一种基于DNS数据包的僵尸网络域名发现方法专利登记公告
专利名称:一种基于DNS数据包的僵尸网络域名发现方法
摘要:本发明公开一种基于DNS数据包的僵尸网络域名发现方法,在网络层以DNS数据包为基础数据源,在已知部分僵尸网络域名的条件下,利用僵尸网络的群体性和持续性两个关键特征,使用域名共现评分方法追踪和发现更多僵尸网络域名。本发明通过已知的僵尸网络的局部特征,表现为僵尸网络的域名,发现其随时间变化后更新或改变的未知域名,发现、掌握和追踪给定僵尸网络的访问行为的动态变化,以克服现有僵尸网络检测方法的不足。本发明方法以域名为特征,可以避免以特征码为检测手段时由于僵尸网络协议多样性或信息加密等的局限性;以域名的共现行为观测
专利类型:发明专利
专利号:CN201210168340.6
专利申请(专利权)人:西安交通大学
专利发明(设计)人:王志文;刘璐;陶敬;马小博;周文瑜
主权项:一种基于DNS数据包的僵尸网络域名发现方法,其特征在于,包括数据预处理步骤:步骤1.1:以给定网络出口流量为数据源,从数据包中解析DNS查询数据,从中提取包含DNS查询特征信息的四元组r=(t,h,p,d)集合,t为请求发起时间,h为请求发起主机,p为请求的资源记录类型,d为请求的域名;步骤1.2:通过域名白名单过滤约简四元组r=(t,h,p,d)集合,将包含域名白名单给定域名的四元组从四元组r=(t,h,p,d)集合中剔除;步骤1.3:识别NAT主机,过滤NAT网络中NAT主机对域名的访问记录,从四元组
专利地区:陕西
关于上述专利公告申明 : 上述专利公告转载自国家知识产权局网站专利公告栏目,不代表该专利由我公司代理取得,上述专利权利属于专利权人,未经(专利权人)许可,擅自商用是侵权行为。如您希望使用该专利,请搜索专利权人联系方式,获得专利权人的授权许可。