一種基于DNS數(shù)據(jù)包的僵尸網(wǎng)絡(luò)域名發(fā)現(xiàn)方法專利登記公告

專利名稱：一種基于DNS數(shù)據(jù)包的僵尸網(wǎng)絡(luò)域名發(fā)現(xiàn)方法

摘要：本發(fā)明公開一種基于DNS數(shù)據(jù)包的僵尸網(wǎng)絡(luò)域名發(fā)現(xiàn)方法，在網(wǎng)絡(luò)層以DNS數(shù)據(jù)包為基礎(chǔ)數(shù)據(jù)源，在已知部分僵尸網(wǎng)絡(luò)域名的條件下，利用僵尸網(wǎng)絡(luò)的群體性和持續(xù)性兩個關(guān)鍵特征，使用域名共現(xiàn)評分方法追蹤和發(fā)現(xiàn)更多僵尸網(wǎng)絡(luò)域名。本發(fā)明通過已知的僵尸網(wǎng)絡(luò)的局部特征，表現(xiàn)為僵尸網(wǎng)絡(luò)的域名，發(fā)現(xiàn)其隨時間變化后更新或改變的未知域名，發(fā)現(xiàn)、掌握和追蹤給定僵尸網(wǎng)絡(luò)的訪問行為的動態(tài)變化，以克服現(xiàn)有僵尸網(wǎng)絡(luò)檢測方法的不足。本發(fā)明方法以域名為特征，可以避免以特征碼為檢測手段時由于僵尸網(wǎng)絡(luò)協(xié)議多樣性或信息加密等的局限性；以域名的共現(xiàn)行為觀測

專利類型：發(fā)明專利

專利號：CN201210168340.6

專利申請（專利權(quán)）人：西安交通大學(xué)

專利發(fā)明（設(shè)計）人：王志文;劉璐;陶敬;馬小博;周文瑜

主權(quán)項：一種基于DNS數(shù)據(jù)包的僵尸網(wǎng)絡(luò)域名發(fā)現(xiàn)方法，其特征在于，包括數(shù)據(jù)預(yù)處理步驟：步驟1.1：以給定網(wǎng)絡(luò)出口流量為數(shù)據(jù)源，從數(shù)據(jù)包中解析DNS查詢數(shù)據(jù)，從中提取包含DNS查詢特征信息的四元組r=(t,h,p,d)集合，t為請求發(fā)起時間，h為請求發(fā)起主機，p為請求的資源記錄類型，d為請求的域名；步驟1.2：通過域名白名單過濾約簡四元組r=(t,h,p,d)集合，將包含域名白名單給定域名的四元組從四元組r=(t,h,p,d)集合中剔除；步驟1.3：識別NAT主機，過濾NAT網(wǎng)絡(luò)中NAT主機對域名的訪問記錄，從四元組

專利地區(qū)：陜西