地址;将多个多叉树中具有相同映射值的IP地址进行合并。
在一些实施例中,IP地址合并模块用于:对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。
在一些实施例中,僵尸网络发现装置还包括:风险值计算模块,用于利用树形图簇包含的域名名称个数以及IP地址个数,计算树形图簇的风险值,以评估僵尸网络的风险。
在一些实施例中,风险值计算模块用于:利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数。
在一些实施例中,信息提取模块用于:从DNS响应消息中提取域名名称、IP地址以及时间戳;映射关系生成模块用于:生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系;域名名称合并模块用于:在域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多个多叉树;IP地址合并模块用于:在由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇;风险值计算模块用于:利用树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算树形图簇的风险值。
在一些实施例中,风险值计算模块用于:利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数,Z表示树形图簇包含的时间戳个数。
根据本发明实施例的又一个方面,提供了一种僵尸网络发现装置,其中,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的僵尸网络发现方法。
根据本发明实施例的再一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求前述的僵尸网络发现方法。
本发明能够简单高效的发现端到端型僵尸网络。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一个实施例的僵尸网络发现方法的流程示意图。
图2A示出了各个DNS响应消息中,域名名称和IP地址之间的映射关系的示意图。
图2B示出了由域名名称和IP地址所形成的多个多叉树的示意图。
图2C示出了合并IP地址后网络结构的示意图
图2D示出了树形图簇的示意图。
图3示出了本发明在多个多叉树的基础上将相同的IP地址合并的一个实施例的流程示意图。
图4示出了本发明僵尸网络发现方法的另一个实施例的流程示意图。
图5示出了本发明僵尸网络发现方法的又一个实施例的流程示意图。
图6A示出了各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系的示意图。
图6B示出了由域名名称、IP地址以及时间戳所形成的多个多叉树的示意图。
图6C示出了合并IP地址后由域名名称、IP地址以及时间戳所形成的网络结构的示意图。
图6D示出了包含时间戳的树形图簇的示意图。
图7示出了本发明僵尸网络发现装置的一个实施例的结构示意图。
图8示出了本发明僵尸网络发现装置的另一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先结合图1介绍本发明一个实施例的僵尸网络发现方法。
图1示出了本发明一个实施例的僵尸网络发现方法的流程示意图。如图1所示,本实施例中的僵尸网络发现方法包括:
步骤S102,从DNS响应消息中提取域名名称和IP地址。
例如,可以对DNS流量内容进行还原。在公共DNS缓存服务器的网络链路靠近用户侧的前端,分光DNS的响应流量(即对DNS的相应流量进行镜像操作),以进行报文特征抽取与存储。对于每一条DNS流量记录,通过自定义报文特征提取,变成一个固定格式的待分析数据记录。
首先,对DNS响应流量定义报文特征,具体包括域名名称和IP地址。其中,可以只处理正常、非NXDOMAIN型的DNS响应报文,以减少错误的DNS相应流量造成的干扰。然后,进行已知域名白名单、黑名单过滤。例如,根据自定义的域名白名单、黑名单或正则表达式规则,如以.*oray.com过滤如花生壳等白名单动态域名服务商,对数据进行过滤。如果发现存在白名单的域名,则直接跳过不做存储;如果发现存在黑名单的域名,则直接产生告警不做存储;如果发现没有匹配白名单或黑名单,则继续进行数据存储及索引化处理。在对原始的DNS流量内容存储后,以域名名称、IP地址为关键字段建立索引,以支持后续快速查找、统计。
步骤S104,生成各个DNS响应消息中,域名名称和IP地址之间的映射关系。
图2A示出了各个DNS响应消息中,域名名称和IP地址之间的映射关系的示意图。
步骤S106,在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树。
例如,可以以域名名称为键,以IP地址为值,构建“域名名称-IP地址”的映射多叉树。图2B示出了由域名名称和IP地址所形成的多个多叉树的示意图。
步骤S108,在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络。
例如,可以从多个多叉树的首个IP地址节点开始寻找相同的IP地址,如果找到则合并表示该IP地址的节点。图2C示出了合并IP地址后网络结构的示意图。然后,从中筛选出树形图簇。图2D示出了树形图簇的示意图。每个树形图簇就是一个家族的端到端型僵尸网络。利用树形图簇,可以实现对端到端型僵尸网络中恶意域名及恶意IP地址的检测。
上述实施例中,利用端到端型僵尸网络中域名名称与IP地址的映射关系所具有的图簇模式特征,将端到端型僵尸网络的发现问题转换为图簇挖掘问题,采用特有的端到端型树形图簇挖掘方法,简单高效的发现端到端型僵尸网络,实现了对端到端型僵尸网络中恶意域名以及恶意IP地址的检测。
下面结合图3介绍本发明在多个多叉树的基础上将相同的IP地址合并的一个实施例。
图3示出了本发明在多个多叉树的基础上将相同的IP地址合并的一个实施例的流程示意图。如图3所示,本实施例中具体包括:
步骤S3062,利用各个IP地址的地址段,计算各个IP地址的映射值。
例如,对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。可以计算每个IP地址独有的映射值,并对多叉树的每个IP地址进行数值排序。
步骤S3064,在多个多叉树中寻找具有相同映射值的IP地址。
通过查找具有相同映射值的IP地址,可以大幅降低查找操作的时间复杂度。查找具有相同映射值的IP地址的时间复杂度为O[log(n)],而直接查找相同IP地址的时间复杂度为O(n)。
步骤S3066,将多个多叉树中具有相同映射值的IP地址进行合并。
上述实施例中,通过计算IP地址的映射值,并根据IP地址的映射值实现了IP地址的快速排序及查找,能够更加高效的生成树形图簇,从而更加简单高效的发现端到端型僵尸网络。
下面结合图4介绍本发明另一个实施例的僵尸网络发现方法。
图4示出了本发明僵尸网络发现方法的另一个实施例的流程示意图。如图4所示,在图1所示实施例的基础上,本实施例中的僵尸网络发现方法还包括:
步骤S410,利用树形图簇包含的域名名称个数以及IP地址个数,计算树形图簇的风险值,以评估僵尸网络的风险。
例如,可以利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,例如a可以取值0.5,b可以取值0.3;X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数。可选的,可以按照a>b的方式设置其中的常数,因为在评估僵尸网络的风险时,IP地址的变化成本比域名名称的变化成本要高。
上述实施例中,通过树形图簇包含的域名名称个数以及IP地址个数,能够计算树形图簇的风险值,从而评估端到端型僵尸网络的传播范围和端到端型僵尸网络的使用代价及风险。
下面结合图5介绍本发明又一个实施例的僵尸网络发现方法。
图5示出了本发明僵尸网络发现方法的又一个实施例的流程示意图。如图5所示,本实施例中的僵尸网络发现方法包括:
步骤S502,从DNS响应消息中提取域名名称、IP地址以及时间戳。
步骤S504,生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系。
例如,图6A示出了各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系的示意图。
步骤S506,在域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多个多叉树。
例如,图6B示出了由域名名称、IP地址以及时间戳所形成的多个多叉树的示意图。
步骤S508,在由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇。
例如,图6C示出了合并IP地址后由域名名称、IP地址以及时间戳所形成的网络结构的示意图。图6D示出了包含时间戳的树形图簇的示意图。
步骤S510,利用树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算树形图簇的风险值。
例如,利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,例如a可以取值0.5,b可以取值0.3,c可以取值0.2;X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数,Z表示树形图簇包含的时间戳个数。可选的,可以按照a>b>c的方式设置其中的常数,因为在评估僵尸网络的风险时,时间戳的个数表示在一定时间内匹配的次数,其重要性最高,且IP地址的变化成本比域名名称的变化成本要高。
步骤S512,按照风险值从低到高的顺序,对挖掘得到的树形图簇进行排序,输出僵尸网络发现结果。
上述实施例中,通过提取并处理时间戳,生成了包含时间戳的树形图簇,从而更加准确的计算树形图簇的风险值,更加准确的端到端型评估僵尸网络的传播范围和端到端型僵尸网络的使用代价及风险。
下面结合图7介绍本发明一个实施例的僵尸网络发现装置。
图7示出了本发明僵尸网络发现装置的一个实施例的结构示意图。如图7所示,本实施例中的僵尸网络发现装置70包括:
信息提取模块702,用于从DNS响应消息中提取域名名称和IP地址;
映射关系生成模块704,用于生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;
域名名称合并模块706,用于在映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;
IP地址合并模块708,用于在多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络。
上述实施例中,利用端到端型僵尸网络中域名名称与IP地址的映射关系所具有的图簇模式特征,将端到端型僵尸网络的发现问题转换为图簇挖掘问题,采用特有的端到端型树形图簇挖掘方法,简单高效的发现端到端型僵尸网络,实现了对端到端型僵尸网络中恶意域名以及恶意IP地址的检测。
在一些实施例中,IP地址合并模块708用于:
利用各个IP地址的地址段,计算各个IP地址的映射值;在多个多叉树中寻找具有相同映射值的IP地址;将多个多叉树中具有相同映射值的IP地址进行合并。
在一些实施例中,IP地址合并模块708用于:
对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。
上述实施例中,通过计算IP地址的映射值,并根据IP地址的映射值实现了IP地址的快速排序及查找,能够更加高效的生成树形图簇,从而更加简单高效的发现端到端型僵尸网络。
在一些实施例中,僵尸网络发现装置70还包括:
风险值计算模块710,用于利用树形图簇包含的域名名称个数以及IP地址个数,计算树形图簇的风险值,以评估僵尸网络的风险。
在一些实施例中,风险值计算模块710用于:
利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数。
上述实施例中,通过树形图簇包含的域名名称个数以及IP地址个数,能够计算树形图簇的风险值,从而评估端到端型僵尸网络的传播范围和端到端型僵尸网络的使用代价及风险。
在一些实施例中,信息提取模块702用于:从DNS响应消息中提取域名名称、IP地址以及时间戳;映射关系生成模块704用于:生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系;域名名称合并模块706用于:在域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多叉树;IP地址合并模块708用于:在由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇;风险值计算模块710用于:利用树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算树形图簇的风险值。
在一些实施例中,风险值计算模块710用于:
利用如下公式计算树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,X表示树形图簇包含的域名名称个数,Y表示树形图簇包含的IP地址个数,Z表示树形图簇包含的时间戳个数。
上述实施例中,通过提取并处理时间戳,生成了包含时间戳的树形图簇,从而更加准确的计算树形图簇的风险值,更加准确的评估端到端型僵尸网络的传播范围和端到端型僵尸网络的使用代价及风险。
图8示出了本发明僵尸网络发现装置的另一个实施例的结构示意图。如图8所示,该实施例的僵尸网络发现装80包括:存储器810以及耦接至该存储器810的处理器820,处理器820被配置为基于存储在存储器810中的指令,执行前述任意一个实施例中的僵尸网络发现方法。
其中,存储器810例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
僵尸网络发现装80还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830,840,850以及存储器810和处理器820之间例如可以通过总线850连接。其中,输入输出接口830为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为SD卡、U盘等外置存储设备提供连接接口。
本发明还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一个实施例中的僵尸网络发现方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种僵尸网络发现方法,包括:
从域名系统DNS响应消息中提取域名名称和域名互联网协议IP地址;
生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;
在所述映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;
在所述多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络;以及
利用所述树形图簇包含的域名名称个数以及IP地址个数,计算所述树形图簇的风险值,以评估所述僵尸网络的风险。
2.如权利要求1所述的僵尸网络发现方法,其中,所述在所述多叉树的基础上将相同的IP地址合并包括:
利用各个IP地址的地址段,计算各个IP地址的映射值;
在所述多个多叉树中寻找具有相同映射值的IP地址;
将所述多个多叉树中具有相同映射值的IP地址进行合并。
3.如权利要求2所述的僵尸网络发现方法,其中,所述利用各个IP地址的地址段,计算各个IP地址的映射值包括:
对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。
4.如权利要求1所述的僵尸网络发现方法,其中,利用如下公式计算所述树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,X表示所述树形图簇包含的域名名称个数,Y表示所述树形图簇包含的IP地址个数。
5.如权利要求1所述的僵尸网络发现方法,其中,
所述从DNS响应消息中提取域名名称和IP地址包括:从DNS响应消息中提取域名名称、IP地址以及时间戳;
所述生成各个DNS响应消息中,域名名称和IP地址之间的映射关系包括:生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系;
所述在所述映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树包括:在所述域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多个多叉树;
所述在所述多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇包括:在所述由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇;
所述利用所述树形图簇包含的域名名称个数以及IP地址个数,计算所述树形图簇的风险值包括:利用所述树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算所述树形图簇的风险值。
6.如权利要求5所述的僵尸网络发现方法,其中,利用如下公式计算所述树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,X表示所述树形图簇包含的域名名称个数,Y表示所述树形图簇包含的IP地址个数,Z表示所述树形图簇包含的时间戳个数。
7.一种僵尸网络发现装置,包括:
信息提取模块,用于从DNS响应消息中提取域名名称和IP地址;
映射关系生成模块,用于生成各个DNS响应消息中,域名名称和IP地址之间的映射关系;
域名名称合并模块,用于在所述映射关系的基础上将相同的域名名称合并,生成由域名名称和IP地址所形成的多个多叉树;
IP地址合并模块,用于在所述多个多叉树的基础上将相同的IP地址合并,并从中筛选出树形图簇,以得到由多个域名名称和多个IP地址所表示的僵尸网络;以及
风险值计算模块,用于利用所述树形图簇包含的域名名称个数以及IP地址个数,计算所述树形图簇的风险值,以评估所述僵尸网络的风险。
8.如权利要求7所述的僵尸网络发现装置,其中,所述IP地址合并模块用于:
利用各个IP地址的地址段,计算各个IP地址的映射值;
在所述多个多叉树中寻找具有相同映射值的IP地址;
将所述多个多叉树中具有相同映射值的IP地址进行合并。
9.如权利要求8所述的僵尸网络发现装置,其中,所述IP地址合并模块用于:
对于IP地址A.B.C.D,利用如下公式计算IP地址的映射值:
F(A.B.C.D)=log10(A*109+B*106+C*103+D)
其中,F表示IP地址的映射值,A、B、C、D分别表示IP地址的地址段。
10.如权利要求7所述的僵尸网络发现装置,其中,所述风险值计算模块用于:
利用如下公式计算所述树形图簇的风险值:
K=a*log10X+b*log10Y
其中,a、b分别表示可预设的常数,X表示所述树形图簇包含的域名名称个数,Y表示所述树形图簇包含的IP地址个数。
11.如权利要求7所述的僵尸网络发现装置,其中,
所述信息提取模块用于:从DNS响应消息中提取域名名称、IP地址以及时间戳;
所述映射关系生成模块用于:生成各个DNS响应消息中,域名名称、IP地址以及时间戳之间的映射关系;
所述域名名称合并模块用于:在所述域名名称、IP地址以及时间戳之间的映射关系的基础上,将相同的域名名称合并,生成由域名名称、IP地址以及时间戳所形成的多个多叉树;
所述IP地址合并模块用于:在所述由域名名称、IP地址以及时间戳所形成的多个多叉树的基础上,将相同的IP地址合并,并从中筛选出树形图簇;
所述风险值计算模块用于:利用所述树形图簇包含的域名名称个数、IP地址个数以及时间戳个数,计算所述树形图簇的风险值。
12.如权利要求11所述的僵尸网络发现装置,其中,所述风险值计算模块用于:
利用如下公式计算所述树形图簇的风险值:
K=a*log10X+b*log10Y+c*log10Z
其中,a、b、c分别表示可预设的常数,X表示所述树形图簇包含的域名名称个数,Y表示所述树形图簇包含的IP地址个数,Z表示所述树形图簇包含的时间戳个数。
13.一种僵尸网络发现装置,其中,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至6中任一项所述的僵尸网络发现方法。
14.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至6中任一项所述的僵尸网络发现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710991821.XA CN109698814B (zh) | 2017-10-23 | 2017-10-23 | 僵尸网络发现方法及僵尸网络发现装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710991821.XA CN109698814B (zh) | 2017-10-23 | 2017-10-23 | 僵尸网络发现方法及僵尸网络发现装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109698814A CN109698814A (zh) | 2019-04-30 |
| CN109698814B true CN109698814B (zh) | 2021-06-15 |
Family
ID=66226768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710991821.XA Active CN109698814B (zh) | 2017-10-23 | 2017-10-23 | 僵尸网络发现方法及僵尸网络发现装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109698814B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113497791B (zh) * | 2020-04-01 | 2023-11-07 | 中移动信息技术有限公司 | 一种僵尸网络识别的方法、装置、设备及存储介质 |
| CN113179260B (zh) * | 2021-04-21 | 2022-09-23 | 国家计算机网络与信息安全管理中心河北分中心 | 僵尸网络的检测方法、装置、设备及介质 |
| CN113839833B (zh) * | 2021-09-24 | 2023-12-05 | 北京天融信网络安全技术有限公司 | 静默设备的识别方法、装置及计算机设备、存储介质 |
| CN114244580A (zh) * | 2021-11-29 | 2022-03-25 | 北京华清信安科技有限公司 | 用于互联网僵尸网络的图形分析识别方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| CN102130920A (zh) * | 2011-04-19 | 2011-07-20 | 成都梯度科技有限公司 | 一种僵尸网络的发现方法及其系统 |
| KR101156008B1 (ko) * | 2010-12-24 | 2012-06-18 | 한국인터넷진흥원 | 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104683346A (zh) * | 2015-03-06 | 2015-06-03 | 西安电子科技大学 | 基于流量分析的p2p僵尸网络检测装置及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10027688B2 (en) * | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
-
2017
- 2017-10-23 CN CN201710991821.XA patent/CN109698814B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045214A (zh) * | 2009-10-20 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
| KR101156008B1 (ko) * | 2010-12-24 | 2012-06-18 | 한국인터넷진흥원 | 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법 |
| CN102130920A (zh) * | 2011-04-19 | 2011-07-20 | 成都梯度科技有限公司 | 一种僵尸网络的发现方法及其系统 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104683346A (zh) * | 2015-03-06 | 2015-06-03 | 西安电子科技大学 | 基于流量分析的p2p僵尸网络检测装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109698814A (zh) | 2019-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109698814B (zh) | 僵尸网络发现方法及僵尸网络发现装置 | |
| CN109726202B (zh) | 一种区块链数据存储方法及计算机存储介质 | |
| CN109951435B (zh) | 一种设备标识提供方法及装置和风险控制方法及装置 | |
| US10944639B2 (en) | Internet address structure analysis, and applications thereof | |
| CN109618176B (zh) | 一种直播业务的处理方法、设备和存储介质 | |
| US10241847B2 (en) | Anomaly detection using sequences of system calls | |
| US20140012847A1 (en) | Statistical inspection systems and methods for components and component relationships | |
| CN108234233B (zh) | 日志处理方法及装置 | |
| CN113507461A (zh) | 基于大数据的网络监控系统及网络监控方法 | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| CN112115313A (zh) | 正则表达式的生成、数据提取方法、装置、设备及介质 | |
| CN112084500A (zh) | 病毒样本的聚类方法、装置、电子设备和存储介质 | |
| JP2014010772A (ja) | システム管理装置、システムの管理方法、及びシステムの管理プログラム | |
| CN109120579B (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 | |
| CN111224981B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN110442439B (zh) | 任务进程处理方法、装置和计算机设备 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN114039801B (zh) | 一种短链接生成方法、解析方法和系统、设备、存储介质 | |
| CA2702351A1 (en) | Identifying universal resource locator rewriting rules | |
| CN113364780B (zh) | 网络攻击受害者确定方法、设备、存储介质及装置 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN106156169B (zh) | 离散数据的处理方法和装置 | |
| CN114978964A (zh) | 基于网络自检的通信公告配置方法、装置、设备及介质 | |
| EP3385872A1 (en) | Anti-counterfeiting method, device, storage medium and apparatus based on invalid map data | |
| CN106993036B (zh) | 运行环境信息处理方法及交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20190430 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Botnet Discovery Methods and Botnet Discovery Devices Granted publication date: 20210615 License type: Common License Record date: 20240315 |