买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:北京恒安嘉新安全技术有限公司
摘要:本发明实施例公开了一种Fast‑Flux僵尸网络检测方法、装置、设备及存储介质。该方法包括获取目标检测域名,每隔监控时长,获取匹配的解析IP结果数据;将监控时长划分为多个时间单元,计算目标检测域名在每个目标时间单元内的静态统计指标集和动态统计指标集;在确定目标静态统计指标集不满足正常域名检测条件时,计算归一化静态统计指标集和归一化动态统计指标集;进而计算对应的拟合静态值和拟合动态值,并分别输入至预先训练的支持向量机SVM模型中,确定监控时长内目标检测域名为异常域名时,根据访问目标检测域名的IP地址,确定僵尸网络。本实施例的技术方案实现提高分析DNS流量数据的工作效率,降低误报率,提高检测结果的准确性的效果。
主权项:1.一种Fast-Flux僵尸网络检测方法,其特征在于,包括:获取目标检测域名,并每隔监控时长,从域名解析服务DNS流量数据中,获取与目标检测域名匹配的解析IP结果数据;将监控时长划分为多个时间单元,并根据每个时间单元内的解析IP结果数据,计算目标检测域名在每个目标时间单元内的静态统计指标集和动态统计指标集;所述静态统计指标集用于表示每个目标时间单元内的解析IP的特征,所述动态统计指标集用于表示每个目标时间单元内的解析IP结果数据的变化情况;静态统计指标包括:最大请求长度、累积不同解析IP数量、累积不同网段数量、累积不同AS码数量、AS分值和解析IP分布;动态统计指标包括:解析IP集合变化、网段的变化、AS码的变化和单次响应解析IP最大数量的变化;在确定目标静态统计指标集不满足正常域名检测条件时,计算与每个目标时间单元内分别对应的归一化静态统计指标集和归一化动态统计指标集,其中,所述正常域名检测条件为各静态统计指标集中的某个或者某些静态统计指标值是否满足预设范围;根据与每个目标时间单元内分别对应的归一化静态统计指标集和归一化动态统计指标集,计算与每个目标时间单元分别对应的拟合静态值和拟合动态值;将每个目标时间单元下的拟合静态值和拟合动态值,分别输入至预先训练的支持向量机SVM模型中,获取监控时长内每个目标时间单元下目标检测域名是否为异常域名的各识别结果;根据所述各识别结果中目标检测域名为异常域名的识别结果数目比例与预设比例阈值,获取监控时长内目标检测域名是否为异常域名的目标识别结果;在确定监控时长内目标检测域名为异常域名时,根据访问目标检测域名的IP地址,确定与目标检测域名匹配的僵尸网络。
全文数据:
权利要求:
百度查询: 北京恒安嘉新安全技术有限公司 Fast-Flux僵尸网络检测方法、装置、设备及存储介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。