一種基于網(wǎng)絡(luò)日志的僵尸網(wǎng)絡(luò)檢測方法及系統(tǒng)

基本信息

申請?zhí)?/td> CN201810210343.9 申請日 -
公開(公告)號 CN108768917B 公開(公告)日 2021-05-11
申請公布號 CN108768917B 申請公布日 2021-05-11
分類號 H04L29/06 分類 電通信技術(shù);
發(fā)明人 李明哲;劉丙雙;涂波;張洛什;尚秋里;苗權(quán);康春建;劉鑫沛;擺亮;李傳海;戴帥夫;張建宇 申請(專利權(quán))人 長安通信科技有限責(zé)任公司
代理機(jī)構(gòu) 北京君尚知識產(chǎn)權(quán)代理有限公司 代理人 邱曉鋒
地址 100032 北京市西城區(qū)背陰胡同甲35號
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及一種基于網(wǎng)絡(luò)日志的僵尸網(wǎng)絡(luò)檢測方法及系統(tǒng)。該方法通過分析網(wǎng)絡(luò)日志,捕獲符合僵尸網(wǎng)絡(luò)特征的主機(jī)IP,獲得僵尸網(wǎng)絡(luò)成員列表;針對每一個(gè)僵尸網(wǎng)絡(luò)成員進(jìn)行微觀分析,并針對全部僵尸網(wǎng)絡(luò)成員進(jìn)行宏觀統(tǒng)計(jì)分析,獲得僵尸網(wǎng)絡(luò)情報(bào)。該系統(tǒng)包括網(wǎng)絡(luò)探針、僵尸網(wǎng)絡(luò)檢測引擎、規(guī)則庫和僵尸網(wǎng)絡(luò)分析情報(bào)庫。本發(fā)明利用大規(guī)模通聯(lián)日志和域名訪問日志,可批量發(fā)現(xiàn)和追蹤僵尸網(wǎng)絡(luò)活動,從宏觀和微觀兩個(gè)層面觀察其蔓延態(tài)勢;本發(fā)明只需要連接級別的網(wǎng)絡(luò)日志,不需要數(shù)據(jù)包級別的日志,也不需要執(zhí)行流量還原操作獲得載荷特征,有效降低了大規(guī)模網(wǎng)絡(luò)日志的存儲開銷。