CN115277170B - 一种僵尸网络与cdn网络的主动分类方法及系统 - Google Patents
一种僵尸网络与cdn网络的主动分类方法及系统 Download PDFInfo
- Publication number
- CN115277170B CN115277170B CN202210876760.3A CN202210876760A CN115277170B CN 115277170 B CN115277170 B CN 115277170B CN 202210876760 A CN202210876760 A CN 202210876760A CN 115277170 B CN115277170 B CN 115277170B
- Authority
- CN
- China
- Prior art keywords
- http request
- response
- cdn
- domain name
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,提供了一种僵尸网络与CDN网络的主动分类方法及系统。所述方法包括:获取待分类的所有候选域名;分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;所述畸形http请求用于强制使http请求中httprequest节点的响应在无代理网络的情况下返回;基于所述正常http请求及所述畸形http请求中相应的请求节点的时间戳及响应节点的时间戳构建若干响应延迟;通过所述候选域名中各所述响应延迟进行Double Fast‑Flux僵尸网络与CDN网络的识别分类。所述系统基于方法搭建。本发明摆脱了现有被动分类中由访问样本不足等而导致的局限性,并避免了Double Fast‑Flux僵尸网络与CDN网络分类时存在的误报。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种僵尸网络与CDN网络的主动分类方法及系统。
背景技术
僵尸网络是一种攻击者出于恶意目的,传播僵尸程序以控制大量计算机,并通过一对多的命令与控制信道组成的网络。Double Fast-Flux僵尸网络是一种新型的僵尸网络,其借助DNS代理,http反向代理实现黑客主机的隐藏。
在Double Fast-Flux僵尸网络的典型部署中,以多个Bot组成的DNS ns-server集群,及多个Bot组成的http reverseproxy集群作为访问代理;并以黑客构建的C&C服务器作为整个僵尸网络的控制节点,以响应经过DNS ns-server-proxy代理节点转发的DNS请求和http-reverse-proxy节点转发的http请求。
将Double Fast-Flux僵尸网络从正常网络中识别滤除是保证网络通信安全的关键。现有僵尸网络的各类检测分类多通过基于DNS映射关系的僵尸网络域名分类进行。但该类被动检测方法需要依赖较长的时间窗口收集分析DNS域名与IP地址的映射关系,耗时较长;且在极端情况下,当部分僵尸网络域名总未被访问时则无法完整收集域名与IP地址的映射关系。同时,黑客也会通过受控的C&C服务器定期进行IP地址轮换更新。从而导致该类方法在实际使用时具有一定的技术局限性。
特别地,由上述Double Fast-Flux僵尸网络地部署可见,其与目前商用的CDN网络(所述CDN网络将正常网站的内容分发至CDN专用网络集群中,并对域名进行重新映射而提供服务)在拓扑结构上相似。从而导致现有的基于DNS映射关系的僵尸网络域名主动分类方法在进行Double Fast-Flux僵尸网络与CDN网络分类时存在较大的误报概率。
发明内容
本发明目的在于提供一种僵尸网络与CDN网络的主动分类方法及系统,以避免现有的基于DNS映射关系的僵尸网络域名主动分类方法在进行僵尸网络检测时受访问样本不足或映射时间较长而无法进行正常检测的技术问题,以及在进行Double Fast-Flux僵尸网络与CDN网络分类时存在的误报概率较大的技术问题。
为达成上述目的,本发明提出如下技术方案:
一种僵尸网络与CDN网络的主动分类方法,包括:
获取待分类的所有候选域名;
分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回;
基于所述正常http请求中,http request节点的时间戳与http response节点的时间戳构建正常响应时长,并基于所述畸形http请求中,http request节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟;
通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
进一步的,所述以基于所述正常响应时长与所述异常响应时长构建第一响应延迟,还包括:
基于所述正常http请求或所述畸形http请求中,SYNACK节点的时间戳与SYN节点的时间戳间的差值构建第二响应延迟。
进一步的,所述以基于所述正常响应时长与所述异常响应时长构建第一响应延迟,还包括:
基于所述正常响应时长构建第三响应延迟。
进一步的,所述通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类,包括:
将各所述候选域名携带的所述正常第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督机器学习算法的输入量;
基于所述有监督机器学习算法按照各响应延迟对各候选域名进行聚类。
进一步的,所述基于所述监督机器学习算法按所述响应延迟对各候选域名进行聚类,包括:
基于各响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
对各所述欧氏距离进行排序以选出距离最小的K个域名;
基于选出的K个域名确认所述候选域名为CDN网络或Double Fast-Flux僵尸网络。
进一步的,所述获取所有待分类的候选域名,包括:
基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;
以所述预分类僵尸网络域名清单中的域名作为所述所有待分类的候选域名。
一种僵尸网络与CDN网络的主动分类系统,包括:
域名获取模块,用于获取待分类的所有候选域名;
http请求模块,用于分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回;
延迟构建模块,用于基于所述正常http请求中,http request节点的时间戳与http response节点的时间戳构建正常响应时长,并基于所述畸形http请求中,httprequest节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟;
识别分类模块,用于通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
进一步的,所述识别分类模块包括:
输入模块,用于将各所述候选域名携带的所述正常第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督机器学习算法的输入量;
计算模块,用于基于所述有监督学习算法按各响应延迟对各所述候选域名进行聚类。
进一步的,所述计算模块包括:
距离获取模块,用于基于各响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
排序模块,用于对各所述欧氏距离进行排序以选出距离最小的K个域名;
输出模块,用于基于选出的K个域名确认所述候选域名为CDN网络域名或DoubleFast-Flux僵尸网络域名。
进一步的,还包括:
预分类模块,用于基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;并以所述预分类僵尸网络域名清单中的域名输入所述域名获取模块以作为所述所有待分类的候选域名。
有益效果:
由以上技术方案可知,本发明的技术方案提供了一种僵尸网络与CDN网络的主动分类方法。
所述分类方法包括:获取待分类的所有候选域名。分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回。基于所述正常http请求中,http request节点的时间戳与httpresponse节点的时间戳构建正常响应时长,并基于所述畸形http请求中,http request节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟。通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
在进行Double Fast-Flux僵尸网络与CDN网络时,由于主动进行正常http请求及畸形http请求的发送。因此整个分类中的访问信息将由被动访问获取转变为主动请求获取。进而与现有的基于DNS映射关系进行的被动分类方法相比,不再存在由样本访问造成的样本收集不足或时间窗口较长等技术缺陷。提高了分类的可操作性,及分类效率。
同时,还利用Double Fast-Flux网络与CDN网络进行http请求时的路径差异。即对于Double Fast-Flux僵尸网络而言,由于其存在由黑客C&C服务器承担的代理服务器。因此对于正常http请求,当向http reverse proxy发送“http GET”后需要等待代理服务器的代理请求返回后才可返回http响应。而对于CDN网络而言,其正常http请求由于不存在http代理服务器,因此不需等待,即整个过程只需一次TCP链接即可返回http响应。基于此,本技术方案构建并发送畸形http请求以强制http reverse proxy返回在无代理网络的情况下的进行。进而通过各候选域名中正常http请求与畸形http请求中http response节点的响应时间差异即可实现Double Fast-Flux僵尸网络与CDN网络的识别分类。而该方法不涉及DNS的映射过程,因此不存在由Double Fast-Flux僵尸网络与CDN网络间相似拓扑结构而引起的误报情况。提高了分类识别的准确率。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为Double Fast-Flux僵尸网络的部署结构图;
图2为图1中Double Fast-Flux僵尸网络的正常http请求的访问路径图;
图3为图1中Double Fast-Flux僵尸网络的异常http请求的访问路径图;
图4为CDN网络的http访问路径图;
图5为实施例1中一种所述的主动分类方法的流程图;
图6为图5中继续创建第二响应延迟的流程图;
图7为图5中继续创建第三响应延迟的流程图;
图8为图5中进行分类的流程图;
图9为图6中具体采用KNN算法进行分类的流程图;
图10为实施例1中另一种所述的主动分类方法的流程图;
图11为实施例2中所述候选域名的获取流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另作定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,除非上下文清楚地指明其它情况,否则单数形式的“一个”“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的特征、整体、步骤、操作、元素和/或组件,并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。“上”“下”“左”“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
现有的基于DNS映射关系的僵尸网络域名被动分类方法受实际访问样本及映射构建时长影响常存在无法正常分类的技术缺陷。特别是当进行Double Fast-Flux僵尸网络与CDN网络分类时,由于两者的拓扑结构类似,还总是存在误报的情况。因此本发明旨在提供一种僵尸网络与CDN网络的主动分类方法,以改善上述现有基于DNS映射进行的被动分类中存在的技术缺陷,并显著提高进行分类时的效率及准确度。
现有的Double Fast-Flux僵尸网络的部署如图1所示,其由大量的被控制的计算机组成,这些计算机的第一个主要作用是提供一个庞大的IP地址池。僵尸网络控制者可以选择其中的IP地址来作为僵尸网络命令与控制端的域名服务器IP;将受害者的域名请求指向受控的计算机。第二个主要作用是黑客利用受控的主机部署代理中转服务,以隐藏背后的控制者。在典型的Double Fast-Flux僵尸网络中,受害者发起的DNS请求,将在受控主机上得到响应,并将受控的代理中转服务IP返回给受害者。
CDN网络是一种广泛应用的商业网络,其通过将正常网站的内容分发至CDN专用网络集群中,并对域名进行重新映射而提供服务。
实施例1
为了对CDN网络中的Double Fast-Flux僵尸网络进行识别,以保证各用户的网络安全,本实施例提供了一种基于http延迟的主动分类方法。
下面结合附图,对本实施例公开的僵尸网络与CDN网络的主动分类方法作进一步具体介绍。
如图5所示,所述方法包括如下步骤:
步骤102、获取待分类的所有候选域名。
作为一种具体的实施方式,为防止出现遗漏情况,所有所述候选域名通过遍历域名清单获取。
步骤104、分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回。
本步骤中,所述各节点的时间戳具体包括:SYN时间戳、SYNACK时间戳、httprequest时间戳及http response时间戳。
在具体实施时,由于主动进行了所述正常http请求及所述畸形http请求的发送。因此整个分类中的访问信息将由被动访问获取转变为主动请求获取。进而与现有的基于DNS映射关系进行的被动分类方法相比,不再存在由样本访问造成的样本收集不足或时间窗口较长等技术缺陷。提高了分类的可操作性及分类效率。
作为一种具体的实施方式,在发送所述正常http请求及所述畸形http请求之前,还包括:
步骤S103、向各候选域名发送DNS域名请求以获取IP地址。
此时所述正常http请求及所述畸形http请求具体向所述IP地址发起。
当通过步骤S103无法获取IP地址时,则表明DNS不存在,此时需要对整个通讯网络进行检查以确认异常,进而确保整个分类过程可稳定进行。
步骤S106、基于所述正常http请求中,http request节点的时间戳与httpresponse节点的时间戳构建正常响应时长,并基于所述畸形http请求中,http request节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟。
由图2可得,对于Double Fast-Flux僵尸网络,整个正常http请求需要12步完成。其中,僵尸主机Bot需要在第4步后等待Bot http reverse proxy的代理请求返回才能够在第10步中返回响应的http响应。而由图4可得,对于CDN网络,由于不存在http代理服务器,因此整个正常http请求只需要一次TCP链接。
通过图2与图4对比可见,对于正常http请求,Fast-Flux僵尸网络需要更多的网络连接步骤才能获得http响应。基于此,本实施例构建并发送畸形http请求以强制httpreverse proxy返回在无代理网络的情况下的进行,具体如图3所示。此时,通过各候选域名中正常http请求与畸形http请求中http response节点的响应时间差异即可实现DoubleFast-Flux僵尸网络与CDN网络的识别分类。而该方法不涉及DNS的映射过程,因此不存在由Double Fast-Flux僵尸网络与CDN网络间相似拓扑结构而引起的误报情况。提高了分类识别的准确率。
步骤S108、通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
为了防止所述第一响应延迟实际上由TCP链接异常或其他通讯异常等造成而影响基于其进行的识别分类结果。作为一种优选的实施方式,如图6所示,所述步骤S106还包括:
步骤S106.2、基于所述正常http请求或所述畸形http请求中,SYNACK节点的时间戳与SYN节点的时间戳间的差值构建第二响应延迟。
由于无论是CDN网络还是Double Fast-Flux网络其所述第二响应延迟均相同。因此基于其可判断所述第一响应延迟是由网络类型造成的,还是通讯异常等其他原因造成的。
同时,为了进一步提高基于所述第一响应延迟进行识别分类的准确性。作为一种更优选的实施方式,如图7所示,在所述步骤S106.2的基础上,所述步骤S106还包括:
步骤S106.4、基于所述正常响应时长构建第三响应延迟。
由于CDN网络及Double Fast-Flux网络进行正常http请求时的访问路径不同,因此基于所述第三响应延迟的差异可进一步进行所述网络类型识别分类。
作为一种具体的实施方式,如图8所示,所述步骤S108具体包括:
步骤S108.2、将各所述候选域名携带的所述第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督机器学习算法的输入量;
步骤S108.4、基于所述有监督机器学习算法按各响应延迟对各候选域名进行聚类。
作为一种优选的实施方式,如图9所示,所述步骤S108.4具体包括:
步骤S108.4.2、基于响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
步骤S108.4.4、对各所述欧氏距离进行排序以选出距离最小的K个域名;
步骤S108.4.6、基于选出的K个域名确认所述候选域名为CDN网络或Double Fast-Flux僵尸网络。
在具体实施时,将CDN网络域名记为1,Double Fast-Flux僵尸网络记为0。
作为一种可以选择的实施方式,如图2及图4所示,由于Double Fast-Flux僵尸网络中充当Bot http reverse proxy的主机通常由僵尸网络中的受控个人PC主机承担,因此其响应速度与商业CDN网络中CDN server的响应速度存在较大的差异。具体的,DoubleFast-Flux僵尸网络的响应速度一般为:百微秒级。CDN网络的响应速度一般为:十微秒级。两者间的相差10个量级。因此仅通过不同域名间畸形http请求中http Request的响应时间也可进行不同网络间的分类。
此时如图10所示,步骤S104至步骤S108也可是:
步骤S104’、分别在同时向各候选域名发送畸形http请求,并获取所述畸形http请求中http request节点的时间戳;其中,所述畸形http请求用于强制使http请求中httprequest节点的响应时间戳在无代理网络的情况下返回。
步骤S106’、基于各所述畸形http请求中所述http request节点的请求时间戳及响应时间戳间的差值确定响应时长;
步骤S108’、基于各所述响应时长的量级进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
上述方法过程可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何算法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
实施例2
由于实施例1所述的方法可防止CDN网络的误报,因此其可作为现有的基于DNS映射关系的僵尸网络域名被动分类方法的补充方法使用,以减小现有的被动分类中的误报情况。
此时,如图11所示,对于实施例1所述的方法,只需在步骤S102之前进行如下步骤即可:
步骤S100、基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;
步骤S101、以所述预分类僵尸网络域名清单中的域名作为所述所有待分类的候选域名。
实施例3
本实施例还提供了一种僵尸网络与CDN网络的主动分类系统。所述分类系统依次包括:域名获取模块、http请求模块、延迟构建模块及识别分类模块。
所述域名获取模块用于获取待分类的所有候选域名。
所述http请求模块用于分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回;
所述延迟构建模块用于基于所述正常http请求中,http request节点的时间戳与http response节点的时间戳构建正常响应时长,并基于所述畸形http请求中,httprequest节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟;
所述识别分类模块用于通过所述候选域名中各所述第一响应延迟进行DoubleFast-Flux僵尸网络与CDN网络的识别分类。
由于所述分类系统中包括http请求发送模块及响应延迟获取模块。而所述http请求发送模块由于主动进行了正常http请求及畸形http请求的发送,因此有效地避免了现有的被动检测中的由样本访问造成的样本收集不足及时间窗口较长的技术问题。
对于Double Fast-Flux僵尸网络而言,其正常http请求在向http reverse proxy发送http GET后需要等待其代理请求返回后才返回http响应。而对于CDN网络而言,其正常http请求由于不存在http代理服务器,因此不需等待,即整个过程只需依次TCP链接即可返回http响应。基于此,通过畸形http请求强制http reverse proxy返回从而达到测量非代理网络下的http访问延迟。而所述响应延迟获取模块实现了该访问差异数据的获取。因此可以快速准确地进行Double Fast-Flux僵尸网络与CDN网络间的识别分类误告警域名。
作为一种具体的实施方式,对于所述识别分类模块,其依次包括输入模块及计算模块。
所述输入模块用于将各候选域名携带的所述第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督学习算法的输入量;
所述计算模块用于基于所述有监督学习算法按响应延迟对各所述候选域名进行聚类。
作为一种优选的实施方式,所述计算模块包括:
距离获取模块,用于基于响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
排序模块,用于对各所述欧氏距离进行排序以选出距离最小的K个域名;
输出模块,用于基于选出的K个域名确认所述候选域名为CDN网络域名或DoubleFast-Flux僵尸网络域名。
为了同时实现实施例2所述的方法,所述系统还包括:
预分类模块,基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;并将所述预分类僵尸网络域名清单中的候选域名输入所述域名获取模块。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (10)
1.一种僵尸网络与CDN网络的主动分类方法,其特征在于,包括:
获取待分类的所有候选域名;
分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回;
基于所述正常http请求中,http request节点的时间戳与http response节点的时间戳构建正常响应时长,并基于所述畸形http请求中,http request节点的时间戳及httpresponse节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟;
通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
2.根据权利要求1所述的僵尸网络与CDN网络的主动分类方法,其特征在于,所述以基于所述正常响应时长与所述异常响应时长构建第一响应延迟,还包括:
基于所述正常http请求或所述畸形http请求中,SYN ACK节点的时间戳与SYN节点的时间戳间的差值构建第二响应延迟。
3.根据权利要求2所述的僵尸网络与CDN网络的主动分类方法,其特征在于,所述以基于所述正常响应时长与所述异常响应时长构建第一响应延迟,还包括:
基于所述正常响应时长构建第三响应延迟。
4.根据权利要求3所述的僵尸网络与CDN网络的主动分类方法,其特征在于,所述通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类,包括:
将各所述候选域名携带的所述第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督机器学习算法的输入量;
基于所述有监督机器学习算法按照各响应延迟对各候选域名进行聚类。
5.根据权利要求4所述的僵尸网络与CDN网络的主动分类方法,其特征在于,所述基于所述有监督机器学习算法按照各响应延迟对各候选域名进行聚类,包括:
基于各响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
对各所述欧氏距离进行排序以选出距离最小的K个域名;
基于选出的K个域名确认所述候选域名为CDN网络或Double Fast-Flux僵尸网络。
6.根据权利要求1所述的僵尸网络与CDN网络的主动分类方法,其特征在于,所述获取待分类的所有候选域名,包括:
基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;
以所述预分类僵尸网络域名清单中的域名作为所述待分类的所有候选域名。
7.一种僵尸网络与CDN网络的主动分类系统,其特征在于,包括:
域名获取模块,用于获取待分类的所有候选域名;
http请求模块,用于分别向各候选域名发送正常http请求及畸形http请求,并依次获取所述正常http请求及所述畸形http请求中各节点的时间戳;其中,所述畸形http请求用于强制使http请求中http request节点的响应在无代理网络的情况下返回;
延迟构建模块,用于基于所述正常http请求中,http request节点的时间戳与httpresponse节点的时间戳构建正常响应时长,并基于所述畸形http请求中,http request节点的时间戳及http response节点的时间戳构建异常响应时长;以基于所述正常响应时长与所述异常响应时长构建第一响应延迟;
识别分类模块,用于通过所述候选域名中各所述第一响应延迟进行Double Fast-Flux僵尸网络与CDN网络的识别分类。
8.根据权利要求7所述的僵尸网络与CDN网络的主动分类系统,其特征在于,所述以基于所述正常响应时长与所述异常响应时长构建第一响应延迟,还包括:基于所述正常http请求或所述畸形http请求中,SYN ACK节点的时间戳与SYN节点的时间戳间的差值构建第二响应延迟;基于所述正常响应时长构建第三响应延迟;
所述识别分类模块包括:
输入模块,用于将各所述候选域名携带的所述第一响应延迟、所述第二响应延迟及所述第三响应延迟作为有监督机器学习算法的输入量;
计算模块,用于基于所述有监督机器学习算法按照各响应延迟对各候选域名进行聚类。
9.根据权利要求8所述的僵尸网络与CDN网络的主动分类系统,其特征在于,所述计算模块包括:
距离获取模块,用于基于各响应延迟获取待分类的候选域名与其他所有域名间的欧氏距离;
排序模块,用于对各所述欧氏距离进行排序以选出距离最小的K个域名;
输出模块,用于基于选出的K个域名确认所述候选域名为CDN网络或Double Fast-Flux僵尸网络。
10.根据权利要求7所述的僵尸网络与CDN网络的主动分类系统,其特征在于,还包括:
预分类模块,用于基于DNS映射关系进行Double Fast-Flux僵尸网络及CDN网络预分类,并获取预分类僵尸网络域名清单及预分类CDN网络域名清单;并以所述预分类僵尸网络域名清单中的域名输入所述域名获取模块以作为所述待分类的所有候选域名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210876760.3A CN115277170B (zh) | 2022-07-25 | 2022-07-25 | 一种僵尸网络与cdn网络的主动分类方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210876760.3A CN115277170B (zh) | 2022-07-25 | 2022-07-25 | 一种僵尸网络与cdn网络的主动分类方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115277170A CN115277170A (zh) | 2022-11-01 |
| CN115277170B true CN115277170B (zh) | 2023-09-12 |
Family
ID=83770304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210876760.3A Active CN115277170B (zh) | 2022-07-25 | 2022-07-25 | 一种僵尸网络与cdn网络的主动分类方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115277170B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120072992A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和系统 |
| CN110650157A (zh) * | 2019-10-23 | 2020-01-03 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101010302B1 (ko) * | 2008-12-24 | 2011-01-25 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
| EP2326057A1 (en) * | 2009-11-20 | 2011-05-25 | British Telecommunications public limited company | Detecting malicious behaviour on a network |
| US10460101B2 (en) * | 2017-06-06 | 2019-10-29 | Microsoft Technology Licensing, Llc | Enriching netflow data with passive DNS data for botnet detection |
| US11134058B1 (en) * | 2017-10-06 | 2021-09-28 | Barracuda Networks, Inc. | Network traffic inspection |
| US11483340B2 (en) * | 2020-01-13 | 2022-10-25 | Shanghai Jiaotong University | System for malicious HTTP traffic detection with multi-field relation |
-
2022
- 2022-07-25 CN CN202210876760.3A patent/CN115277170B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120072992A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和系统 |
| CN110650157A (zh) * | 2019-10-23 | 2020-01-03 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| "A Deep Learning Based Fast-Flux and CDN Domain Names Recognition Method";Xunxun Chen等;《Proceedings of The 2nd International Conference on Information Science and System(ICISS 2019)》;第64-69页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115277170A (zh) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10560465B2 (en) | Real time anomaly detection for data streams | |
| CN111800458B (zh) | 一种Kubernetes容器云平台的动态负载均衡方法及系统 | |
| Najafimehr et al. | A hybrid machine learning approach for detecting unprecedented DDoS attacks | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN109255237B (zh) | 安全事件关联分析方法及装置 | |
| JP2018133004A (ja) | 異常検知システム及び異常検知方法 | |
| Chhabra et al. | Hadoop‐based analytic framework for cyber forensics | |
| CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN114465823A (zh) | 工业互联网终端加密流量数据安全检测方法、装置及设备 | |
| CN114679292A (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| Dong et al. | Integration of edge computing and blockchain for provision of data fusion and secure big data analysis for Internet of Things | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| CN118041648A (zh) | 一种基于自适应探测的工控漏洞扫描方法及其系统 | |
| CN115277170B (zh) | 一种僵尸网络与cdn网络的主动分类方法及系统 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN106411951B (zh) | 网络攻击行为检测方法及装置 | |
| CN117407865A (zh) | 一种接口安全防护方法及装置、电子设备、存储介质 | |
| CN115296891B (zh) | 数据探测系统和数据探测方法 | |
| WO2024043986A1 (en) | Cloud attack detection via api access analysis | |
| CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
| JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
| CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
| CN103078771A (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
| CN108133046B (zh) | 数据分析方法及装置 | |
| CN111130941A (zh) | 一种网络错误检测方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |