一種基于Netflow及DNS日志的僵尸網(wǎng)絡(luò)檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN201610993499.X 申請(qǐng)日 -
公開(公告)號(hào) CN106657001A 公開(公告)日 2017-05-10
申請(qǐng)公布號(hào) CN106657001A 申請(qǐng)公布日 2017-05-10
分類號(hào) H04L29/06(2006.01)I;H04L29/12(2006.01)N 分類 電通信技術(shù);
發(fā)明人 劉洋 申請(qǐng)(專利權(quán))人 廣州賽訊信息技術(shù)有限公司
代理機(jī)構(gòu) 北京捷誠(chéng)信通專利事務(wù)所(普通合伙) 代理人 廣州賽訊信息技術(shù)有限公司
地址 510000 廣東省廣州市天河區(qū)陂東路20號(hào)大院內(nèi)自編3號(hào)一樓112房(僅限辦公用途)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于Netflow和DNS日志的僵尸網(wǎng)絡(luò)檢測(cè)方法,包括:通過異常流量監(jiān)測(cè)技術(shù)對(duì)采集到的Netflow數(shù)據(jù)進(jìn)行五元組關(guān)聯(lián)分析,分析出運(yùn)營(yíng)商網(wǎng)絡(luò)的被感染主機(jī)的IP地址、被感染主機(jī)的IP地址所發(fā)起的攻擊目標(biāo)的IP地址以及攻擊特征;在DNS服務(wù)器上,采集DNS查詢請(qǐng)求日志,對(duì)多個(gè)被感染主機(jī)的IP地址在攻擊運(yùn)營(yíng)商網(wǎng)絡(luò)期間所發(fā)起的域名請(qǐng)求情況進(jìn)行關(guān)聯(lián)分析,查找到共性域名訪問記錄并排除正常的共性域名,得到FFSN動(dòng)態(tài)惡意域名。本發(fā)明可快速定位FFSN動(dòng)態(tài)惡意域名,極大的提高了FFSN動(dòng)態(tài)惡意域名的定位精度與實(shí)效性,降低了誤判率。