[發(fā)明專利]一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法和系統(tǒng)在審
| 申請?zhí)枺?/td> | 201811330210.1 | 申請日: | 2018-11-09 |
| 公開(公告)號: | CN109413079A | 公開(公告)日: | 2019-03-01 |
| 發(fā)明(設(shè)計)人: | 牛偉納;張小松;王中晴 | 申請(專利權(quán))人: | 四川大學(xué) |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 成都弘毅天承知識產(chǎn)權(quán)代理有限公司 51230 | 代理人: | 何祖斌 |
| 地址: | 610065 四川*** | 國省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 僵尸網(wǎng)絡(luò) 局部特征 全局特征 僵尸網(wǎng)絡(luò)檢測 高速網(wǎng)絡(luò) 映射關(guān)系 數(shù)據(jù)包 機器學(xué)習(xí)模型 機器學(xué)習(xí)算法 網(wǎng)絡(luò)安全檢測 關(guān)聯(lián) 處理效率 分類結(jié)果 離線數(shù)據(jù) 提交檢測 誤報率 捕獲 全局 過濾 解析 檢測 分析 學(xué)習(xí) | ||
1.一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于,包括以下步驟:
步驟1:獲取DNS數(shù)據(jù)包,對捕獲的DNS數(shù)據(jù)包進行解析和過濾,得到可疑Fast-Flux僵尸網(wǎng)絡(luò);
步驟2:分析所述可疑Fast-Flux僵尸網(wǎng)絡(luò)的域名與IP地址間的全局關(guān)聯(lián)映射關(guān)系,利用所述全局關(guān)聯(lián)映射關(guān)系提取全局特征;
步驟3:提取所述可疑Fast-Flux僵尸網(wǎng)絡(luò)基于時間的局部特征;
步驟4:利用機器學(xué)習(xí)算法對離線數(shù)據(jù)中的全局特征和局部特征進行訓(xùn)練,得到訓(xùn)練后的機器學(xué)習(xí)模型,利用訓(xùn)練后的機器學(xué)習(xí)模型對未知數(shù)據(jù)中的全局特征和局部特征進行檢測,得到可疑Fast-Flux僵尸網(wǎng)絡(luò)的分類結(jié)果。
2.根據(jù)權(quán)利要求1所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:所述步驟1中,利用PF_RING技術(shù)獲取DNS數(shù)據(jù)包。
3.根據(jù)權(quán)利要求1所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:所述步驟1中,解析和過濾的步驟具體為:
步驟11:根據(jù)數(shù)據(jù)類型從DNS數(shù)據(jù)包中解析出DNS響應(yīng)數(shù)據(jù)包;
步驟12:對DNS響應(yīng)數(shù)據(jù)包進行黑白名單過濾;
步驟13:對步驟12過濾后的DNS響應(yīng)數(shù)據(jù)包進行實時特征在線過濾,得到可疑Fast-Flux僵尸網(wǎng)絡(luò)。
4.根據(jù)權(quán)利要求3所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:所述步驟13中實時特征在線過濾的規(guī)則為:
域名記錄的TTL值小于等于閾值A(chǔ);
域名記錄的TTL值小于等于閾值B,映射的IP地址數(shù)大于閾值C,IP地址占據(jù)的AS總數(shù)和國家總數(shù)大于等于閾值D;
NS記錄的TTL值小于等于閾值E,映射的IP地址數(shù)大于閾值F,IP地址占據(jù)的AS總數(shù)和國家總數(shù)大于等于閾值G;
所述閾值A(chǔ)、閾值B和閾值E均大于良性域名的正常設(shè)定值,所述閾值C、閾值D、和閾值F均小于良性域名的正常設(shè)定值。
5.根據(jù)權(quán)利要求1所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:
所述步驟2中全局特征包括:IP/FQDN節(jié)點的數(shù)量、FQDN/IP節(jié)點的最大和平均度數(shù)、最大IP/FQDN節(jié)點中介中心性。
6.根據(jù)權(quán)利要求1所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:
所述步驟3中局部特征包括:TTL值、ASN分散度、IP地址增長和IP子網(wǎng)。
7.根據(jù)權(quán)利要求1所述的一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測方法,其特征在于:
所述步驟4中機器學(xué)習(xí)算法采用XGBoost機器學(xué)習(xí)算法。
8.一種高速網(wǎng)絡(luò)下Fast-Flux僵尸網(wǎng)絡(luò)檢測系統(tǒng),其特征在于:包括
高速網(wǎng)絡(luò)流量捕獲模塊:用于捕獲流經(jīng)網(wǎng)關(guān)服務(wù)器的網(wǎng)絡(luò)流量;
數(shù)據(jù)預(yù)處理模塊:用于從高速網(wǎng)絡(luò)流量捕獲模塊獲取的網(wǎng)絡(luò)流量中得到DNS數(shù)據(jù)包;
流量預(yù)處理模塊:用于從DNS數(shù)據(jù)包中解析出DNS響應(yīng)數(shù)據(jù)包;
流量過濾模塊:用于對DNS響應(yīng)數(shù)據(jù)包進行過濾,篩選出可疑Fast-Flux僵尸網(wǎng)絡(luò);
流量數(shù)據(jù)存儲模塊:用于利用分布式文件系統(tǒng)HDFS對流量文件文件進行存儲;
特征提取模塊:用于提取全局特征和局部特征,作為檢測Fast-Flux僵尸網(wǎng)絡(luò)的特征向量;
Fast-Flux僵尸網(wǎng)絡(luò)檢測模塊:用于使用分布式計算框架Spark和機器學(xué)習(xí)算法XGBoost對提取特征向量進行計算,以檢測Fast-Flux僵尸網(wǎng)絡(luò)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于四川大學(xué),未經(jīng)四川大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811330210.1/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種檢測僵尸網(wǎng)絡(luò)的方法及其系統(tǒng)
- 僵尸網(wǎng)絡(luò)檢測方法及裝置
- 一種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)方法及其系統(tǒng)
- 一種僵尸網(wǎng)絡(luò)追蹤方法
- 一種僵尸網(wǎng)絡(luò)檢測方法及裝置
- 僵尸網(wǎng)絡(luò)的檢測方法及裝置、僵尸網(wǎng)絡(luò)的對抗方法及裝置
- 用于主動防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng)
- 僵尸網(wǎng)絡(luò)屬性識別方法、防御方法及裝置
- 識別物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊源的方法與系統(tǒng)
- 一種多分類的僵尸網(wǎng)絡(luò)檢測裝置
- 一種僵尸網(wǎng)絡(luò)的檢測方法、系統(tǒng)和設(shè)備
- 僵尸網(wǎng)絡(luò)檢測方法、裝置以及網(wǎng)絡(luò)安全防護設(shè)備
- 僵尸網(wǎng)絡(luò)檢測方法、裝置和系統(tǒng)
- 僵尸網(wǎng)絡(luò)檢測方法及裝置
- 一種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)方法及其系統(tǒng)
- 一種僵尸網(wǎng)絡(luò)檢測方法及裝置
- 僵尸網(wǎng)絡(luò)的檢測方法及裝置、僵尸網(wǎng)絡(luò)的對抗方法及裝置
- 社交僵尸網(wǎng)絡(luò)的檢測方法及裝置
- 一種基于極限學(xué)習(xí)機的僵尸網(wǎng)絡(luò)識別方法
- 一種多分類的僵尸網(wǎng)絡(luò)檢測裝置
