CN117155614A - 一种僵尸网络发现方法、系统及存储介质 - Google Patents
一种僵尸网络发现方法、系统及存储介质 Download PDFInfo
- Publication number
- CN117155614A CN117155614A CN202310999850.6A CN202310999850A CN117155614A CN 117155614 A CN117155614 A CN 117155614A CN 202310999850 A CN202310999850 A CN 202310999850A CN 117155614 A CN117155614 A CN 117155614A
- Authority
- CN
- China
- Prior art keywords
- botnet
- suspicious
- information
- domain name
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000001514 detection method Methods 0.000 claims abstract description 18
- 238000012544 monitoring process Methods 0.000 claims abstract description 16
- 238000007405 data analysis Methods 0.000 claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000000586 desensitisation Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000010365 information processing Effects 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 3
- 230000003542 behavioural effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 4
- 230000001788 irregular Effects 0.000 description 3
- 238000012098 association analyses Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术领域,公开了一种僵尸网络发现方法、系统及存储介质,包括:实时监控网络流量,获取DNS流量的请求IP信息;对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络。本发明提高了僵尸网络检测效率,降低了检测难度。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种僵尸网络发现方法、系统及存储介质。
背景技术
僵尸网络(Botnet)是只采用一种或者多种传播手段,将大量主机感染僵尸工具Bot 程序,从而在控制者和被感染主机之间形成一个可一对多控制的网络,其中僵尸工具Bot是robot(机器人)的缩写,其可执行预定义的功能,可以被预定义的命令所远程控制、并具有一定人工智能的程序,僵尸主机就是指含有僵尸工具或者其他远程控制程序,使其可被攻击者远程控制的计算机。
僵尸网络中的各个受控节点通过向预定攻击目标发送伪造数据包或垃圾数据包,使预定攻击目标瘫痪并拒绝服务(DoS,DenialofService)。通过僵尸网络发起的DoS攻击为分布式拒绝服务(DDoS,DistributedDenialofService)攻击,进行攻击的各个受控节点均具有真实的源IP地址。现有技术中,通常由网络运营商对访问主要路由节点的大量IP地址进行DNS流量分析,发现网络中可能存在的僵尸网络。然而,由于需要分析的数据量庞大,并且僵尸网络中受控节点的位置分布毫无规律,导致现有技术中发现僵尸网络的难度高、效率低,并且,由僵尸网络发起的DDoS攻击,也不能有效防护。
发明内容
本发明提供了一种僵尸网络发现方法、系统及存储介质,提高了僵尸网络检测效率,降低了检测难度。
为实现上述目的,本发明提供了如下方案:本发明提供一种僵尸网络发现方法,包括:实时监控网络流量,获取DNS流量的请求IP信息;
对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;
对可疑域名进行核实,确定僵尸网络。
在其中一个实施例中,实时监控网络流量,获取DNS流量的请求IP信息,包括:
实时监控网络流量,当接受到大量请求数据包时,对大量请求数据包进行随机分组,获取随机一组的DNS流量的请求IP信息。
在其中一个实施例中,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名,包括:
对获取DNS流量的请求IP信息进行数据清洗,得到脱敏攻击源IP;
建立所述脱敏攻击源IP与被所述脱敏攻击源IP攻击域名的对应关系表;
基于对应关系表确定所述脱敏攻击源IP攻击的域名数量;
当所述域名数量大于预设阈值时,判断所述脱敏攻击源IP为可疑IP,并确定可疑IP对应的可疑域名。
在其中一个实施例中,对可疑域名进行核实,确定僵尸网络,包括:
获取威胁情报中恶意域名里的僵尸网络域名;
将所述可疑域名与所述僵尸网络域名进行匹配检测;
将匹配信息一致的可疑域名确定为僵尸网络。
在其中一个实施例中,当匹配信息不一致时,对可疑域名进行行为特征分析检测,基于检测结果确定可疑域名是否为僵尸网络。
在其中一个实施例中,威胁情报中定期更新全球已发现的僵尸网络信息。
在其中一个实施例中,在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
为了实现上述目的,还提供了一种僵尸网络发现系统,包括:
信息获取模块,用于实时监控网络流量,获取DNS流量的请求IP信息;
信息处理模块,用于对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络。
在其中一个实施例中,所述信息处理模块还用于在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
为了实现上述目的,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行所述的僵尸网络发现方法。
本发明的技术效果:通过对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;然后对可疑域名进行核实,确定僵尸网络,精准确定僵尸网络。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的僵尸网络发现方法的流程图;
图2是本发明实施例提供的确定可疑IP及可疑IP对应的可疑域名的流程图;
图3是本发明实施例提供的确定僵尸网络的流程图;
图4是本发明实施例提供的僵尸网络发现系统的示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不是用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
域名简称域名、网域,是由一串用点分隔的字符组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。域名可以说是一个IP地址的代称,目的是为了便于记忆后者。例如,juming.com是一个域名,和IP地址120.55.21.83相对应。DNS是进行域名解析的服务器。
如图1所示,本实施例公开了一种僵尸网络发现方法,包括:
步骤S1,实时监控网络流量,获取DNS流量的请求IP信息;
步骤S2,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;
步骤S3,对可疑域名进行核实,确定僵尸网络。
可以理解的是,上述实施例中,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络,实现僵尸网络的准确确定。
在一些具体实施例中,在步骤S1中,实时监控网络流量,获取DNS流量的请求IP信息,包括:
实时监控网络流量,当接受到大量请求数据包时,对大量请求数据包进行随机分组,获取随机一组的DNS流量的请求IP信息。
可以理解的是,上述实施例中,因为对毫无规律的大量IP地址进行DNS流量分析,需要分析的数据量庞大,浪费时间且发现僵尸网络的难度高、效率低。所以获取随机一组的DNS流量的请求IP信息进行检测,在发现僵尸网络之后,进行僵尸网络寻找;如果没有发现僵尸网络,则不必对毫无规律的大量IP地址进行DNS流量分析。
如图2所示,在一些具体实施例中,在步骤S2中,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名,包括:
步骤S21,对获取DNS流量的请求IP信息进行数据清洗,得到脱敏攻击源IP;
步骤S22,建立所述脱敏攻击源IP与被所述脱敏攻击源IP攻击域名的对应关系表;
步骤S23,基于对应关系表确定所述脱敏攻击源IP攻击的域名数量;
步骤S24,当所述域名数量大于预设阈值时,判断所述脱敏攻击源IP为可疑IP,并确定可疑IP对应的可疑域名。
可以理解的是,上述实施例中,由于加入到Botnet服务器中的所谓用户nickname是由bot程序生成,所以这些bot的nickname应符合一定的生成算法,如IP地址表示法(就是将被感染了bot程序的主机的IP地址所在国的三位缩写放在开头,然后在后面加入指定长度的随机数字,如USA|8028032,CHA|8920340)和系统表示法(将被感染bot程序的主机的系统作为开始的字母如xp、2000等,然后再在后面加上指定长度的随机数字,如xp|8034,2000|80956)。这些命名的特征可以从得到的bot源码中发现并总结出来。所以通过上述实施例反向逆推,可以准确确定可疑IP及可疑IP对应的可疑域名。
如图3所示,在一些具体实施例中,在步骤S3中,对可疑域名进行核实,确定僵尸网络,包括:
步骤S31,获取威胁情报中恶意域名里的僵尸网络域名;
步骤S32,将所述可疑域名与所述僵尸网络域名进行匹配检测;
步骤S33,将匹配信息一致的可疑域名确定为僵尸网络。
可以理解的是,上述实施例中,将匹配信息一致的可疑域名确定为僵尸网络可以准确确定僵尸网络。
在一些具体实施例中,当匹配信息不一致时,对可疑域名进行行为特征分析检测,基于检测结果确定可疑域名是否为僵尸网络。
可以理解的是,上述实施例中,当检测结果为僵尸网络时,将僵尸网络所对应的域名增至威胁情报中。行为特征分析检测为基于行为特征分析的检测流程,包括流量统计分析阶段、行为特征分析阶段和关联分析阶段三个阶段。在流量统计分析阶段,收集待检测的内网与其外部网络之间的所以通信流,对传输的流量进行统计分析收集。在行为特征分析阶段,根据流分析纪录,依据僵尸傀儡的相似性特征,使用聚类和特征模式匹配的方法,分别从交流行为特征和恶意行为特征两个方面展开分析,得出分别在这两方面具有相似性的主机群。在关联分析阶段,对交流行为特征相似主机群和恶意行为特征相似主机群进行关联分析,得出检测结果。
在一些具体实施例中,威胁情报中定期更新全球已发现的僵尸网络信息。
可以理解的是,上述实施例中,为了准确在将所述可疑域名与所述僵尸网络域名进行匹配检测时,将匹配信息一致的可疑域名确定为僵尸网络。需要确保威胁情报中恶意域名中的僵尸网络域名尽可能的全面,定期更新收录全球已发现的僵尸网络信息。
在一些具体实施例中,在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
可以理解的是,上述实施例中,在僵尸网络将要活动的时候,会发送大量的DNS查询来定位C&C服务器,发送大量的连接请求。在受到控制命令服务器的指令后,整个僵尸网络的主机将会共同对目标发起大量攻击,例如DDoS攻击就是僵尸网络发送大量连接请求导致服务器无法响应。所以需要在网络情况异常时,阻断来自异常流量的请求IP地址的流量。
如图4所示,为了实现上述目的,还提供了一种僵尸网络发现系统,包括:
信息获取模块,用于实时监控网络流量,获取DNS流量的请求IP信息;
信息处理模块,用于对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络。
可以理解的是,上述实施例中,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络,实现僵尸网络的准确确定。
在一些具体实施例中,所述信息处理模块还用于在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
可以理解的是,上述实施例中,在僵尸网络将要活动的时候,会发送大量的DNS查询来定位C&C服务器,发送大量的连接请求。在受到控制命令服务器的指令后,整个僵尸网络的主机将会共同对目标发起大量攻击,例如DDoS攻击就是僵尸网络发送大量连接请求导致服务器无法响应。所以需要在网络情况异常时,阻断来自异常流量的请求IP地址的流量。
为了实现上述目的,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行所述的僵尸网络发现方法。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种僵尸网络发现方法,其特征在于,包括:
实时监控网络流量,获取DNS流量的请求IP信息;
对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;
对可疑域名进行核实,确定僵尸网络。
2.根据权利要求1所述的僵尸网络发现方法,其特征在于,实时监控网络流量,获取DNS流量的请求IP信息,包括:
实时监控网络流量,当接受到大量请求数据包时,对大量请求数据包进行随机分组,获取随机一组的DNS流量的请求IP信息。
3.根据权利要求1所述的僵尸网络发现方法,其特征在于,对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名,包括:
对获取DNS流量的请求IP信息进行数据清洗,得到脱敏攻击源IP;
建立所述脱敏攻击源IP与被所述脱敏攻击源IP攻击域名的对应关系表;
基于对应关系表确定所述脱敏攻击源IP攻击的域名数量;
当所述域名数量大于预设阈值时,判断所述脱敏攻击源IP为可疑IP,并确定可疑IP对应的可疑域名。
4.根据权利要求3所述的僵尸网络发现方法,其特征在于,对可疑域名进行核实,确定僵尸网络,包括:
获取威胁情报中恶意域名里的僵尸网络域名;
将所述可疑域名与所述僵尸网络域名进行匹配检测;
将匹配信息一致的可疑域名确定为僵尸网络。
5.根据权利要求4所述的僵尸网络发现方法,其特征在于,当匹配信息不一致时,对可疑域名进行行为特征分析检测,基于检测结果确定可疑域名是否为僵尸网络。
6.根据权利要求1所述的僵尸网络发现方法,其特征在于,威胁情报中定期更新全球已发现的僵尸网络信息。
7.根据权利要求1所述的僵尸网络发现方法,其特征在于,在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
8.一种僵尸网络发现系统,其特征在于,包括:
信息获取模块,用于实时监控网络流量,获取DNS流量的请求IP信息;
信息处理模块,用于对IP信息进行数据分析确定可疑IP及可疑IP对应的可疑域名;对可疑域名进行核实,确定僵尸网络。
9.根据权利要求8所述的僵尸网络发现系统,其特征在于,所述信息处理模块还用于在实时监控网络流量,获取DNS流量的请求IP信息时,对网络情况进行判断,当网络情况异常时,阻断来自异常流量的请求IP地址的流量。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行如权利要求1-5中任一权利要求所述的僵尸网络发现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310999850.6A CN117155614A (zh) | 2023-08-09 | 2023-08-09 | 一种僵尸网络发现方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310999850.6A CN117155614A (zh) | 2023-08-09 | 2023-08-09 | 一种僵尸网络发现方法、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117155614A true CN117155614A (zh) | 2023-12-01 |
Family
ID=88911012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310999850.6A Pending CN117155614A (zh) | 2023-08-09 | 2023-08-09 | 一种僵尸网络发现方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117155614A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102045215A (zh) * | 2009-10-21 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法及装置 |
| CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
| CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
| CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
| CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和系统 |
| CN115361182A (zh) * | 2022-08-08 | 2022-11-18 | 北京永信至诚科技股份有限公司 | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
-
2023
- 2023-08-09 CN CN202310999850.6A patent/CN117155614A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045215A (zh) * | 2009-10-21 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法及装置 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN104580249A (zh) * | 2015-01-28 | 2015-04-29 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
| CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
| CN107733867A (zh) * | 2017-09-12 | 2018-02-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法和系统 |
| CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和系统 |
| CN115361182A (zh) * | 2022-08-08 | 2022-11-18 | 北京永信至诚科技股份有限公司 | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
Non-Patent Citations (2)
| Title |
|---|
| 牛伟纳; 蒋天宇; 张小松; 谢娇; 张俊哲; 赵振扉: "基于流量时空特征的fast-flux僵尸网络检测方法", 《电子与信息学报》, 15 August 2020 (2020-08-15), pages 1872 - 1880 * |
| 郭尚瓒: "基于流量行为特征的僵尸网络研究与检测", 《计算机科学与技术》, 15 April 2018 (2018-04-15), pages 1 - 64 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| JP6097849B2 (ja) | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム | |
| Jung et al. | Fast portscan detection using sequential hypothesis testing | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| US20120084860A1 (en) | System and method for detection of domain-flux botnets and the like | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN107770198A (zh) | 一种基于区块链的dns反劫持系统及方法 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN112261029B (zh) | 一种基于养殖的DDoS恶意代码检测及溯源方法 | |
| US7469418B1 (en) | Deterring network incursion | |
| CN117201184A (zh) | 一种主动防御方法和系统 | |
| CN114389898B (zh) | 一种基于靶场的Web防御方法、装置及系统 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN117155614A (zh) | 一种僵尸网络发现方法、系统及存储介质 | |
| Mvah et al. | Deception-based IDS against ARP Spoofing Attacks in Software-Defined Networks | |
| CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
| EP4412156A1 (en) | A cyber clone of a computing entity | |
| KR102704755B1 (ko) | 가상 호스트를 이용하여 네트워크에 대한 사이버 위협을 탐지하는 사이버 보안 서비스를 제공하는 방법 및 이를 이용한 사이버 보안 서비스 제공 서버 | |
| KR20190036662A (ko) | 네트워크 보안장치 및 보안방법 | |
| CN113709193A (zh) | 基于流量与动态页面特征的web弱口令检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |