一種基于DGA域名和周期性網(wǎng)絡(luò)連接會(huì)話行為的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)

基本信息

申請(qǐng)?zhí)?/td> CN201810603034.8 申請(qǐng)日 -
公開(公告)號(hào) CN110602020A 公開(公告)日 2019-12-20
申請(qǐng)公布號(hào) CN110602020A 申請(qǐng)公布日 2019-12-20
分類號(hào) H04L29/06(2006.01); H04L29/12(2006.01) 分類 電通信技術(shù);
發(fā)明人 楊育斌; 吳智東; 柯宗貴 申請(qǐng)(專利權(quán))人 藍(lán)盾信息安全技術(shù)有限公司
代理機(jī)構(gòu) - 代理人 -
地址 510665 廣東省廣州市廣州高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)東明二路5號(hào)A326房
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于DGA域名和周期性網(wǎng)絡(luò)連接會(huì)話行為的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù),涉及網(wǎng)絡(luò)安全領(lǐng)域。所述的檢測(cè)方法包括:獲取網(wǎng)絡(luò)協(xié)議數(shù)據(jù),解析DNS協(xié)議日志;建立DGA域名的機(jī)器學(xué)習(xí)檢測(cè)模型,檢測(cè)主機(jī)訪問的域名是否符合DGA域名特征;使用聚類方法,發(fā)現(xiàn)DGA域名訪問行為相似的主機(jī)群體;使用循環(huán)自相關(guān)的方法檢測(cè)主機(jī)與DGA域名之間是否存在間歇性網(wǎng)絡(luò)連接行為的檢測(cè);結(jié)合上述步驟,檢測(cè)出主機(jī)群體中的僵尸網(wǎng)絡(luò)。本發(fā)明只以旁路的采集形式采集交換機(jī)中網(wǎng)絡(luò)協(xié)議數(shù)據(jù),使用范圍廣,檢測(cè)效率和準(zhǔn)確率。