一种僵尸主机检测方法
基本信息
| 申请号 | CN201710684018.1 | 申请日 | - |
| 公开(公告)号 | CN109391602B | 公开(公告)日 | 2021-04-09 |
| 申请公布号 | CN109391602B | 申请公布日 | 2021-04-09 |
| 分类号 | H04L29/12(2006.01)I;H04L29/06(2006.01)I;G06N20/00(2019.01)I | 分类 | 电通信技术; |
| 发明人 | 曲武 | 申请(专利权)人 | 北京金睛云华科技有限公司 |
| 代理机构 | 北京安信方达知识产权代理有限公司 | 代理人 | 李红爽;李丹 |
| 地址 | 100191北京市海淀区花园路1号27号楼西2-1号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本申请提出一种僵尸主机检测方法,包括:捕获域名系统DNS流量,从所述DNS流量中提取被动DNS数据,并获取主机从DNS服务器查询域名的DNS协议元数据;对于提取的被动DNS数据,过滤掉合法域名及所述合法域名的被动DNS数据;将过滤后剩余的被动DNS数据作为僵尸主机待检测数据;对所述待检测数据中的目标域名进行编码,利用预设检测模型对编码后的所述目标域名进行检测,输出最高概率的僵尸网络家族名称作为所述目标域名的分类结果;在指定的时间窗口内,通过僵尸网络家族的域名检测僵尸网络受控主机和僵尸网络命令控制服务器。本发明对于僵尸网络C&C通信的DGA域名具有优异的检测能力,资源使用率低、快速、准确率高、误报率低、跨平台检测等特点。 |
