一種僵尸主機(jī)檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN201710684018.1 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN109391602B 公開(kāi)(公告)日 2021-04-09
申請(qǐng)公布號(hào) CN109391602B 申請(qǐng)公布日 2021-04-09
分類(lèi)號(hào) H04L29/12(2006.01)I;H04L29/06(2006.01)I;G06N20/00(2019.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 曲武 申請(qǐng)(專(zhuān)利權(quán))人 北京金睛云華科技有限公司
代理機(jī)構(gòu) 北京安信方達(dá)知識(shí)產(chǎn)權(quán)代理有限公司 代理人 李紅爽;李丹
地址 100191北京市海淀區(qū)花園路1號(hào)27號(hào)樓西2-1號(hào)
法律狀態(tài) -

摘要

摘要 本申請(qǐng)?zhí)岢鲆环N僵尸主機(jī)檢測(cè)方法,包括:捕獲域名系統(tǒng)DNS流量,從所述DNS流量中提取被動(dòng)DNS數(shù)據(jù),并獲取主機(jī)從DNS服務(wù)器查詢域名的DNS協(xié)議元數(shù)據(jù);對(duì)于提取的被動(dòng)DNS數(shù)據(jù),過(guò)濾掉合法域名及所述合法域名的被動(dòng)DNS數(shù)據(jù);將過(guò)濾后剩余的被動(dòng)DNS數(shù)據(jù)作為僵尸主機(jī)待檢測(cè)數(shù)據(jù);對(duì)所述待檢測(cè)數(shù)據(jù)中的目標(biāo)域名進(jìn)行編碼,利用預(yù)設(shè)檢測(cè)模型對(duì)編碼后的所述目標(biāo)域名進(jìn)行檢測(cè),輸出最高概率的僵尸網(wǎng)絡(luò)家族名稱(chēng)作為所述目標(biāo)域名的分類(lèi)結(jié)果;在指定的時(shí)間窗口內(nèi),通過(guò)僵尸網(wǎng)絡(luò)家族的域名檢測(cè)僵尸網(wǎng)絡(luò)受控主機(jī)和僵尸網(wǎng)絡(luò)命令控制服務(wù)器。本發(fā)明對(duì)于僵尸網(wǎng)絡(luò)C&C通信的DGA域名具有優(yōu)異的檢測(cè)能力,資源使用率低、快速、準(zhǔn)確率高、誤報(bào)率低、跨平臺(tái)檢測(cè)等特點(diǎn)。??