一種基于旁路網(wǎng)絡(luò)全流量與行為特征DGA域名識(shí)別方法

基本信息

申請(qǐng)?zhí)?/td> CN202010456649.X 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN111654487A 公開(kāi)(公告)日 2020-09-11
申請(qǐng)公布號(hào) CN111654487A 申請(qǐng)公布日 2020-09-11
分類(lèi)號(hào) H04L29/06(2006.01)I;H04L29/12(2006.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 貴帥;黃躍珍;高才;郭曉冬;唐錫南 申請(qǐng)(專(zhuān)利權(quán))人 南京云利來(lái)軟件科技有限公司
代理機(jī)構(gòu) - 代理人 -
地址 210000江蘇省南京市秦淮區(qū)光華東街1號(hào)1-2-1室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及基于旁路網(wǎng)絡(luò)全流量與行為特征DGA域名識(shí)別方法,通過(guò)旁路監(jiān)聽(tīng)方式提取DNS流量信息,在提取到的DNS流量中通過(guò)DGA行為刻畫(huà)分析,先通過(guò)流量特征找出可疑IP,進(jìn)一步分析相關(guān)域名產(chǎn)生DGA域名及相關(guān)請(qǐng)求IP的告警,通過(guò)交換機(jī)旁路鏡像端口接收用戶(hù)網(wǎng)絡(luò)流量,分離出DNS流量進(jìn)行聚合;提取相關(guān)特征值存入數(shù)據(jù)庫(kù)進(jìn)行分析技術(shù)來(lái)解決DGA域名難以識(shí)別難題。本發(fā)明通過(guò)對(duì)DGA進(jìn)行行為分析,使用啟發(fā)式算法設(shè)計(jì)多級(jí)規(guī)則進(jìn)行管道式多級(jí)聚合處理,輔以域名長(zhǎng)度檢查及白名單清洗,解決了目前機(jī)器學(xué)習(xí)算法需逐個(gè)檢查流量中域名,執(zhí)行效率低,以及對(duì)新DGA變種識(shí)別能力差的難題,極大地降低了運(yùn)算量和規(guī)則復(fù)雜度,提高了對(duì)新變種的識(shí)別能力。??