CN109873788A - 僵尸网络检测的方法及装置 - Google Patents

僵尸网络检测的方法及装置 Download PDF

Info

Publication number
CN109873788A
CN109873788A CN201711252319.3A CN201711252319A CN109873788A CN 109873788 A CN109873788 A CN 109873788A CN 201711252319 A CN201711252319 A CN 201711252319A CN 109873788 A CN109873788 A CN 109873788A
Authority
CN
China
Prior art keywords
domain name
domains
dns log
domain
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711252319.3A
Other languages
English (en)
Other versions
CN109873788B (zh
Inventor
姜楠
朱安南
马铮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN201711252319.3A priority Critical patent/CN109873788B/zh
Publication of CN109873788A publication Critical patent/CN109873788A/zh
Application granted granted Critical
Publication of CN109873788B publication Critical patent/CN109873788B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供僵尸网络检测的方法及装置,应用于通信技术领域,解决了现有技术中在进行僵尸网络检测时侵犯用户隐私的问题。该方法包括:确定第一域名集合,其中,该第一域名集合中的域名为DNS日志中的域名;根据该第一域名集合、域名的支持度、域名的置信度以及域名的提升度确定第一目标域名集合,其中,该第一目标域名集合包括该第一域名集合中满足以下的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;确定访问了该第一目标域名集合中的主机为第一批受控主机;确定域名为该第一目标域名集合中的主机为第一批控制主机。

Description

僵尸网络检测的方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及僵尸网络检测的方法及装置。
背景技术
僵尸网络指采用一种或多种传播手段,将大量主机感染僵尸程序(bot程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。通过控制被感染主机实现分布式拒绝服务攻击等形式的攻击行为。
目前,僵尸网络在互联网环境中仍是一种能够产生严重后果的网络攻击手段。传统的僵尸网络检测方法中,一类方法主要通过在会话层监控用户行为;另一类方法主要是通过深度包检测等技术,检测用户在互联网通信的数据包中是否包含不正常的网络通信信息。
然而,根据上述两类方法进行僵尸网络检测往往会侵犯用户的隐私,如何在僵尸网络检测时避免侵犯用户的隐私是目前亟待解决的问题。
发明内容
本申请的实施例提供的一种僵尸网络检测的方法及装置,使得在进行僵尸网络检测时避免侵犯用户的隐私。
为达到上述目的,本申请的实施例采用如下技术方案:
一方面,本申请实施例提供了一种僵尸网络检测的方法,该方法包括:获取第一域名集合,其中,该第一域名集合中的域名为域名系统DNS日志中的域名;根据该第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,该第一目标域名集合包括该第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;确定访问了该第一目标域名集合中的主机为第一批受控主机;确定域名为该第一目标域名集合中的主机为第一批控制主机。本申请实施例提供的僵尸网络检测的方法,僵尸网络检测装置通过获取的第一域名集合以及域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,可以确定第一批受控主机和第一批控制主机,不涉及监控用户的行为和用户的数据包,避免了在僵尸网络检测时侵犯用户的隐私的问题。
一种可能的实现方式中,在确定访问了该第一目标域名集合中的主机为第一批受控主机之后,该方法还包括:根据该第一批受控主机获取第二域名集合,其中,该第二域名集合中的域名为该DNS日志中该第一批受控主机访问的域名;根据该第二域名集合、域名的支持度、域名的置信度以及域名的提升度获取第二目标域名集合,其中,该第二目标域名集合包括该第二域名集合中满足该至少一个条件的域名;确定访问了第二目标域名集合中的主机为第二批受控主机;确定域名为该第二目标域名集合中的主机为第二批控制主机。基于该方案,僵尸网络检测装置可通过已检测到的受控主机访问的域名确定满足条件的域名为下一批僵尸网络控制的域名,进而可以确定访问该域名集合中的域名的用户主机为受控主机,主机的域名为该域名集合中的域名的主机为下一批僵尸网络的控制主机。
一种可能的实现方式中,若确定的该第二批受控主机中所有受控主机访问的第三目标域名集合中的域名全部为目标域名集合中的域名,则确定已找出该DNS日志中的所有的控制主机控制的域名,其中,该第三目标域名集合包括第三域名集合中满足该至少一个条件的域名,该第三域名集合为该第二批受控主机访问的域名,该目标域名集合包括该第一目标域名集合和该第二目标域名集合。基于该方案,当僵尸网络检测装置确定的第二批的受控主机中所有的受控主机访问的第三目标域名集合中的域名均是之前确定的所有僵尸网络控制的域名,则表明僵尸网络检测装置已经检测完该DNS日志中所有的僵尸网络控制的域名。
一种可能的实现方式中,该获取第一域名集合,包括:获取该DNS日志;根据该DNS日志确定该DNS日志中的域名;根据该DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合,该存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名;计算该DNS日志中每个域名的支持度、该DNS日志中每个域名的置信度以及该DNS日志中每个域名的提升度;根据该存在跳变点的域名的集合、该DNS日志中每个域名的支持度、该DNS日志中每个域名的置信度以及该DNS日志中每个域名的提升度获取目标域名第一集合,其中,该目标域名第一集合中的域名为满足该至少一个条件的域名;确定访问第一域名的主机访问的域名的集合为该第一域名集合,该第一域名为该目标域名第一集合中的任意一个域名。基于该方案,僵尸网络检测装置可以通过DNS日志中的域名信息确定第一域名集合,从而使得僵尸网络根据第一域名集合中的域名确定第一批僵尸网络受控主机和控制主机,进而为清楚僵尸网络提供依据。
一种可能的实现方式中,该计算该每个域名的支持度包括:基于第一预设公式计算该DNS日志中每个域名的支持度;该第一预设公式为:其中,Ni表示该DNS日志信息中访问域名i的用户数,NA表示该DNS日志信息中用户的总数;该计算该每个域名的置信度包括:基于第二预设公式计算该DNS日志中每个域名的置信度;该第二预设公式为:其中,pij表示该DNS日志信息既访问了域名i又访问了域名j的用户数占该DNS日志信息中用户的总数的比例;pi表示该DNS日志信息既访问了域名i的用户总数占该DNS日志信息中用户的总数的比例;该计算该每个域名的支持度包括:基于第三预设公式计算该DNS日志中每个域名的提升度;该第三预设公式为:其中,pj表示该DNS日志信息既访问了域名j的用户总数占该DNS日志信息中用户的总数的比例。基于该方案,僵尸网络检测装置可以实现计算域名的支持度、置信度和提升度,从而使得僵尸网络的检测更加准确。
一种可能的实现方式中,在根据DNS日志信息确定该DNS日志中的域名之后,该方法还包括:合并该DNS日志中的多级域名为一级域名;该根据该DNS日志中的域名的分时访问数量获取存在跳变点的域名的集合,包括:根据该DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合;该根据该存在跳变点的域名的集合、该DNS日志中每个域名的支持度、该DNS日志中每个域名的置信度以及该DNS日志中每个域名的提升度获取目标域名第一集合,包括:根据该存在跳变点的一级域名的集合、该DNS日志中合并后的每个一级域名的支持度、该DNS日志中合并后的每个一级域名的置信度以及该DNS日志中合并后的每个一级域名的提升度获取目标域名第一集合。基于该方案,僵尸网络检测装置在获取了DNS日志中的域名之后,将多级域名合并为一级域名,可以使得僵尸网络检测装置更加快速的筛选出存在跳变点的域名,提高了检测的速度。
又一方面,本申请实施例提供了一种僵尸网络检测装置,该装置包括获取模块和确定模块;该获取模块,用于:获取第一域名集合,其中,该第一域名集合中的域名为域名系统DNS日志中的域名;根据该第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,该第一目标域名集合包括该第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;该确定模块,用于:确定访问了该第一目标域名集合中的主机为第一批受控主机,确定域名为该第一目标域名集合中的主机为第一批控制主机。
一种可能的实现方式中,该获取模块,还用于:在确定模块确定访问了该第一目标域名集合中的主机为第一批受控主机之后,根据该第一批受控主机获取第二域名集合,其中,该第二域名集合中的域名为该DNS日志中该第一批受控主机访问的域名;根据该第二域名集合、域名的支持度、域名的置信度以及域名的提升度获取第二目标域名集合,其中,该第二目标域名集合包括该第二域名集合中满足该至少一个条件的域名;该确定模块,还用于:确定访问了第二目标域名集合中的主机为第二批受控主机;确定域名为该第二目标域名集合中的主机为第二批控制主机。
一种可能的实现方式中,该确定模块,还用于:若确定的该第二批受控主机中所有受控主机访问的第三目标域名集合中的域名全部为目标域名集合中的域名,则确定已找出该DNS日志中的所有的控制主机控制的域名,其中,该第三目标域名集合包括第三域名集合中满足该至少一个条件的域名,该第三域名集合为该第二批受控主机访问的域名,该目标域名集合包括该第一目标域名集合和该第二目标域名集合。
一种可能的实现方式中,该获取模块,具体用于:获取该DNS日志;根据该DNS日志确定该DNS日志中的域名;根据该DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合,该存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名;计算该DNS日志中每个域名的支持度、该DNS日志中每个域名的置信度、该DNS日志中每个域名的提升度;根据该存在跳变点的域名的集合、该DNS日志中每个域名的支持度、该DNS日志中每个域名的置信度以及该DNS日志中每个域名的提升度获取目标域名第一集合,其中,该目标域名第一集合中的域名为满足该至少一个条件的域名;确定访问第一域名的主机访问的域名的集合为该第一域名集合,该第一域名为该目标域名第一集合中的任意一个域名。
一种可能的实现方式中,该确定模块,具体用于:基于第一预设公式计算该DNS日志中每个域名的支持度;该第一预设公式为:其中,Ni表示该DNS日志信息中访问域名i的用户数,NA表示该DNS日志信息中用户的总数;基于第二预设公式计算该DNS日志中每个域名的置信度;该第二预设公式为:其中,pij表示该DNS日志信息既访问了域名i又访问了域名j的用户数占该DNS日志信息中用户的总数的比例;pi表示该DNS日志信息既访问了域名i的用户总数占该DNS日志信息中用户的总数的比例;基于第三预设公式计算该DNS日志中每个域名的提升度;该第三预设公式为:其中,pj表示该DNS日志信息既访问了域名j的用户总数占该DNS日志信息中用户的总数的比例。
一种可能的实现方式中,该确定模块,还用于:在根据DNS日志信息确定该DNS日志中的域名之后,合并该DNS日志中的多级域名为一级域名;该获取模块,具体用于:根据该DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合;根据该存在跳变点的一级域名的集合、该DNS日志中合并后的每个一级域名的支持度、该DNS日志中合并后的每个一级域名的置信度以及该DNS日志中合并后的每个一级域名的提升度获取目标域名第一集合。
又一方面,提供一种僵尸网络检测装置,包括:处理器、存储器和通信接口;该存储器用于存储计算机执行指令,当该僵尸网络检测装置运行时,该处理器执行该存储器存储的该计算机执行指令,以使得僵尸网络检测装置执行上述各方面的僵尸网络检测的方法。
又一方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的僵尸网络检测的方法。
又一方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上执行时,使得计算机执行上述各方面的僵尸网络检测的方法。
另外,上述设备实施例中任一种设计方式所带来的技术效果可参见上述僵尸网络检测的方法实施例中不同设计方式所带来的技术效果,此处不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的一种计算机设备示意图;
图2为本申请实施例提供的一种僵尸网络检测的方法流程示意图;
图3为本申请实施例提供的又一种僵尸网络检测的方法流程示意图;
图4为本申请实施例提供的一种僵尸网络检测装置可能的结构示意图;
图5为本申请实施例提供的又一种僵尸网络检测装置可能的结构示意图。
具体实施方式
1、域名(Domain Name)
域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置,地理上的域名,指代有行政自主权的一个地方区域)。一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号“.”来分隔,最后一个“.”的右边部分称为顶级域名(top level domain name,TLD),顶级域名“.”的左边部分称为一级域名,一级域名“.”的左边部分称为二级域名(Second level domain name,SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。三级域名是形如“a.youa.baidu.com”的域名,可以认为是二级域名的子域名,特征为域名包含三个“.”,一般来说,三级域名都是免费的。
顶级域名包括国际顶级域名和国内顶级域名。国际域名(international top-level domain-names,iTDs),也叫国际顶级域名。这也是使用最早也最广泛的域名。例如表示工商企业的“.com”,表示网络提供商的“.net”,表示非盈利组织的“.org”等。国内域名,又称为国内顶级域名(national top-level domain-names,nTLDs),即按照国家的不同分配不同后缀,这些域名即为该国的国内顶级域名。200多个国家和地区都按照ISO3166国家代码分配了顶级域名,例如中国是“cn”,美国是“us”,日本是“jp”等。
2、网际协议地址(Internet Protocol Address,IP)地址
IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
3、域名系统(Domain Name System,DNS)
DNS是Internet的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。其中,通过主机名最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
需要说明的是,本文中的“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。“多个”是指两个或多于两个。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
需要说明的是,本申请实施例中,“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
图1所示为本申请实施例提供的计算机设备示意图。计算机设备100包括至少一个处理器101,通信总线102,存储器103以及至少一个通信接口104。
处理器101可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信总线102可包括一通路,在上述组件之间传送信息。
通信接口104,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器103可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器103用于存储执行本申请方案的应用程序代码,并由处理器101来控制执行。处理器101用于执行存储器103中存储的应用程序代码,从而实现本申请实施例中的僵尸网络检测的方法。
在具体实现中,作为一种实施例,处理器101可以包括一个或多个CPU,例如图1中的CPU1和CPU2。
在具体实现中,作为一种实施例,计算机设备100可以包括多个处理器,例如图1中的处理器101和处理器108。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备100还可以包括输出设备105和输入设备106。输出设备105和处理器101通信,可以以多种方式来显示信息。例如,输出设备105可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备106和处理器101通信,可以以多种方式接受用户的输入。例如,输入设备106可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备100可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机设备100可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图1中类似结构的设备。本申请实施例不限定计算机设备100的类型。
下面结合图1对本申请实施例提供的僵尸网络检测的方法进行介绍,如图2所示,为本申请实施例提供的一种僵尸网络检测的方法流程示意图,包括S101-S103:
S101、僵尸网络检测装置获取第一域名集合。
其中,第一域名集合中的域名为DNS日志中的域名。
需要说明的是,第一域名集合中的域名为僵尸网络中控制主机控制的域名,可以为根据本申请的方法确定的域名,也可以为根据现有的确定方法确定的域名,也可以为已经公布的僵尸网络控制主机控制的域名,本申请实施例对此不作具体限定。
S102、僵尸网络检测装置根据第一域名集合、域名的支持度(support)、域名的置信度(confidence)以及域名的提升度(lift)获取第一目标域名集合。
其中,第一目标域名集合包括第一域名集合中满足下述的至少一个条件的域名:
条件1、域名的支持度在第一预设阈值范围。
需要说明的是,本申请实施例中的域名的支持度指的是在DNS日志中访问域名A的用户个数DNS日志中出现的用户的总数,其中,域名A为DNS日志中的任意一个域名。
需要说明的是,本申请实施例中的用户为根据IP地址进行划分,也就是说一个IP地址为一个用户,以下不再赘述。
通过确定域名的支持度是否在第一预设阈值范围,僵尸网络检测装置可以将第一域名集合中的日常访问量非常多的域名和访问量非常少的域名剔除,例如大型网站百度、搜狐、淘宝等网站的日常访问量就非常大,可以避免将这类网站的域名误判为僵尸网络控制主机控制的域名。
条件2、域名的置信度在第二预设阈值范围。
需要说明的是,本申请实施例中的域名A的置信度,表示DNS日志中访问了域名A和域名B的用户数量占访问了域名A的用户数量的比例,其中,域名B指的是DNS日志中非域名A的任意一个域名。
需要说明的是,本申请实施例中的“访问了域名A和域名B”指的是在DNS日志中,包括同一时间段用户先访问了域名A紧接着访问了域名B,也可以包括在第一时刻访问了域名A,在第一时长之后的第二时刻访问了域名B,本申请实施例对此不作具体限定。
通过确定域名的置信度僵尸网络检测装置可以筛选出僵尸网络控制的主机中使用同一随机域名生成算法的域名。其中,若僵尸网络检测装置确定域名A为僵尸网络控制主机控制的域名,且域名A与域名B的置信度在第二预设阈值范围内,则确定域名B也为僵尸网络的控制主机控制的域名。
条件3、域名的提升度在第三预设阈值范围。
需要说明的是,域名A的提升度指的是访问域名A的且访问域名B的概率,其中,域名B为DNS日志中非域名A的任意一个域名。
通过确定域名的提升度是否在第三预设阈值范围,僵尸网络检测装置可以将通过置信度确定的域名集合中本身就有大量用户访问的域名。通过确定域名A与域名B的提升度是否在第三预设阈值范围内可以将受控主机日常也会访问的域名剔除,例如,用户访问了域名A也访问了域名B,但是域名B为用户经常访问的域名,比如百度搜索,即便是没有控制端控制用户访问域名A,用户自己也会访问域名B,因此僵尸网络检测装置可以通过每个域名与其他域名的提升度将原本就有大量用户访问的域名剔除。
需要说明的是,本申请实施例中的第一预设阈值范围、第二预设阈值范围以及第三预设阈值范围为预先设置的,具体值可参考经验值设置,本申请实施例对此不作具体限定。
S103、僵尸网络检测装置确定访问了第一目标域名集合中的主机为第一批受控主机;确定域名为第一目标域名集合中的主机为第一批控制主机。
通常,一个僵尸网络控制端可以控制至少一个域名。
需要说明的是,第一目标域名集合中的域名可能为同一个僵尸网络控制端的域名,也可以为不同的僵尸网络控制端的域名,本发明实施例对此不作具体限定。
需要说明的是,可以通过域名查找DNS日志确定主机名进而确定相应的IP地址,从而确定受控主机的和控制主机。主机全名为机器的名称+域名,例如主机server1和主机server2为域名abc.com的两台主机,则主机1的主机全名为server1.abc.com,主机2的主机全名为server2.abc.com。主机名到IP地址的映射包括静态映射和动态映射两种方式。其中,静态映射表示每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用。动态映射表示,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。通常,在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。在网络通信中,每个IP可唯一标识一台主机,在多网卡或者路由器等的情况下,每个主机可以有多个IP,通过哪个IP都可以找到该主机;但是IP地址是一个32位的数字,为了便于记忆,通常把按每字节划分,然后用10进制表示出来,假设IP地址为192.168.100.1,在机器中的实际存在形式用16进制表示为:c0 a8 6401,用二进制表示为:11000000 1010100 01100100 00000001。
本申请实施例提供的僵尸网络检测的方法,僵尸网络检测装置通过获取的第一域名集合以及域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,可以确定第一批受控主机和第一批控制主机,不涉及监控用户的行为和用户的数据包,避免了在僵尸网络检测时侵犯用户的隐私的问题。
需要说明的是,在下述实施例中,以第N域名集合为第一域名集合、第N目标域名集合为第一目标域名集合、第N批受控主机为第一批受控主机,以及第N批控制主机为第一批控制主机为例进行说明。进而,第二域名集合为第N+1域名集合、第二目标域名集合为第N+1目标域名集合、第N+1批受控主机为第二批受控主机、第N+1批控制主机为第二批控制主机,其中N为正整数。
一种可能的实现方式中,在确定访问了第一目标域名集合中的主机为第一批受控主机之后,上述僵尸网络检测的方法还包括S104-S106:
S104、僵尸网络检测装置根据第N批受控主机(即第一批受控主机)获取第N+1域名集合(即第二域名集合)。
其中,所第N+1域名集合中的域名为DNS日志中第N批受控主机访问的域名。
S105、僵尸网络检测装置根据第N+1域名集合、域名的支持度、域名的置信度以及域名的提升度获取第N+1目标域名集合。
其中,第N+1目标域名集合包括第N+1域名集合中满足上述条件1-条件3中至少一个条件的域名。
S106、僵尸网络检测装置确定访问了第N+1目标域名集合的主机为第N+1批受控主机,确定域名为第N+1目标域名集合中的主机为第N+1批控制主机。
需要说明的是,在S106之后,上述僵尸网络检测的方法还包括S107-S109:
S107、僵尸网络检测装置根据第N+1批受控主机(即第二批受控主机)获取第N+2域名集合(即第二域名集合)。
其中,所第N+2域名集合中的域名为DNS日志中第N+1批受控主机访问的域名。
S108、僵尸网络检测装置根据第N+2域名集合、域名的支持度、域名的置信度以及域名的提升度获取第N+2目标域名集合。
其中,第N+2目标域名集合包括第N+2域名集合中满足上述条件1-条件3中至少一个条件的域名。
S109、僵尸网络检测装置确定访问了第N+2目标域名集合的主机为第N+2批受控主机,确定域名为第N+2目标域名集合中的主机为第N+2批控制主机。
基于该方案,僵尸网络检测装置可通过已检测到的受控主机访问的域名确定满足条件的域名为下一批僵尸网络控制的域名,进而可以确定访问该域名集合中的域名的用户主机为受控主机,主机的域名为该域名集合中的域名的主机为下一批僵尸网络的控制主机。
一种可能的实现方式中,在S109之后,上述僵尸网络检测的方法还包括S110-S111:
S110、僵尸网络检测装置确定第N+2批受控主机中所有受控主机访问的第三目标域名集合中的域名是否全部为目标集合中的域名。
其中,第三目标域名集合包括第三域名集合中满足上述条件1-条件3中的至少一个的域名,第三域名集合为第二批受控主机访问的域名,目标域名集合包括第一目标域名集合和第二目标域名集合。
可以理解的是,当僵尸网络检测装置确定第N+2批受控主机之后,若第N+2批受控主机中所有的受控主机访问的第三目标域名集合中的域名全部为目标集合中的域名,则表示检测出的域名没有新增加的可疑域名了。
S111、若确定第N+2批受控主机中所有受控主机访问的域名全部为目标域名集合中的域名,则僵尸网络检测装置确定已找出DNS日志中的所有的控制主机控制的域名。
其中,目标域名集合中的域名包括第N目标域名集合、第N+1目标域名集合和第N+2目标域名集合。
基于该方案,当僵尸网络检测装置确定的第N+2批的受控主机中所有的受控主机访问的第三目标域名集合中的域名均是前N批确定的所有僵尸网络控制的域名,则表明僵尸网络检测装置已经检测完该DNS日志中所有的僵尸网络控制的域名。
一种可能的实现方式中,上述僵尸网络检测的方法中,S101具体可以根据S101a-S101f执行。
S101a、僵尸网络检测装置获取DNS日志。
S101b、僵尸网络检测装置根据DNS日志确定DNS日志中的域名。
其中,DNS服务器中获取的日志信息中的域名可能包括一级域名也可能包括多级域名。
S101c、僵尸网络检测装置根据DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合。
其中,存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名。
需要说明的是,本申请实施例中的分时访问数量可以以一个小时划分、也可以0.5个小时划分,第一阈值随着分时访问数量的不同时间的划分变化,其中初始第一阈值可根据经验值设置,本申请实施例对此不作具体限定。
示例性的,假设以每小时为单位进行划分,则僵尸网络检测装置每天统计域名的访问情况,表1为本申请实施例提供的一种域名的分时访问数量的示例。
表1
域名 0:00-1:00 1:00-2:00 2:00-3:00 …… 23:00-24:00
baidu.com 1 2 3 …… 4
sina.com 2 3 4 …… 5
163.com 5 6 7 …… 6
…… …… …… …… …… ……
Dexrlk36yugsdg.com 6 1006878 100 …… 3
Fsrlb1234mf.com 3 2 200863 …… 60
假设第一阈值为10000,域名Dexrlk36yugsdg.com在1:00-2:00的访问量超过第一阈值,域名Fsrlb1234mf.com在2:00-3:00的访问量超过第一阈值,则僵尸网络设备可以确定域名Dexrlk36yugsdg.com以及Fsrlb1234mf.com为存在跳变点的域名。
可选的,僵尸网络检测装置也可以获取同一时刻每天的访问量的增量,比如比较每天同一个时刻的访问量的差是否超过预设范围。
S101d、僵尸网络检测装置计算DNS日志中每个域名的支持度、DNS日志中每个域名的置信度以及DNS日志中每个域名的提升度。
需要说明的是,本实施例中,S101c和S101d执行没有先后的区分,在此进行说明。
可选的,僵尸网络检测装置可基于公式(1)计算DNS日志中每个域名的支持度。
其中,Ni表示DNS日志信息中访问域名i的用户数,NA表示DNS日志信息中用户的总数。
可选的,僵尸网络检测装置可基于公式(2)计算DNS日志中每个域名的置信度。
其中,pij表示DNS日志信息既访问了域名i又访问了域名j的用户数占DNS日志信息中用户的总数的比例;pi表示DNS日志信息既访问了域名i的用户总数占DNS日志信息中用户的总数的比例。
可选的,僵尸网络检测装置可基于公式(3)计算DNS日志中每个域名的提升度。
其中,pj表示DNS日志信息既访问了域名j的用户总数占DNS日志信息中用户的总数的比例。
基于该方案,僵尸网络检测装置可以实现计算域名的支持度、置信度和提升度,从而使得僵尸网络的检测更加准确。
S101e、僵尸网络检测装置根据存在跳变点的域名的集合、DNS日志中每个域名的支持度、DNS日志中每个域名的置信度以及DNS日志中每个域名的提升度获取目标域名第一集合。
其中,目标域名第一集合中的域名为满足上述条件1-条件3中至少一个条件的域名。
S101f、僵尸网络检测装置确定访问第一域名的主机访问的域名的集合为第一域名集合,第一域名为目标域名第一集合中的任意一个域名。
基于该方案,僵尸网络检测装置可以通过DNS日志中的域名信息确定第一域名集合,从而使得僵尸网络根据第一域名集合中的域名确定第一批僵尸网络受控主机和控制主机,进而为清楚僵尸网络提供依据。
可选的,为了更加快速的确定僵尸网络的受控主机,S101d也可以在S101c之后执行,具体的S101d通过S101d1执行,进而,S101e可以通过S101e1执行。
S101d1、僵尸网络检测装置计算存在跳变点的域名的集合中每个域名的支持度、每个域名的置信度以及每个域名的提升度。
其中,存在跳变的域名的集合中的每个域名的提升度、置信度和提升度均可参考上述实施例的公式(1)、公式(2)以及公式(3)确定。
S101e1、僵尸网络检测装置根据存在跳变点的域名的集合、每个域名的支持度、每个域名的置信度以及每个域名的提升度获取跳变点的域名的集合中目标域名第一集合。
基于该方案,僵尸网络检测装置可以仅计算存在跳变点的域名的集合中的每个域名的支持度、每个域名的置信度以及每个域名的提升度,从而可以更加快速的确定目标域名第一集合,进而更加快递的确定出第一域名集合,进一步使得僵尸网络检测装置更加快速的确定出第一批受控主机和控制主机。
一种可能的实现方式中,上述僵尸网络检测的方法,在S101b之后,还包括S101g:
S101g、僵尸网络检测装置合并DNS日志中的多级域名为一级域名。
进而,S101c可通过S101c1执行、S101d可通过S101d2执行。
S101c1、僵尸网络检测装置根据DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合。
S101d2、僵尸网络检测装置根据存在跳变点的一级域名的集合、DNS日志中合并后的每个一级域名的支持度、DNS日志中合并后的每个一级域名的置信度以及DNS日志中合并后的每个一级域名的提升度获取目标域名第一集合。
基于该方案,僵尸网络检测装置在获取了DNS日志中的域名之后,将多级域名合并为一级域名,可以使得僵尸网络检测装置更加快速的筛选出存在跳变点的域名,提高了检测的速度。
需要说明的是,本申请实施中的僵尸网络检测的方法,可以部署在大数据处理平台中,例如部署在Hadoop集群中,利用大数据平台可以更加快速的实现僵尸网络的检测。
图3为本申请实施例提供的一种僵尸网络检测的方法流程示意图,如图3所示,为本申请实施例提供的一个完整的僵尸网络检测的示例,假设该实施例中满足条件1-条件3中每个条件,即为预设条件A:支持度超过第一预设阈值范围、置信度超过第二预设阈值范围且提升度超过第三预设阈值范围的域名。该方法流程包括步骤1-步骤15:
步骤1、僵尸网络检测装置获取运营商的DNS服务器中的DNS日志。
步骤2、僵尸网络检测装置获取DNS日志中的域名集合,并且合并多级域名为一级域名得到域名集合M1
步骤3、僵尸网络检测装置获取集合M1中的各个域名分时访问数量。
步骤4、僵尸网络检测装置根据各个域名的分时访问数量确定集合M1中存在跳变点的一级域名的集合M2
步骤5、僵尸网络检测装置基于公式(1)计算集合M1中每个一级域名的支持度、基于公式(2)计算集合M1中每个一级域名的置信度以及基于公式(3)计算集合M1中每个一级域名的提升度。
步骤6、僵尸网络检测装置确定集合M2中的满足预设条件A的集合M3(即),其中,集合M3中的域名为僵尸网络控制的域名。
步骤7、僵尸网络检测装置确定访问集合M3中的域名的主机为第1批受控主机,确定域名为集合M3中的域名的主机为第1批控制主机。
步骤8、僵尸网络检测装置确定集合M1中第1批受控主机访问的域名的集合M4
步骤9、僵尸网络检测装置确定集合M4中的满足预设条件A的集合M5
步骤10、僵尸网络检测装置确定集合M5中的域名是否全部为集合M3中的域名。
若是,执行步骤11。
步骤11、僵尸网络检测装置确定已经检测出被僵尸网络控制者控制的全部域名。
若不是,执行步骤12-步骤17。
步骤12、僵尸网络检测装置确定访问集合MN+3中的域名的主机为第N批受控主机,确定域名为集合MN+3中的域名的主机为第N批控制主机。
步骤13、僵尸网络检测装置确定集合M1中第N批受控主机访问的域名的集合MN+4
步骤14、僵尸网络检测装置确定集合MN+4中的满足预设条件A的集合MN+5
步骤15、僵尸网络检测装置确定集合MN+5中的域名是否全部为集合M3以及集合中域名。
若是,执行步骤11,若不是,N+1继续执行步骤11-步骤15。
上述主要从设备的角度对本申请实施例提供的方案进行了介绍。可以理解的是,上述设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对网络设备和用户设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,在采用对应各个功能划分各个功能模块的情况下,图4示出了上述实施例中所涉及的僵尸网络检测装置的一种可能的结构示意图。如图4所示,僵尸网络检测装置400包括获取模块401和确定模块402。其中,获取模块401用于支持装置400执行上述方法实施例中的S101(包括S101a-S101f、S101c1、S101d1、S101d2、S101e1和S101g)、S102、S104、S105、S107和S108;确定模块402用于支持装置400执行上述方法实施例中的S103、S106、S109、S110和S111。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
以采用集成的方式划分各个功能模块的情况下,图5示出了上述实施例中所涉及的僵尸网络检测装置的一种可能的结构示意图。如图5所示,僵尸网络检测装置500包括处理模块501。其中,处理模块501用于支持僵尸网络检测装置500执行上述方法实施例中的S101(包括S101a-S101f、S101c1、S101d1、S101d2、S101e1和S101g)和S102-S111。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,数字化视频光盘(digital video disk,DVD))、或者半导体介质(例如固态硬盘(solid statedisk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种僵尸网络检测的方法,其特征在于,所述方法包括:
获取第一域名集合,其中,所述第一域名集合中的域名为域名系统DNS日志中的域名;
根据所述第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,所述第一目标域名集合包括所述第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;
确定访问了所述第一目标域名集合中的主机为第一批受控主机;确定域名为所述第一目标域名集合中的主机为第一批控制主机。
2.根据权利要求1所述的方法,其特征在于,在确定访问了所述第一目标域名集合中的主机为第一批受控主机之后,所述方法还包括:
根据所述第一批受控主机获取第二域名集合,其中,所述第二域名集合中的域名为所述DNS日志中所述第一批受控主机访问的域名;
根据所述第二域名集合、域名的支持度、域名的置信度以及域名的提升度获取第二目标域名集合,其中,所述第二目标域名集合包括所述第二域名集合中满足所述至少一个条件的域名;
确定访问了第二目标域名集合中的主机为第二批受控主机;确定域名为所述第二目标域名集合中的主机为第二批控制主机。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括;
若确定的所述第二批受控主机中所有受控主机访问的第三目标域名集合中的域名全部为目标域名集合中的域名,则确定已找出所述DNS日志中的所有的控制主机控制的域名,其中,所述第三目标域名集合包括第三域名集合中满足所述至少一个条件的域名,所述第三域名集合为所述第二批受控主机访问的域名,所述目标域名集合包括所述第一目标域名集合和所述第二目标域名集合。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取第一域名集合,包括:
获取所述DNS日志;
根据所述DNS日志确定所述DNS日志中的域名;
根据所述DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合,所述存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名;
计算所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度;
根据所述存在跳变点的域名的集合、所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度获取目标域名第一集合,其中,所述目标域名第一集合中的域名为满足所述至少一个条件的域名;
确定访问第一域名的主机访问的域名的集合为所述第一域名集合,所述第一域名为所述目标域名第一集合中的任意一个域名。
5.根据权利要求4所述的方法,其特征在于,
所述计算所述每个域名的支持度包括:基于第一预设公式计算所述DNS日志中每个域名的支持度;
所述第一预设公式为:
其中,Ni表示所述DNS日志信息中访问域名i的用户数,NA表示所述DNS日志信息中用户的总数;
所述计算所述每个域名的置信度包括:基于第二预设公式计算所述DNS日志中每个域名的置信度;
所述第二预设公式为:
其中,pij表示所述DNS日志信息既访问了域名i又访问了域名j的用户数占所述DNS日志信息中用户的总数的比例;pi表示所述DNS日志信息既访问了域名i的用户总数占所述DNS日志信息中用户的总数的比例;
所述计算所述每个域名的支持度包括:基于第三预设公式计算所述DNS日志中每个域名的提升度;
所述第三预设公式为:
其中,pj表示所述DNS日志信息既访问了域名j的用户总数占所述DNS日志信息中用户的总数的比例。
6.根据权利要求4所述的方法,其特征在于,在根据DNS日志信息确定所述DNS日志中的域名之后,所述方法还包括:
合并所述DNS日志中的多级域名为一级域名;
所述根据所述DNS日志中的域名的分时访问数量获取存在跳变点的域名的集合,包括:根据所述DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合;
所述根据所述存在跳变点的域名的集合、所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度获取目标域名第一集合,包括:
根据所述存在跳变点的一级域名的集合、所述DNS日志中合并后的每个一级域名的支持度、所述DNS日志中合并后的每个一级域名的置信度以及所述DNS日志中合并后的每个一级域名的提升度获取目标域名第一集合。
7.一种僵尸网络检测装置,其特征在于,所述装置包括获取模块和确定模块;
所述获取模块,用于:
获取第一域名集合,其中,所述第一域名集合中的域名为域名系统DNS日志中的域名;
根据所述第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,所述第一目标域名集合包括所述第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;
所述确定模块,用于:
确定访问了所述第一目标域名集合中的主机为第一批受控主机,确定域名为所述第一目标域名集合中的主机为第一批控制主机。
8.根据权利要求7所述的装置,其特征在于,
所述获取模块,还用于:
在确定模块确定访问了所述第一目标域名集合中的主机为第一批受控主机之后,根据所述第一批受控主机获取第二域名集合,其中,所述第二域名集合中的域名为所述DNS日志中所述第一批受控主机访问的域名;
根据所述第二域名集合、域名的支持度、域名的置信度以及域名的提升度获取第二目标域名集合,其中,所述第二目标域名集合包括所述第二域名集合中满足所述至少一个条件的域名;
所述确定模块,还用于:
确定访问了第二目标域名集合中的主机为第二批受控主机;确定域名为所述第二目标域名集合中的主机为第二批控制主机。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,还用于:
若确定的所述第二批受控主机中所有受控主机访问的第三目标域名集合中的域名全部为目标域名集合中的域名,则确定已找出所述DNS日志中的所有的控制主机控制的域名,其中,所述第三目标域名集合包括第三域名集合中满足所述至少一个条件的域名,所述第三域名集合为所述第二批受控主机访问的域名,所述目标域名集合包括所述第一目标域名集合和所述第二目标域名集合。
10.根据权利要求7-9任一项所述的装置,其特征在于,所述获取模块,具体用于:
获取所述DNS日志;
根据所述DNS日志确定所述DNS日志中的域名;
根据所述DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合,所述存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名;
计算所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度、所述DNS日志中每个域名的提升度;
根据所述存在跳变点的域名的集合、所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度获取目标域名第一集合,其中,所述目标域名第一集合中的域名为满足所述至少一个条件的域名;
确定访问第一域名的主机访问的域名的集合为所述第一域名集合,所述第一域名为所述目标域名第一集合中的任意一个域名。
11.根据权利要求10所述的装置,其特征在于,所述确定模块,具体用于:
基于第一预设公式计算所述DNS日志中每个域名的支持度;
所述第一预设公式为:
其中,Ni表示所述DNS日志信息中访问域名i的用户数,NA表示所述DNS日志信息中用户的总数;
基于第二预设公式计算所述DNS日志中每个域名的置信度;
所述第二预设公式为:
其中,pij表示所述DNS日志信息既访问了域名i又访问了域名j的用户数占所述DNS日志信息中用户的总数的比例;pi表示所述DNS日志信息既访问了域名i的用户总数占所述DNS日志信息中用户的总数的比例;
基于第三预设公式计算所述DNS日志中每个域名的提升度;
所述第三预设公式为:
其中,pj表示所述DNS日志信息既访问了域名j的用户总数占所述DNS日志信息中用户的总数的比例。
12.根据权利要求10所述的装置,其特征在于,
所述确定模块,还用于:
在根据DNS日志信息确定所述DNS日志中的域名之后,合并所述DNS日志中的多级域名为一级域名;
所述获取模块,具体用于:
根据所述DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合;
根据所述存在跳变点的一级域名的集合、所述DNS日志中合并后的每个一级域名的支持度、所述DNS日志中合并后的每个一级域名的置信度以及所述DNS日志中合并后的每个一级域名的提升度获取目标域名第一集合。
CN201711252319.3A 2017-12-01 2017-12-01 僵尸网络检测的方法及装置 Active CN109873788B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711252319.3A CN109873788B (zh) 2017-12-01 2017-12-01 僵尸网络检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711252319.3A CN109873788B (zh) 2017-12-01 2017-12-01 僵尸网络检测的方法及装置

Publications (2)

Publication Number Publication Date
CN109873788A true CN109873788A (zh) 2019-06-11
CN109873788B CN109873788B (zh) 2021-10-15

Family

ID=66914729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711252319.3A Active CN109873788B (zh) 2017-12-01 2017-12-01 僵尸网络检测的方法及装置

Country Status (1)

Country Link
CN (1) CN109873788B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113497791A (zh) * 2020-04-01 2021-10-12 中移动信息技术有限公司 一种僵尸网络识别的方法、装置、设备及存储介质
CN113556309A (zh) * 2020-04-23 2021-10-26 中国电信股份有限公司 一种用于预测攻击规模的方法
CN114172862A (zh) * 2021-11-30 2022-03-11 杭州安恒信息技术股份有限公司 一种域名筛选方法、系统、装置及计算机可读存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399658A (zh) * 2007-09-24 2009-04-01 北京启明星辰信息技术有限公司 一种安全日志分析方法及系统
US20140130152A1 (en) * 2012-11-07 2014-05-08 Trusteer Ltd. Defense against dns dos attack
CN103944901A (zh) * 2014-04-18 2014-07-23 中国科学院信息工程研究所 社交僵尸网络控制节点的检测方法及装置
CN105376247A (zh) * 2015-11-30 2016-03-02 睿峰网云(北京)科技股份有限公司 一种基于频繁算法的异常流量的识别方法及装置
CN105681312A (zh) * 2016-01-28 2016-06-15 李青山 一种基于频繁项集挖掘的移动互联网异常用户检测方法
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN106789944A (zh) * 2016-11-29 2017-05-31 神州网云(北京)信息技术有限公司 网络攻击行为中的攻击主体确定方法及装置
CN107231258A (zh) * 2017-06-01 2017-10-03 国网电子商务有限公司 一种网络告警数据处理方法及装置
CN107360198A (zh) * 2017-09-12 2017-11-17 中国联合网络通信集团有限公司 可疑域名检测方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399658A (zh) * 2007-09-24 2009-04-01 北京启明星辰信息技术有限公司 一种安全日志分析方法及系统
US20140130152A1 (en) * 2012-11-07 2014-05-08 Trusteer Ltd. Defense against dns dos attack
CN103944901A (zh) * 2014-04-18 2014-07-23 中国科学院信息工程研究所 社交僵尸网络控制节点的检测方法及装置
CN105376247A (zh) * 2015-11-30 2016-03-02 睿峰网云(北京)科技股份有限公司 一种基于频繁算法的异常流量的识别方法及装置
CN105681312A (zh) * 2016-01-28 2016-06-15 李青山 一种基于频繁项集挖掘的移动互联网异常用户检测方法
CN106101071A (zh) * 2016-05-27 2016-11-09 杭州安恒信息技术有限公司 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN106789944A (zh) * 2016-11-29 2017-05-31 神州网云(北京)信息技术有限公司 网络攻击行为中的攻击主体确定方法及装置
CN107231258A (zh) * 2017-06-01 2017-10-03 国网电子商务有限公司 一种网络告警数据处理方法及装置
CN107360198A (zh) * 2017-09-12 2017-11-17 中国联合网络通信集团有限公司 可疑域名检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DOAA HASSAN SALEM: "Identifying the Most Frequently Attacked Ports Using Association Rule Mining", 《INTERNATIONAL JOURNAL OF COMPUTER NETWORKS AND COMMUNICATIONS SECURITY》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113497791A (zh) * 2020-04-01 2021-10-12 中移动信息技术有限公司 一种僵尸网络识别的方法、装置、设备及存储介质
CN113497791B (zh) * 2020-04-01 2023-11-07 中移动信息技术有限公司 一种僵尸网络识别的方法、装置、设备及存储介质
CN113556309A (zh) * 2020-04-23 2021-10-26 中国电信股份有限公司 一种用于预测攻击规模的方法
CN114172862A (zh) * 2021-11-30 2022-03-11 杭州安恒信息技术股份有限公司 一种域名筛选方法、系统、装置及计算机可读存储介质
CN114172862B (zh) * 2021-11-30 2024-04-19 杭州安恒信息技术股份有限公司 一种域名筛选方法、系统、装置及计算机可读存储介质

Also Published As

Publication number Publication date
CN109873788B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
EP3092569B1 (en) Cyber security adaptive analytics threat monitoring system and method
US9888020B2 (en) Global clustering of incidents based on malware similarity and online trustfulness
CN106878262B (zh) 报文检测方法及装置、建立本地威胁情报库的方法及装置
Antonakakis et al. Building a dynamic reputation system for {DNS}
US9774697B2 (en) Method, apparatus, and system for pushing notification
CN106537384B (zh) 使用指示用户位置的数据的逆向ip数据库
Berger et al. Mining agile DNS traffic using graph analysis for cybercrime detection
US20220329591A1 (en) Method, apparatus and device for generating device fingerprint and storage medium
WO2009155453A1 (en) System and method for fast flux detection
EP4012980A1 (en) Application identification method and apparatus, and storage medium
CN109873788A (zh) 僵尸网络检测的方法及装置
CN112954089B (zh) 一种解析数据的方法、装置、设备以及存储介质
US10333964B1 (en) Fake account identification
CN109547547A (zh) 回源调度方法、装置及其存储介质
US10609060B2 (en) Clustering network addresses
CN112437006B (zh) 基于api网关的请求控制方法、装置、电子设备和存储介质
CN111314379B (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN112953938A (zh) 网络攻击防御方法、装置、电子设备及可读存储介质
US9985980B1 (en) Entropy-based beaconing detection
TWI628941B (zh) 藉由登入頁面普查之網路釣魚偵測
CN113904843B (zh) 一种终端异常dns行为的分析方法和装置
CN111431764B (zh) 节点确定方法、设备、系统及介质
US9832200B2 (en) Multi-tiered protection platform
CN114793234B (zh) 消息处理方法、装置、设备和存储介质
US20210352140A1 (en) System and method for improved and effective generation and representation of a communication trust tree

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant