针对僵尸网络检测,一般的思路无外乎基于DNS流量,基于域名特征,基于DNS行为,这里DNS流量研究的一般较少,作者介绍的也比较含糊,而域名特征一般指的是DGA域名检测,DNS行为一般是请求边的行为和响应边的行为,请求边的行为一般是针对Domain-flux,而响应边的行为一般是针对Fast-flux,这些算是业界对DNS僵尸网络的共同认识,而...
为了解决上述问题,攻击者使用Domain Flux协议来对抗防御人员的关闭,僵尸主机访问的C&C域名不再是静态硬编码,而是根据一定算法动态生成的、变化的域名,攻击者和肉鸡通信的集合点(rendezvous points)动态变化,防御人员难以关闭,该域名生成算法称之为DGA(Domain Generation Algorithm),算法的输入称为Seeds,涵盖日期、社交网络...
通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述,检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法.实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的...
本发明涉及基于混合学习的Domainflux僵尸网络检测方法,输入的DNS数据区分训练数据集和检测数据集,分别预处理并将预处理后的训练数据集输入模型,训练得到分类器,将预处理后的检测数据集输入分类器,输出聚类后的域名簇,计算域名簇分值并筛选属于Domainflux僵尸网络域名的簇,获得受感染主机IP地址及C&C服务器IP地址.本发明...
Domain-flux僵尸网络域名检测
针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法.通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利... 查看全部>> ...
黑客攻击者利用僵尸网络对感染病毒的主机进行了大量的恶意活动,并且僵尸网络大多数使用了DomainFlux技术,即根据DGA(DomainGeneration Algorithms,域名产生算法)在一段时间内涌现很多新域名并且只有其中一两个域名被注册为真实的活跃域名,以逃避安全检测员检测域名。因此,在收集的DNS解析域名数据基础上,分析DGA生成的恶意域名...
flux两种类型僵尸网络的检测现状,提出一种面向该两种类型高效新型的检测方法,其主要内容与创新点如下:1.研究上述两种类型僵尸网络,基于DNS流量,提出一种基于DNS关联映射图的新型检测模型,该模型旨在根据DNS查询响应,提取其域名与IP的映射关系,构建DNS映射关联图,且能够同时满足Fast-flux与Domain-flux两种类型僵尸网络的...
一种Domainflux僵尸网络域名检测方法专利信息由爱企查专利频道提供,一种Domainflux僵尸网络域名检测方法说明:本发明所述的一种Domainflux僵尸网络域名检测方法,是针对僵尸网络利用domain-fl...专利查询请上爱企查
To address this shortcoming, we present DFBotKiller, an online negative reputation system that considers the history of both suspicious domain group activities and suspicious domain failures to automatically assign a high negative reputation score to each host infected by domain-flux botnets. In ...