The embodiment of the application provides a method and device for botnet detection, which is applied in the field of communication technology and solves the problem of infringing user privacy in the existing technology when botnet detection is carried out. The method includes: determining the first domain name set, in which the domain name in the first domain name set is the domain name in the DNS log; determining the first target domain name set according to the first domain name set, the support degree of the domain name, the confidence degree of the domain name and the promotion degree of the domain name, in which the first target domain name set includes at least one domain name satisfying the following conditions in the first domain name set Domain name support in the first preset threshold range, domain name confidence in the second preset threshold range, domain name promotion in the third preset threshold range; determine that the host accessing the first target domain name set is the first batch of controlled hosts; determine that the domain name in the first target domain name set is the first batch of controlled hosts.
【技术实现步骤摘要】
僵尸网络检测的方法及装置
本申请涉及通信
,尤其涉及僵尸网络检测的方法及装置。
技术介绍
僵尸网络指采用一种或多种传播手段,将大量主机感染僵尸程序(bot程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。通过控制被感染主机实现分布式拒绝服务攻击等形式的攻击行为。目前,僵尸网络在互联网环境中仍是一种能够产生严重后果的网络攻击手段。传统的僵尸网络检测方法中,一类方法主要通过在会话层监控用户行为;另一类方法主要是通过深度包检测等技术,检测用户在互联网通信的数据包中是否包含不正常的网络通信信息。然而,根据上述两类方法进行僵尸网络检测往往会侵犯用户的隐私,如何在僵尸网络检测时避免侵犯用户的隐私是目前亟待解决的问题。
技术实现思路
本申请的实施例提供的一种僵尸网络检测的方法及装置,使得在进行僵尸网络检测时避免侵犯用户的隐私。为达到上述目的,本申请的实施例采用如下技术方案:一方面,本申请实施例提供了一种僵尸网络检测的方法,该方法包括:获取第一域名集合,其中,该第一域名集合中的域名为域名系统DNS日志中的域名;根据该第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,该第一目标域名集合包括该第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;确定访问了该第一目标域名集合中的主机为第一批受控主机;确定域名为该第一目标域名集合中的主机为第一批控制主机。本申请实施例提供的僵尸网络检测的方法,僵尸网络检测装置通过获取的第一域名集合以及域名...
【技术保护点】
1.一种僵尸网络检测的方法,其特征在于,所述方法包括:获取第一域名集合,其中,所述第一域名集合中的域名为域名系统DNS日志中的域名;根据所述第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,所述第一目标域名集合包括所述第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;确定访问了所述第一目标域名集合中的主机为第一批受控主机;确定域名为所述第一目标域名集合中的主机为第一批控制主机。
【技术特征摘要】
1.一种僵尸网络检测的方法,其特征在于,所述方法包括:获取第一域名集合,其中,所述第一域名集合中的域名为域名系统DNS日志中的域名;根据所述第一域名集合、域名的支持度、域名的置信度以及域名的提升度获取第一目标域名集合,其中,所述第一目标域名集合包括所述第一域名集合中满足下述的至少一个条件的域名:域名的支持度在第一预设阈值范围、域名的置信度在第二预设阈值范围、域名的提升度在第三预设阈值范围;确定访问了所述第一目标域名集合中的主机为第一批受控主机;确定域名为所述第一目标域名集合中的主机为第一批控制主机。2.根据权利要求1所述的方法,其特征在于,在确定访问了所述第一目标域名集合中的主机为第一批受控主机之后,所述方法还包括:根据所述第一批受控主机获取第二域名集合,其中,所述第二域名集合中的域名为所述DNS日志中所述第一批受控主机访问的域名;根据所述第二域名集合、域名的支持度、域名的置信度以及域名的提升度获取第二目标域名集合,其中,所述第二目标域名集合包括所述第二域名集合中满足所述至少一个条件的域名;确定访问了第二目标域名集合中的主机为第二批受控主机;确定域名为所述第二目标域名集合中的主机为第二批控制主机。3.根据权利要求2所述的方法,其特征在于,所述方法还包括;若确定的所述第二批受控主机中所有受控主机访问的第三目标域名集合中的域名全部为目标域名集合中的域名,则确定已找出所述DNS日志中的所有的控制主机控制的域名,其中,所述第三目标域名集合包括第三域名集合中满足所述至少一个条件的域名,所述第三域名集合为所述第二批受控主机访问的域名,所述目标域名集合包括所述第一目标域名集合和所述第二目标域名集合。4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取第一域名集合,包括:获取所述DNS日志;根据所述DNS日志确定所述DNS日志中的域名;根据所述DNS日志中每个域名的分时访问数量获取存在跳变点的域名的集合,所述存在跳变点的域名为单位时间增加的访问量超过第一阈值的域名;计算所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度;根据所述存在跳变点的域名的集合、所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度获取目标域名第一集合,其中,所述目标域名第一集合中的域名为满足所述至少一个条件的域名;确定访问第一域名的主机访问的域名的集合为所述第一域名集合,所述第一域名为所述目标域名第一集合中的任意一个域名。5.根据权利要求4所述的方法,其特征在于,所述计算所述每个域名的支持度包括:基于第一预设公式计算所述DNS日志中每个域名的支持度;所述第一预设公式为:其中,Ni表示所述DNS日志信息中访问域名i的用户数,NA表示所述DNS日志信息中用户的总数;所述计算所述每个域名的置信度包括:基于第二预设公式计算所述DNS日志中每个域名的置信度;所述第二预设公式为:其中,pij表示所述DNS日志信息既访问了域名i又访问了域名j的用户数占所述DNS日志信息中用户的总数的比例;pi表示所述DNS日志信息既访问了域名i的用户总数占所述DNS日志信息中用户的总数的比例;所述计算所述每个域名的支持度包括:基于第三预设公式计算所述DNS日志中每个域名的提升度;所述第三预设公式为:其中,pj表示所述DNS日志信息既访问了域名j的用户总数占所述DNS日志信息中用户的总数的比例。6.根据权利要求4所述的方法,其特征在于,在根据DNS日志信息确定所述DNS日志中的域名之后,所述方法还包括:合并所述DNS日志中的多级域名为一级域名;所述根据所述DNS日志中的域名的分时访问数量获取存在跳变点的域名的集合,包括:根据所述DNS日志中合并后的一级域名的分时访问数量获取存在跳变点的一级域名的集合;所述根据所述存在跳变点的域名的集合、所述DNS日志中每个域名的支持度、所述DNS日志中每个域名的置信度以及所述DNS日志中每个域名的提升度获取目标域名第一集合,包括:根据所述存在跳变点的一级域名的集合、所述DNS日志中合并后的每个一级域名的支持度、所述DNS日志中合...
【专利技术属性】
技术研发人员:姜楠,朱安南,马铮,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。